透過的データ暗号化 (TDE) を使用して、インスタンスデータファイルに対してリアルタイムの I/O 暗号化および復号化を実行できます。 データセキュリティを向上させるために、TDE を有効にしてインスタンスのデータを暗号化することを推奨します。

現在、TDE は SQL Server 2008 R2 および MySQL 5.6 のデータベースにのみ適用されます。 TDE 設定を表示または変更するには、RAM アカウントではなく Alibaba Cloud アカウントでログインする必要があります。

背景情報

TDE は、データファイルに対してリアルタイムのI/O 暗号化と復号化を行います。 データはディスクに書き込まれる前に暗号化され、ディスクからメモリに読み込まれるときに復号化されます。 TDE はデータファイルのサイズを大きくしません。 開発者は TDE 機能を使用する前にアプリケーションを変更する必要はありません。

考慮事項

  • 一度 TDE を有効にすると、無効にすることはできません。
  • 暗号化には、キー管理サービス (KMS) によって生成および管理されるキーが使用されます。 RDS は、暗号化に必要な鍵と証明書を提供しません。 TDE を有効にした後、データをローカルデバイスに復元する場合は、まず RDS を使用してデータを復号化します。
  • TDE を有効にした後で、CPU 使用率は大幅に増加します。

前提条件

KMS が有効化されていること。

手順

  1. RDS コンソールにログインします。
  2. 対象RDSインスタンスをクリックします。
  3. 左ナビゲーションペインの[セキュリティコントロール] をクリックします。
  4. TDEのタブから[無効] をクリックします。

  5. [OK] をクリックして TDE を有効にします。
    KMS キー管理サービスを有効にしていない場合は、TDE を有効化するときに、キー管理サービスを有効化するように求められます。 KMS キー管理サービスを有効化する手順を実行した後、[無効] をクリックして TDE をを有効化します。
  6. データベースにログインし、 次のコマンドを実行してテーブルを暗号化します。
    alter table <tablename> engine=innodb, block_format=encrypted;

その後の操作

TDE によって暗号化されたテーブルを復号化する場合は、次のコマンドを実行します。

alter table <tablename> engine=innodb, block_format=default;