您可以在建立AnalyticDB for MySQL叢集時開啟雲端硬碟加密功能,開啟後,系統會基於Block Storage對整個資料盤進行加密,即使資料備份泄露也無法被解密,保護您的資料安全。
功能說明
開啟雲端硬碟加密功能後,AnalyticDB for MySQL會建立一塊加密雲端硬碟並將其掛載到ECS執行個體,並對雲端硬碟中的如下資料進行加密:
預留模式叢集中的所有資料。
彈性模式叢集中的熱資料。
說明彈性模式叢集中的冷資料不儲存在雲端硬碟,因此不支援對彈性模式叢集中的冷資料進行加密。
雲端硬碟和叢集間傳輸的資料。
從加密雲端硬碟建立的所有快照(即加密快照)。
注意事項
僅在建立AnalyticDB for MySQL叢集時可以開啟雲端硬碟加密,叢集建立後無法開啟。
雲端硬碟加密功能開啟後無法關閉。
開啟雲端硬碟加密後,預留模式叢集中產生的快照備份,以及通過這些備份建立的預留模式叢集將自動延續加密屬性。
開啟雲端硬碟加密會影響叢集的讀寫效能。一般情況下,會造成10%左右的效能損失。
雲端硬碟加密對於業務訪問透明,無需在應用程式上做任何修改。
計費
雲端硬碟加密功能需要使用Key Management Service(Key Management Service),使用時會涉及密鑰管理費用和API調用費用。關於KMS服務費用,詳情請參見KMS計費說明。
開啟方式
僅支援在建立AnalyticDB for MySQL叢集時可以開啟雲端硬碟加密。如需開啟,您需要在叢集售賣頁設定相關配置。
在叢集售賣頁,選中雲端硬碟加密。
如果是第一次使用雲端硬碟加密功能,請單擊創建服務關聯角色。
說明僅當第一次開啟雲端硬碟加密功能時需要創建服務關聯角色。若頁面提示已建立表示之前已建立過服務關聯角色,您可以跳過該步驟直接進行下一步。
雲端硬碟Data Encryption Service需要建立相關服務關聯角色SLR(Service Linked Role)授權,以使用相關Key Management Service(KMS)功能,更多詳情,請參見AnalyticDB for MySQL雲端硬碟Data Encryption Service關聯角色。
在密鑰下拉式清單中選擇目標密鑰。
說明若您的下拉式清單中沒有任何密鑰選項,您需要先建立密鑰,建立方法,請參見建立密鑰。
AnalyticDB for MySQL的雲端硬碟加密功能僅支援由手動建立的服務密鑰,您在建立普通密鑰時需要將輪轉周期設定為不開啟。
授權開通Key Management Service(KMS)後,Action Trail(ActionTrail)會記錄您對KMS資源執行的操作。更多詳情,請參見使用Action Trail查詢Key Management Service的操作事件。
設定完雲端硬碟加密功能相關配置後,繼續建立AnalyticDB for MySQL叢集中的後續步驟完成建立叢集即可。