云盘加密
您可以在创建AnalyticDB for MySQL集群时开启云盘加密功能,开启后,系统会基于块存储对整个数据盘进行加密,即使数据备份泄露也无法被解密,保护您的数据安全。
功能说明
开启云盘加密功能后,AnalyticDB for MySQL会创建一块加密云盘并将其挂载到ECS实例,并对云盘中的如下数据进行加密:
企业版、基础版及湖仓版和数仓版弹性模式的热数据。
说明冷数据不存储在云盘,因此不支持加密冷数据。
数仓版预留模式的所有数据。
云盘和集群间传输的数据。
从加密云盘创建的所有快照(即加密快照)。
注意事项
仅在创建AnalyticDB for MySQL集群时可以开启云盘加密,集群创建后无法开启。
云盘加密功能开启后无法关闭。
开启云盘加密后,预留模式集群中生成的快照备份,以及通过这些备份创建的预留模式集群将自动延续加密属性。查看目标集群的云盘加密功能是否开启的方法,请参见查看是否开启云盘加密。
开启云盘加密会影响集群的读写性能。一般情况下,会造成10%左右的性能损失。
云盘加密对于业务访问透明,无需在应用程序上做任何修改。
计费
云盘加密功能需要使用密钥管理服务KMS(Key Management Service),使用时会涉及密钥管理费用和API调用费用。关于KMS服务费用,详情请参见KMS计费说明。
开启方式
仅支持在创建AnalyticDB for MySQL集群时,开启云盘加密功能。如果已创建的集群未开启云盘加密功能,您可以创建一个启用了该功能的新集群,并将数据迁移至新集群中。
在集群售卖页,选中云盘加密。
如果是第一次使用云盘加密功能,请单击创建服务关联角色。
说明仅当第一次开启云盘加密功能时需要创建服务关联角色。若页面提示已创建表示之前已创建过服务关联角色,您可以跳过该步骤直接进行下一步。
云盘加密服务需要创建相关服务关联角色SLR(Service Linked Role)授权,以使用相关密钥管理服务(KMS)功能,更多详情,请参见AnalyticDB for MySQL云盘加密服务关联角色。
在密钥下拉列表中选择目标密钥。
说明若您的下拉列表中没有任何密钥选项,您需要先创建密钥,创建方法,请参见创建密钥。
AnalyticDB for MySQL的云盘加密功能仅支持由手动创建的服务密钥,您在创建普通密钥时需要将轮转周期设置为不开启。
授权开通密钥管理服务(KMS)后,操作审计(ActionTrail)会记录您对KMS资源执行的操作。更多详情,请参见使用操作审计查询密钥管理服务的操作事件。
设置完云盘加密功能相关配置后,继续创建AnalyticDB for MySQL集群中的后续步骤即可。
查看是否开启云盘加密
登录云原生数据仓库AnalyticDB MySQL控制台,在左上角选择集群所在地域。在左侧导航栏,单击集群列表。在集群列表上方,选择产品系列,然后单击目标集群ID。
在左侧导航栏单击。
在配置信息区域查看云盘加密kmsId。
如果在配置信息区域未显示云盘加密kmsId,则表示集群未开启云盘加密功能。