Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Central de ajuda/ Data Encryption Workshop/ Melhores práticas/ Serviço de gerenciamento de chaves/ Uso do KMS para criptografar e descriptografar dados para serviços em nuvem/ Criptografia de uma instância de banco de dados do RDS
Atualizado em 2024-09-14 GMT+08:00
Ver PDF
Compartilhar

Criptografia de uma instância de banco de dados do RDS

Visão geral

O Relational Database Service (RDS) suporta mecanismos MySQL e PostgreSQL.

Depois que a criptografia for ativada, os dados do disco serão criptografados e armazenados no servidor quando você criar uma instância de banco de dados ou expandir a capacidade do disco. Quando você baixa objetos criptografados, os dados criptografados serão descriptografados no servidor e exibidos em texto não criptografado.

Restrições

  • O direito de KMS Administrator deve ser concedido ao usuário na região do RDS usando o Identity and Access Management (IAM). Para obter detalhes sobre como atribuir permissões a grupos de usuários, consulte. "Como gerenciar grupos de usuários e conceder permissões a eles?" no Guia de usuário do Identity and Access Management.
  • Para usar uma chave definida pelo usuário para criptografar objetos a serem carregados, crie uma chave usando DEW. Para obter detalhes, consulte Criação de uma CMK.
  • Depois que a função de criptografia de disco estiver ativada, você não poderá desativá-la ou alterar a chave após a criação de uma instância de banco de dados. Os dados de backup armazenados no OBS não serão criptografados.
  • Depois que uma instância de banco de dados do RDS for criada, não ative nem exclua a chave que está sendo usada. Caso contrário, RDS ficará indisponível e os dados não poderão ser restaurados.
  • Se você ampliar uma instância de BD com discos criptografados, o espaço de armazenamento expandido será criptografado usando a chave de criptografia original.

Uso do KMS para criptografar uma instância de BD (no console)

Quando um usuário compra uma instância de banco de dados do Relational Database Service (RDS), ele pode selecionar Disk encryption e usar a chave fornecida pelo KMS para criptografar o disco da instância de banco de dados. Para obter mais informações, consulte Comprar uma instância de banco de dados do MySQL e Comprar uma instância de banco de dados do PostgreSQL.

Figura 1 Criptografia de dados no RDS

Uso do KMS para criptografar uma instância de banco de dados (por meio de uma API)

Você também pode chamar a API necessária do RDS para comprar instâncias de banco de dados criptografadas. Para obter detalhes, consulte Referência de API do Relational Database Service.