Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda/ Data Encryption Workshop/ Prácticas recomendadas/ Key Management Service/ Uso de KMS para cifrar y descifrar datos para servicios en la nube/ Encriptación de una instancia de BD de RDS
Actualización más reciente 2024-09-13 GMT+08:00
Ver PDF
Compartir

Encriptación de una instancia de BD de RDS

Descripción general

Relational Database Service (RDS) soporta los motores de MySQL y PostgreSQL.

Una vez habilitada la encriptación, los datos del disco se cifrarán y almacenarán en el servidor cuando cree una instancia de BD o amplíe la capacidad del disco. Cuando descargue objetos cifrados, los datos cifrados se descifrarán en el servidor y se mostrarán en el texto plano.

Restricciones

  • El derecho de KMS Administrator debe otorgarse al usuario en la región de RDS con Identity and Access Management (IAM). Para obtener más detalles sobre cómo asignar permisos a grupos de usuarios, consulte "¿Cómo gestiono grupos de usuarios y les otorgo permisos?" en la Guía de usuario de Identity and Access Management.
  • Para utilizar una clave definida por el usuario para encriptar los objetos que se van a cargar, cree una clave con DEW. Para obtener más detalles, consulte Creación de una CMK.
  • Una vez habilitada la función de encriptación del disco, no puede deshabilitarla ni cambiar la clave después de crear una instancia de BD. Los datos de respaldo almacenados en OBS no se cifrarán.
  • Una vez creada una instancia de BD de RDS, no deshabilite ni elimine la clave que se está utilizando. De lo contrario, RDS no estará disponible y no se podrán restaurar los datos.
  • Si escala verticalmente una instancia de base de datos con discos encriptados, el espacio de almacenamiento ampliado se cifrará con la clave de encriptación original.

Uso de KMS para encriptar una instancia de BD (en la consola)

Cuando un usuario compra una instancia de base de datos del Servicio de base de datos relacional (RDS), el usuario puede seleccionar Disk encryption y utilizar la clave proporcionada por KMS para cifrar el disco de la instancia de base de datos. Para obtener más información, consulte Compra de una instancia de BD de MySQL y Compra de una instancia de BD de PostgreSQL .

Figura 1 Encriptación de datos en RDS

Uso de KMS para encriptar una instancia de BD (Con una API)

También puede invocar a la API requerida de RDS para adquirir instancias de BD cifradas. Consulte la Referencia de las API de Relational Database Service para obtener más detalles.