RDS SQL Server提供免费的云盘加密功能,您可以在创建实例时开启,该功能将对整个数据盘上的数据进行基于块存储的加密,能够有效保障您的数据安全。开启云盘加密功能不会影响您的业务,且您也无需对应用程序做任何修改。
适用范围
RDS SQL Server只读实例与Serverless实例不支持手动开启云盘加密。
RDS SQL Server主实例需满足以下条件才能开启云盘加密:
存储类型为ESSD云盘或高性能云盘。
实例规格为独享型、通用型和共享型(共享型规格仅支持在创建实例时开启云盘加密)。
主实例未挂载只读实例。如已挂载,需要先释放只读实例后再开启云盘加密,且此后基于该主实例新建的只读实例将默认启用加密云盘。
开启云盘加密后,有以下限制:
云盘加密开启后无法关闭。
密钥选择限制:共享型实例仅支持使用RDS托管的服务密钥(Default Service CMK)进行加密,通用型和独享型实例支持使用服务密钥或用户自定义密钥。
内核升级限制:开启云盘加密后不支持升级内核小版本操作。
费用说明
云盘加密为免费功能,您在磁盘上的任何读写操作都不会产生额外费用。
云盘加密所需密钥由KMS统一管理,使用默认密钥(含服务密钥和主密钥)不收费,使用用户自定义的软件密钥或硬件密钥由KMS收费。
注意事项
实例闪断:更换密钥或已有实例开启云盘加密会出现实例闪断(高可用与集群系列约30秒不可用,基础系列约5分钟不可用),请在业务低峰期执行相关操作,并确保您的应用有自动重连机制。
KMS欠费、禁用或删除密钥会对部分已开启云盘加密的实例造成影响:
KMS欠费影响:如您使用了付费类型密钥(如软件密钥和硬件密钥等),当KMS欠费时,会导致使用付费类型密钥加密的云盘实例无法解密,整实例不可用,请及时续费KMS实例。
禁用或删除密钥影响:对于可自行管理生命周期的密钥(如主密钥、软件密钥和硬件密钥等),禁用或删除密钥会导致使用该密钥的RDS实例被锁定无法访问,无法正常工作,所有运维操作无法进行(如备份、变更配置、重启、HA切换等)。
RDS托管的服务密钥(Default Service CMK)规格为
Aliyun_AES_256,默认未开启密钥轮转服务。如果您需要开启密钥轮转服务,请登录密钥管理服务控制台进行购买。
开启云盘加密
新建实例时开启云盘加密
创建RDS SQL Server实例时存储类型选择SSD云盘、ESSD云盘或高性能云盘。
勾选右侧云盘加密,并选择目标密钥。
说明自定义密钥的创建方法,请参见创建并启动密钥。
创建实例时请先勾选云盘加密选项,再选择实例规格。
如需创建共享规格实例且开启云盘加密功能,密钥请选择Default Service CMK(共享型实例仅支持使用服务密钥加密)。
已有实例开启云盘加密
已有实例开启云盘加密会出现实例闪断(高可用与集群系列约30秒不可用,基础系列约5分钟不可用),请在业务低峰期执行相关操作,并确保您的应用有自动重连机制。
访问RDS实例列表,在上方选择地域,然后单击目标实例ID。
在左侧导航栏单击数据安全性。
在数据加密页签,单击开启云盘加密。
在弹窗中按需选择密钥,单击确定。实例运行状态会立即变为参数修改中。
等待一段时间后,当实例运行状态重新变为运行中,且在数据加密页签下能看到相关加密信息时,表示已成功开启云盘加密。
查看云盘加密状态及密钥详情
访问RDS实例列表,在上方选择地域,然后单击目标实例ID。
在实例的基本信息页面,查看云盘实例的密钥。
说明若基本信息页面未显示密钥,则说明该实例在创建时未开启云盘加密功能。
在密钥管理服务控制台可以查看当前账号下的所有密钥。
在密钥管理 > 默认密钥页签中,密钥用法为服务密钥时即为阿里云产品托管密钥。
更换密钥
已开启云盘加密且实例规格为独享型和通用型的RDS SQL Server实例,可按照如下操作更换密钥。共享型实例只能使用服务密钥,无法修改。
已有实例开启云盘加密会出现实例闪断(高可用与集群系列约30秒不可用,基础系列约5分钟不可用),请在业务低峰期执行相关操作,并确保您的应用有自动重连机制。
访问RDS实例列表,在上方选择地域,然后单击目标实例ID。
在左侧导航栏单击数据安全性。
在数据加密页签,单击更换密钥。
在修改数据盘加密密钥弹窗中,按需选择密钥,并单击确定。
相关API
创建实例时开启云盘加密:CreateDBInstance - 创建RDS实例。
已有实例开启云盘加密:ModifyDBInstanceConfig - 修改RDS实例的配置项。
查看实例是否开启云盘加密:DescribeDBInstanceEncryptionKey - 查询云盘加密状态及密钥详情。