您可以在创建AnalyticDB for MySQL集群时开启云盘加密功能,开启后,系统会基于块存储对整个数据盘进行加密,即使数据备份泄露也无法被解密,保护您的数据安全。
功能说明
开启云盘加密功能后,AnalyticDB for MySQL会创建一块加密云盘并将其挂载到ECS实例,并对云盘中的如下数据进行加密:
预留模式集群中的所有数据。
弹性模式集群中的热数据。
说明弹性模式集群中的冷数据不存储在云盘,因此不支持对弹性模式集群中的冷数据进行加密。
云盘和集群间传输的数据。
从加密云盘创建的所有快照(即加密快照)。
注意事项
仅在创建AnalyticDB for MySQL集群时可以开启云盘加密,集群创建后无法开启。
云盘加密功能开启后无法关闭。
开启云盘加密后,预留模式集群中生成的快照备份,以及通过这些备份创建的预留模式集群将自动延续加密属性。
开启云盘加密会影响集群的读写性能。一般情况下,会造成10%左右的性能损失。
云盘加密对于业务访问透明,无需在应用程序上做任何修改。
计费
云盘加密功能需要使用密钥管理服务KMS(Key Management Service),使用时会涉及密钥管理费用和API调用费用。关于KMS服务费用,详情请参见KMS计费说明。
开启方式
仅支持在创建AnalyticDB for MySQL集群时可以开启云盘加密。如需开启,您需要在集群售卖页设置相关配置。
在集群售卖页,选中云盘加密。
如果是第一次使用云盘加密功能,请单击创建服务关联角色。
说明仅当第一次开启云盘加密功能时需要创建服务关联角色。若页面提示已创建表示之前已创建过服务关联角色,您可以跳过该步骤直接进行下一步。
云盘加密服务需要创建相关服务关联角色SLR(Service Linked Role)授权,以使用相关密钥管理服务(KMS)功能,更多详情,请参见AnalyticDB for MySQL云盘加密服务关联角色。
在密钥下拉列表中选择目标密钥。
说明若您的下拉列表中没有任何密钥选项,您需要先创建密钥,创建方法,请参见创建密钥。
AnalyticDB for MySQL的云盘加密功能仅支持由手动创建的服务密钥,您在创建普通密钥时需要将轮转周期设置为不开启。
授权开通密钥管理服务(KMS)后,操作审计(ActionTrail)会记录您对KMS资源执行的操作。更多详情,请参见使用操作审计查询密钥管理服务的操作事件。
设置完云盘加密功能相关配置后,继续创建AnalyticDB for MySQL集群中的后续步骤完成创建集群即可。