RDS PostgreSQL提供免費的云盤加密功能,能夠確保RDS PostgreSQL云盤中的數據得到安全保護,您無需對現有應用程序做任何修改,同時您的快照數據將自動繼承加密屬性。
背景信息
云盤加密能夠保障存儲的數據安全,您的業務和應用程序無需做額外的改動。同時該云盤生成的快照及這些快照創建的云盤將自動延續加密屬性。
云盤加密為免費功能,您在磁盤上的任何讀寫操作將不會產生額外費用。
前提條件
RDS PostgreSQL實例滿足以下配置:
產品系列:基礎系列、高可用系列、集群系列
存儲類型:ESSD云盤、通用云盤
說明暫不支持Serverless實例。
已開通密鑰管理服務KMS,具體請參見購買和啟用KMS實例。
注意事項
云盤加密不會影響您的業務,應用程序也無需修改。
開啟云盤加密后,實例生成的快照以及通過這些快照創建的云盤版實例將自動延續加密屬性。
密鑰管理服務KMS欠費會導致云盤無法解密,整個實例不可用,請確保KMS狀態正常。
當您禁用或刪除了KMS密鑰,將導致使用了該KMS密鑰的RDS實例無法正常工作,實例被鎖定無法訪問。同時,所有的運維操作將無法進行,包括但不限于備份實例、變更實例配置、克隆實例、重啟實例、HA切換以及修改參數等。為了避免此類情況的發生,建議您使用RDS托管的服務密鑰(Default Service CMK)。RDS將通過短信、站內信和郵件等方式通知您實例KMS密鑰不可用,通知頻率為每日一次,最多不超過三次。
如果您選擇的實例規格為通用規格,只支持使用RDS托管的服務密鑰(Default Service CMK)創建云盤加密實例。獨享型規格實例支持RDS托管的服務密鑰(Default Service CMK)、用戶自定義密鑰創建云盤加密實例。詳情請參見【產品/功能變更】2024年01月15日起RDS創建云盤加密實例功能變更。
在數據安全性 > 數據加密頁,開啟、更換或關閉云盤加密將導致實例重啟,并出現閃斷現象。請確保您的應用程序具有自動重連機制。
開啟云盤加密
創建實例時開啟云盤加密
創建RDS PostgreSQL時,如果滿足前提條件,則可以在存儲類型后,勾選云盤加密,然后選擇相應的密鑰。默認選擇RDS托管的服務密鑰(Default Service CMK)(推薦使用)。
創建RDS PostgreSQL實例,請參見創建RDS PostgreSQL實例。
開啟已有實例的云盤加密
訪問RDS實例列表,在上方選擇地域,然后單擊目標實例ID。
在左側導航欄單擊數據安全性。
在數據加密頁簽單擊開通加密。
在彈出的窗口中根據需要選擇密鑰后,單擊確定。
使用由阿里云自動生成的密鑰,即使用RDS托管的服務密鑰(Default Service CMK)(推薦使用)。
開啟云盤加密的過程中,實例狀態將會發生變化。當實例狀態變為運行中時,表示已成功開啟云盤加密。
在RDS PostgreSQL實例基本信息頁和數據安全性 > 數據加密頁,可以查看云盤加密的密鑰。
在密鑰管理服務控制臺可以查看當前賬號下的所有密鑰。在密鑰管理 > 默認密鑰頁簽中,密鑰用法為服務密鑰時即為阿里云產品托管密鑰。RDS托管密鑰別名為
alias/acs/rds,如果您未找到該密鑰,表示在該地域下還未創建服務密鑰。在RDS PostgreSQL控制臺開啟云盤加密時,選擇服務密鑰(Default Service CMK),系統會自動創建。RDS托管的服務密鑰(Default Service CMK)規格為
Aliyun_AES_256,默認未開啟密鑰輪轉服務。如果您需要開啟密鑰輪轉服務,請登錄密鑰管理服務控制臺進行購買,詳情請參見密鑰輪轉。
更換云盤加密密鑰
訪問RDS實例列表,在上方選擇地域,然后單擊目標實例ID。
在左側導航欄單擊數據安全性。
在數據加密頁簽單擊更換加密。
在彈出的窗口中根據需要選擇密鑰后,單擊確定。
關閉云盤加密
訪問RDS實例列表,在上方選擇地域,然后單擊目標實例ID。
在左側導航欄單擊數據安全性。
在數據加密頁簽單擊更換加密。
在彈出的窗口中選擇關閉密鑰后,單擊確定。
相關API
通過ModifyDBInstanceConfig - 修改RDS實例的配置項接口,可以為目標實例開啟、更換或關閉云盤加密功能。