メインコンテンツまでスキップ

保存時の暗号化

VeloDB Cloudは保存時のデータを2つの層で保護します:

  • ストレージ層:クラウドオブジェクトストレージとディスクの常時有効な暗号化で、クラウド管理キーによってクラウドプラットフォームが管理します。
  • ウェアハウス層:オプションの追加層であるTransparent Data Encryption(TDE)で、ウェアハウスごとに有効化でき、独自のカスタマー管理KMSキーでバックアップできます。

ストレージ層暗号化

キャッシュに使用されるクラウドオブジェクトストレージとディスクは、クラウド管理キーを使用してクラウドプラットフォームによって暗号化されます。この保護はデフォルトで有効になっており、設定は不要です:

  • オブジェクトストレージ暗号化は、オブジェクトストレージや物理ディスクからデータが直接読み取られることを防ぎます。
  • ディスク暗号化は、キャッシュデータがディスクから直接読み取られることを防ぎます。

クラウドプラットフォームがこれらのキーとローテーションを含むライフサイクルを所有します。暗号化キーを自分で制御するには、下記のウェアハウス層暗号化(TDE)を使用してください。

ウェアハウス層暗号化(TDE)

Transparent Data Encryption(TDE)は、ウェアハウスサービスデータに適用される、ストレージ層の上に2番目の暗号化層を追加します。ウェアハウスを作成する際にTDEを有効化できます。拡張暗号化は現在AWSウェアハウスで利用可能です。

enable-tde

デフォルトでは、TDEはウェアハウスが提供するキーを使用します。独自のカスタマー管理KMSキーにアップグレードでき、キーとそのローテーションを制御できます。

カスタマー管理KMSキーの使用

デフォルトのウェアハウスキーをカスタマー管理KMSキーに置き換える:

tde-settings

  1. AWS KMSコンソールで、新しい対称暗号化キーを作成します。

  2. VeloDB Cloudで、ウェアハウスのSettingsページを開き、Rotate KMSをクリックして、Encryption Role IDをコピーします。

    tde-rotate-key

  3. 作成したKMSキーのキーポリシーに以下のポリシーステートメントを追加します。YOUR_ENCRYPTION_ROLE_IDをVeloDB CloudからコピーしたEncryption Role IDに置き換えてください。

    {
    "Sid": "Allow VeloDB Access",
    "Effect": "Allow",
    "Principal": {
    "AWS": [ "YOUR_ENCRYPTION_ROLE_ID" ]
    },
    "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:DescribeKey"
    ],
    "Resource": "*"
    }
  4. VeloDB Cloudに戻り、ウェアハウス設定のTransparent Data EncryptionセクションにKey ARNを貼り付け、Rotateをクリックします。

注記

カスタマー管理KMSキーを削除から保護してください。ウェアハウスの動作はキーの可用性に依存します。

関連ドキュメント