動的RDSシークレット機能を使用する場合、Key Management Service (KMS) はサービスにリンクされたロールを使用してApsaraDB RDSのリソースにアクセスする必要があります。 このトピックでは、動的ApsaraDB RDSシークレットのサービスにリンクされたロールAliyunServiceRoleForKMSSecretsManagerForRDSの権限ポリシーと、ロールを作成および削除する方法について説明します。
権限の説明
ロール名: AliyunServiceRoleForKMSSecretsManagerForRDS。
ポリシー: AliyunServiceRolePolicyForKMSSecretsManagerForRDS。
権限の説明: Secrets Managerは、このロールを使用してApsaraDB RDSに関連するタスクを実行します。 たとえば、Secrets Managerはこのロールを使用して、動的ApsaraDB RDSシークレットを管理し、ApsaraDB RDSインスタンスのアカウントパスワードをローテーションします。
{
"Statement": [
{
"Action": [
"rds:ResetAccountPassword" 、
"rds:DescribeDBInstanceAttribute",
「rds:DescribeAccounts」
],
"Resource": "*",
"Effect":"Allow"
},
{
"アクション": "ram:DeleteServiceLinkedRole" 、
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "secretsmanager-rds.kms.aliyuncs.com"
}
}
}
],
"バージョン": "1"
}
サービスにリンクされたロールの作成
サービスにリンクされたロールが作成されていない場合、動的ApsaraDB RDSシークレットを作成すると自動的に作成されます。
サービスにリンクされたロールの削除
サービスにリンクされたロールを削除する前に、現在のAlibaba Cloudアカウントの動的ApsaraDB RDSシークレットを削除する必要があります。 その後、RAMコンソールでサービスにリンクされたロールを削除できます。 詳細については、「RAM ロールの削除」をご参照ください。