文档

云盘加密

更新时间:

您可以在创建AnalyticDB for MySQL集群时开启云盘加密功能,开启后,系统会基于块存储对整个数据盘进行加密,即使数据备份泄露也无法被解密,保护您的数据安全。

功能说明

开启云盘加密功能后,AnalyticDB for MySQL会创建一块加密云盘并将其挂载到ECS实例,并对云盘中的如下数据进行加密:

  • 预留模式集群中的所有数据。

  • 弹性模式集群中的热数据。

    说明

    弹性模式集群中的冷数据不存储在云盘,因此不支持对弹性模式集群中的冷数据进行加密。

  • 云盘和集群间传输的数据。

  • 从加密云盘创建的所有快照(即加密快照)。

注意事项

  • 仅在创建AnalyticDB for MySQL集群时可以开启云盘加密,集群创建后无法开启。

  • 云盘加密功能开启后无法关闭。

  • 开启云盘加密后,预留模式集群中生成的快照备份,以及通过这些备份创建的预留模式集群将自动延续加密属性。

  • 开启云盘加密会影响集群的读写性能。一般情况下,会造成10%左右的性能损失。

  • 云盘加密对于业务访问透明,无需在应用程序上做任何修改。

计费

云盘加密功能需要使用密钥管理服务KMS(Key Management Service),使用时会涉及密钥管理费用和API调用费用。关于KMS服务费用,详情请参见KMS计费说明

开启方式

仅支持在创建AnalyticDB for MySQL集群时可以开启云盘加密。如需开启,您需要在集群售卖页设置相关配置。

  1. 在集群售卖页,选中云盘加密

  2. 如果是第一次使用云盘加密功能,请单击创建服务关联角色

    说明
    • 仅当第一次开启云盘加密功能时需要创建服务关联角色。若页面提示已创建表示之前已创建过服务关联角色,您可以跳过该步骤直接进行下一步。

    • 云盘加密服务需要创建相关服务关联角色SLR(Service Linked Role)授权,以使用相关密钥管理服务(KMS)功能,更多详情,请参见AnalyticDB for MySQL云盘加密服务关联角色

  3. 密钥下拉列表中选择目标密钥。

    说明
    • 若您的下拉列表中没有任何密钥选项,您需要先创建密钥,创建方法,请参见创建密钥

    • AnalyticDB for MySQL的云盘加密功能仅支持由手动创建的服务密钥,您在创建普通密钥时需要将轮转周期设置为不开启

    • 授权开通密钥管理服务(KMS)后,操作审计(ActionTrail)会记录您对KMS资源执行的操作。更多详情,请参见使用操作审计查询密钥管理服务的操作事件

    设置完云盘加密功能相关配置后,继续创建AnalyticDB for MySQL集群中的后续步骤完成创建集群即可。