AWS。平文のデータが保存されたデータベースを暗号化するにはどうすべきか?

徒然草2.0

A社で運用しているデータベースは暗号化されていない。

今後はリードレプリカを別リージョンへ作成しつつ、すべてのデータを暗号化したいとすると、

どのようにするのが望ましいでしょうか?

【回答/手順】

1.既存のデータベースのスナップショットAをとる。
2.そのスナップショットAを暗号化する。
3.暗号化されたスナップショットAからインスタンスを新規作成。
4.新規作成したDBからクロスリージョンのリードレプリカを作成。

※暗号化されていないDBから暗号化されたリードレプリカを作成することはできないので、
まずは既存のデーターベースを暗号化するためにスナップショットをとってから暗号化し、
新しいDBインスタンスを生成しなおさなければいけない…らしい。

めんどうくさい。無停止でやれとは言わないが、ボタン1つで暗号化までコンバートのプロセスをやってほしい。というぼやきはこのくらにして…と。

【まとめ】

すでにデータベースがある場合のデータ暗号化は、スナップショットをとった後に暗号化し、新しいデータベースを作り直す必要がある。

これはこれで、憶えておくしか無い。

コメント

タイトルとURLをコピーしました