RDS SQL Server提供免費的云盤加密功能,您可以在創建實例時開啟,該功能將對整個數據盤上的數據進行基于塊存儲的加密,能夠有效保障您的數據安全。開啟云盤加密功能不會影響您的業務,且您也無需對應用程序做任何修改。
前提條件
云盤加密功能僅支持在創建實例時開啟,實例創建后無法開啟。
必須在標準創建頁面創建實例,且創建實例時,存儲類型和實例規格需要按照以下要求配置:
存儲類型:SSD云盤、ESSD云盤、通用云盤(不支持Serverless實例)
實例規格:通用型、獨享型、共享型
通用型、獨享型:支持RDS托管的服務密鑰(Default Service CMK)、用戶自定義密鑰
共享型:僅支持RDS托管的服務密鑰(Default Service CMK)
說明快捷創建頁面創建實例時不支持云盤加密功能。相關操作,請參見快速創建并使用RDS SQL Server實例。
費用說明
云盤加密為免費功能,您在磁盤上的任何讀寫操作都不會產生額外費用。
注意事項
密鑰管理服務KMS欠費會導致云盤無法解密,整個實例不可用,請確保KMS狀態正常。
當您禁用或刪除了KMS密鑰,將導致使用了該KMS密鑰的RDS實例無法正常工作,實例被鎖定無法訪問。同時,所有的運維操作將無法進行,包括但不限于備份實例、變更實例配置、克隆實例、重啟實例、HA切換以及修改參數等。為了避免此類情況的發生,建議您使用RDS托管的服務密鑰(Default Service CMK)。RDS將通過短信、站內信和郵件等方式通知您實例KMS密鑰不可用,通知頻率為每日一次,最多不超過三次。
使用限制
開啟了云盤加密的實例不支持升級內核小版本操作。
創建實例時開啟云盤加密
創建RDS SQL Server實例時存儲類型選擇SSD云盤、ESSD云盤或通用云盤。
勾選右側云盤加密,并選擇目標密鑰。
說明自定義密鑰的創建方法,請參見創建并啟動密鑰。
創建實例時請先勾選云盤加密選項,再選擇實例規格。
查看云盤加密狀態及密鑰詳情
訪問RDS實例列表,在上方選擇地域,然后單擊目標實例ID。
在實例的基本信息頁面,查看云盤實例的密鑰。
說明若基本信息頁面未顯示密鑰,則說明該實例在創建時未開啟云盤加密功能。
云盤加密功能只能在創建實例時開啟,實例創建后無法開啟。
在密鑰管理服務控制臺可以查看當前賬號下的所有密鑰。在密鑰管理 > 默認密鑰頁簽中,密鑰用法為服務密鑰時即為阿里云產品托管密鑰。RDS托管密鑰別名為
alias/acs/rds,如果您未找到該密鑰,表示在該地域下還未創建服務密鑰。在RDS控制臺開啟云盤加密時,選擇服務密鑰(Default Service CMK),系統會自動創建。RDS托管的服務密鑰(Default Service CMK)規格為
Aliyun_AES_256,默認未開啟密鑰輪轉服務。如果您需要開啟密鑰輪轉服務,請登錄密鑰管理服務控制臺進行購買,詳情請參見密鑰輪轉。
相關操作
通過API創建符合前提的云盤實例時,開啟云盤加密功能,請參見CreateDBInstance - 創建一個RDS實例。
通過API查看實例是否開啟了云盤加密,以及密鑰詳情,請參見DescribeDBInstanceEncryptionKey - 查詢云盤加密狀態及密鑰詳情。