AnalyticDB for MySQLは、ディスク暗号化機能を提供します。 この機能は、ブロックストレージに基づいてクラスター内の各ディスクのデータを暗号化します。 このようにして、データが漏洩しても復号化できません。
特徴
ディスク暗号化を有効にすると、AnalyticDB for MySQLは暗号化されたディスクを作成し、そのディスクをElastic Compute Service (ECS) インスタンスに接続し、ディスク内の次のデータを暗号化します。
予約済みクラスター内のすべてのデータ
エラスティッククラスターのホットデータ
説明エラスティッククラスタのコールドデータはディスクに保存されず、エラスティッククラスタ内で暗号化することはできません。
ディスクとクラスター間で送信されるデータ
暗号化されたスナップショットとして分類される、暗号化されたディスクのすべてのスナップショット
注意事項
AnalyticDB for MySQLクラスターのディスク暗号化は、クラスターの最初の作成時に有効にできます。 クラスターの作成後にこの機能を有効にすることはできません。
ディスク暗号化を有効にすると無効にすることはできません。
ディスク暗号化を有効にすると、予約済みクラスターから生成されたスナップショットと、それらのスナップショットから作成された予約済みクラスターの両方が自動的に暗号化されます。
ディスク暗号化を有効にすると、クラスターの読み取りおよび書き込みパフォーマンスが影響を受けます。 典型的には、読み書き性能は約10% 低下する。
サービスへのアクセスを許可するためにコードを変更する必要はありません。
料金
ディスクの暗号化には、Key Management Service (KMS) の使用が必要です。 KMSでのキー管理とAPI呼び出しに対して課金されます。 詳細については、「KMSの課金」をご参照ください。
ディスク暗号化を有効にするメソッド
ディスク暗号化は、AnalyticDB for MySQLクラスターを作成した場合にのみ有効にできます。 詳細については、「クラスターの作成」をご参照ください。 ディスク暗号化を有効にするには、クラスター購入ページで関連パラメーターを指定する必要があります。
クラスターの購入ページで、[ディスク暗号化] を選択します。
初めてディスク暗号化を有効にする場合は、サービス関連付けの役割を作成する をクリックします。
説明サービス関連付けの役割を作成するは、ディスク暗号化が初めて有効になった場合にのみ必要です。 [サービスにリンクされたロール] セクションに [作成済み] が表示されている場合、サービスにリンクされたロールは既に作成されています。 このステップはスキップできます。
ディスク暗号化を使用する場合は、サービスにリンクされたロールを承認し、関連するKMS機能を使用する必要があります。 詳細については、「ディスク暗号化のためのサービスにリンクされたロールの管理」をご参照ください。
[キー] ドロップダウンリストから使用するキーを選択します。
説明ドロップダウンリストにキーがない場合は、キーを作成する必要があります。 詳細については、「CMKの作成」をご参照ください。
AnalyticDB for MySQLのディスク暗号化は、手動で作成されたキーのみをサポートします。 KMSコンソールでキーを作成するときは、[ローテーション期間] を [無効] に設定する必要があります。
KMSが有効化された後、ActionTrailはKMSリソースに対して実行した操作を記録します。 詳細については、「ActionTrailを使用したKMSイベントログの照会」をご参照ください。
ディスク暗号化パラメーターを指定した後、[クラスターの作成] の後続の手順を実行してクラスターを作成します。