云盤加密
您可以在創建AnalyticDB for MySQL集群時開啟云盤加密功能,開啟后,系統會基于塊存儲對整個數據盤進行加密,即使數據備份泄露也無法被解密,保護您的數據安全。
功能說明
開啟云盤加密功能后,AnalyticDB for MySQL會創建一塊加密云盤并將其掛載到ECS實例,并對云盤中的如下數據進行加密:
預留模式集群中的所有數據。
彈性模式集群中的熱數據。
說明彈性模式集群中的冷數據不存儲在云盤,因此不支持對彈性模式集群中的冷數據進行加密。
云盤和集群間傳輸的數據。
從加密云盤創建的所有快照(即加密快照)。
注意事項
僅在創建AnalyticDB for MySQL集群時可以開啟云盤加密,集群創建后無法開啟。
云盤加密功能開啟后無法關閉。
開啟云盤加密后,預留模式集群中生成的快照備份,以及通過這些備份創建的預留模式集群將自動延續加密屬性。
開啟云盤加密會影響集群的讀寫性能。一般情況下,會造成10%左右的性能損失。
云盤加密對于業務訪問透明,無需在應用程序上做任何修改。
計費
云盤加密功能需要使用密鑰管理服務KMS(Key Management Service),使用時會涉及密鑰管理費用和API調用費用。關于KMS服務費用,詳情請參見KMS計費說明。
開啟方式
僅支持在創建AnalyticDB for MySQL集群時可以開啟云盤加密。如需開啟,您需要在集群售賣頁設置相關配置。
在集群售賣頁,選中云盤加密。
如果是第一次使用云盤加密功能,請單擊創建服務關聯角色。
說明僅當第一次開啟云盤加密功能時需要創建服務關聯角色。若頁面提示已創建表示之前已創建過服務關聯角色,您可以跳過該步驟直接進行下一步。
云盤加密服務需要創建相關服務關聯角色SLR(Service Linked Role)授權,以使用相關密鑰管理服務(KMS)功能,更多詳情,請參見AnalyticDB for MySQL云盤加密服務關聯角色。
在密鑰下拉列表中選擇目標密鑰。
說明若您的下拉列表中沒有任何密鑰選項,您需要先創建密鑰,創建方法,請參見創建密鑰。
AnalyticDB for MySQL的云盤加密功能僅支持由手動創建的服務密鑰,您在創建普通密鑰時需要將輪轉周期設置為不開啟。
授權開通密鑰管理服務(KMS)后,操作審計(ActionTrail)會記錄您對KMS資源執行的操作。更多詳情,請參見使用操作審計查詢密鑰管理服務的操作事件。
設置完云盤加密功能相關配置后,繼續創建AnalyticDB for MySQL集群中的后續步驟完成創建集群即可。