RDS SQL Server提供免费的云盘加密功能,您可以在创建实例时开启,该功能将对整个数据盘上的数据进行基于块存储的加密,能够有效保障您的数据安全。开启云盘加密功能不会影响您的业务,且您也无需对应用程序做任何修改。
前提条件
云盘加密功能仅支持在创建实例时开启,实例创建后无法开启。
必须在标准创建页面创建实例,且创建实例时,存储类型和实例规格需要按照以下要求配置:
存储类型:SSD云盘、ESSD云盘、高性能云盘(不支持Serverless实例)
实例规格:通用型、独享型、共享型
通用型、独享型:支持RDS托管的服务密钥(Default Service CMK)、用户自定义密钥
共享型:仅支持RDS托管的服务密钥(Default Service CMK)
说明快捷创建页面创建实例时不支持云盘加密功能。
费用说明
云盘加密为免费功能,您在磁盘上的任何读写操作都不会产生额外费用。
注意事项
密钥管理服务KMS欠费会导致云盘无法解密,整个实例不可用,请确保KMS状态正常。
当您禁用或删除了KMS密钥,将导致使用了该KMS密钥的RDS实例无法正常工作,实例被锁定无法访问。同时,所有的运维操作将无法进行,包括但不限于备份实例、变更实例配置、克隆实例、重启实例、HA切换以及修改参数等。为了避免此类情况的发生,建议您使用RDS托管的服务密钥(Default Service CMK)。RDS将通过短信、站内信和邮件等方式通知您实例KMS密钥不可用,通知频率为每日一次,最多不超过三次。
RDS托管的服务密钥(Default Service CMK)规格为
Aliyun_AES_256,默认未开启密钥轮转服务。如果您需要开启密钥轮转服务,请登录密钥管理服务控制台进行购买。
使用限制
开启了云盘加密的实例不支持升级内核小版本操作。
创建实例时开启云盘加密
创建RDS SQL Server实例时存储类型选择SSD云盘、ESSD云盘或高性能云盘。
勾选右侧云盘加密,并选择目标密钥。
说明自定义密钥的创建方法,请参见创建并启动密钥。
创建实例时请先勾选云盘加密选项,再选择实例规格。
若要创建共享规格的RDS实例,且需要开启云盘加密功能,由于共享规格仅支持RDS托管的服务密钥(Default Service CMK),请务必选择Default Service CMK,请勿选择
alias/acs/rds开头的其他密钥。
查看云盘加密状态及密钥详情
相关操作
通过API创建符合前提的云盘实例时,开启云盘加密功能,请参见CreateDBInstance - 创建RDS实例。
通过API查看实例是否开启了云盘加密,以及密钥详情,请参见DescribeDBInstanceEncryptionKey - 查询云盘加密状态及密钥详情。