保存時の暗号化
VeloDB Cloudは保存時のデータを2つの層で保護します:
- ストレージ層:クラウドオブジェクトストレージとディスクの常時有効な暗号化で、クラウド管理キーによってクラウドプラットフォームが管理します。
- ウェアハウス層:オプションの追加層であるTransparent Data Encryption(TDE)で、ウェアハウスごとに有効化でき、独自のカスタマー管理KMSキーでバックアップできます。
ストレージ層暗号化
キャッシュに使用されるクラウドオブジェクトストレージとディスクは、クラウド管理キーを使用してクラウドプラットフォームによって暗号化されます。この保護はデフォルトで有効になっており、設定は不要です:
- オブジェクトストレージ暗号化は、オブジェクトストレージや物理ディスクからデータが直接読み取られることを防ぎます。
- ディスク暗号化は、キャッシュデータがディスクから直接読み取られることを防ぎます。
クラウドプラットフォームがこれらのキーとローテーションを含むライフサイクルを所有します。暗号化キーを自分で制御するには、下記のウェアハウス層暗号化(TDE)を使用してください。
ウェアハウス層暗号化(TDE)
Transparent Data Encryption(TDE)は、ウェアハウスサービスデータに適用される、ストレージ層の上に2番目の暗号化層を追加します。ウェアハウスを作成する際にTDEを有効化できます。拡張暗号化は現在AWSウェアハウスで利用可能です。

デフォルトでは、TDEはウェアハウスが提供するキーを使用します。独自のカスタマー管理KMSキーにアップグレードでき、キーとそのローテーションを制御できます。
カスタマー管理KMSキーの使用
デフォルトのウェアハウスキーをカスタマー管理KMSキーに置き換える:

-
AWS KMSコンソールで、新しい対称暗号化キーを作成します。
-
VeloDB Cloudで、ウェアハウスのSettingsページを開き、Rotate KMSをクリックして、Encryption Role IDをコピーします。

-
作成したKMSキーのキーポリシーに以下のポリシーステートメントを追加します。
YOUR_ENCRYPTION_ROLE_IDをVeloDB CloudからコピーしたEncryption Role IDに置き換えてください。{
"Sid": "Allow VeloDB Access",
"Effect": "Allow",
"Principal": {
"AWS": [ "YOUR_ENCRYPTION_ROLE_ID" ]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:DescribeKey"
],
"Resource": "*"
} -
VeloDB Cloudに戻り、ウェアハウス設定のTransparent Data EncryptionセクションにKey ARNを貼り付け、Rotateをクリックします。
カスタマー管理KMSキーを削除から保護してください。ウェアハウスの動作はキーの可用性に依存します。