RDS PostgreSQL提供云盘加密功能,能够有效保障您的数据安全。

背景信息

云盘加密能够最大限度保护您的数据安全,您的业务和应用程序无需做额外的改动。同时该云盘生成的快照及这些快照创建的云盘将自动延续加密属性。

云盘加密为免费功能,您在磁盘上的任何读写操作将不会产生额外费用。

前提条件

  • 云盘加密需要实例为云盘。
  • 云盘加密只能在创建实例时开启,您必须参照设置云盘加密进行设置,才能在创建实例时设置云盘加密。

设置云盘加密

  1. 登录密钥管理服务控制台
  2. 左上角选择将要创建实例的地域。
  3. 单击创建密钥
  4. 设置如下参数。
    配置项 说明
    KeyStore Key Store是用于存储KMS用户主密钥的安全域。更多信息,请参见Key Store概述
    密钥类型 请选择以下密钥类型。
    • 对称密钥的类型:
      • Aliyun_AES_256
      • Aliyun_SM4
    • 非对称密钥的类型:
      • RSA_2048
      • EC_P256
      • EC_P256K
      • EC_SM2
    说明 Aliyun_SM4或EC_SM2的密钥类型,仅在中国内地使用托管密码机的地域支持。
    密钥用途
    • Encrypt/Decrypt:数据加密和解密。
    • Sign/Verify:产生和验证数字签名。
    别名 用户主密钥的可选标识,详情请参见别名概述
    保护级别
    • Software:通过软件模块对密钥进行保护。
    • Hsm:将密钥托管在密码机中,使密钥获得高安全等级的专用硬件的保护。
    描述 密钥的说明信息。
    轮转周期 自动轮转的时间周期。取值:
    • 30天。
    • 90天。
    • 180天。
    • 365天。
    • 不开启:不开启轮转。
    • 自定义:7~730天。
    说明 仅密钥类型为Aliyun_AES_256和Aliyun_SM4的对称密钥支持设置轮转周期。
  5. 单击确定
  6. (仅第一次使用需要授权)单击云资源访问授权,单击同意授权让PostgreSQL可以访问您的云资源。
    说明 仅第一次使用需要授权,您可以在访问控制RAM控制台查看是否具有AliyunRDSInstanceEncryptionDefaultRole权限。
  7. 接下来您可以在创建实例时选择云盘加密,详情请参见创建RDS PostgreSQL实例
    说明 创建实例后您可以在实例基本信息页面查看到云盘加密的密钥。