AnalyticDB for MySQLを使用すると、クラスターの作成時にディスク暗号化機能を有効にできます。 この機能は、Elastic Block Storage (EBS) に基づいて、クラスターの各データディスク上のデータを暗号化します。 このようにして、データが漏洩してもデータを復号化することはできません。
概要
クラスターのディスク暗号化機能を有効にすると、AnalyticDB for MySQLは暗号化されたディスクを作成し、そのディスクをElastic Compute Service (ECS) インスタンスにアタッチし、ディスク上の次のデータを暗号化します。
クラスターが予約モードの場合、クラスターのすべてのデータ。
クラスターがエラスティックモードの場合、クラスターのホットデータ。
説明エラスティックモードのクラスターのコールドデータはディスクに保存されず、暗号化できません。
ディスクとクラスター間で送信されるデータ。
暗号化されたディスクから作成されたすべてのスナップショット。
使用上の注意
AnalyticDB for MySQLクラスターを作成する場合にのみ、ディスク暗号化機能を有効にできます。
機能を有効にした後は、ディスク暗号化機能を無効にすることはできません。
予約モードのクラスターでディスク暗号化機能を有効にすると、クラスター用に生成されたスナップショットと、スナップショットから作成されたクラスターはディスク暗号化機能を継承します。
クラスターのディスク暗号化機能を有効にすると、クラスターの読み取りおよび書き込みパフォーマンスが影響を受けます。 ほとんどの場合、読み書きのパフォーマンスは約10% 低下します。
ディスク暗号化機能では、アプリケーションを変更する必要はありません。
課金ルール
ディスク暗号化機能には、Key Management Service (KMS) が必要です。 KMSを使用すると、キー管理とAPI呼び出しに対して課金されます。 詳細については、「KMSの課金」をご参照ください。
ディスク暗号化機能の有効化
ディスク暗号化機能を有効にできるのは、AnalyticDB for MySQLクラスターを作成した場合のみです。 この機能を有効にするには、購入ページで関連するパラメーターを設定する必要があります。
ページを買う、選択ディスク暗号化.
ディスク暗号化機能を初めて有効にするときは、サービス関連付けの役割を作成する.
説明ディスク暗号化機能を初めて有効にする場合にのみ、サービス関連付けの役割を作成する をクリックする必要があります。 [作成済み] が表示されている場合は、サービスにリンクされたロールが既に作成されているため、この手順をスキップできます。
ディスク暗号化機能には、KMS機能を使用するためにサービスにリンクされたロールが必要です。 詳細については、「ディスク暗号化のためのサービスにリンクされたロールの管理」をご参照ください。
キードロップダウンリストからキーを選択します。
説明ドロップダウンリストにキーがない場合は、キーを作成する必要があります。 詳細については、「CMKの作成」をご参照ください。
AnalyticDB for MySQLのディスク暗号化機能は、手動で作成されたキーのみをサポートします。 KMSコンソールでキーを作成するときは、[ローテーション期間] パラメーターを [無効] に設定する必要があります。
KMS機能の使用を許可された後、ActionTrailはKMSリソースで実行した操作を記録します。 詳細については、「ActionTrailを使用したKMSイベントログの照会」をご参照ください。
ディスク暗号化機能のパラメーターを設定したら、以降の手順を実行してクラスターを作成します。 詳細については、「クラスターの作成」をご参照ください。