動的RDSシークレット機能を使用する場合、Key Management Service (KMS) はサービスにリンクされたロールを使用してApsaraDB RDSのリソースにアクセスする必要があります。 このトピックでは、動的ApsaraDB RDSシークレットのサービスにリンクされたロールAliyunServiceRoleForKMSSecretsManagerForRDSの権限ポリシーと、ロールを作成および削除する方法について説明します。

権限の説明

ロール名: AliyunServiceRoleForKMSSecretsManagerForRDS。

ポリシー: AliyunServiceRolePolicyForKMSSecretsManagerForRDS。

権限の説明: Secrets Managerは、このロールを使用してApsaraDB RDSに関連するタスクを実行します。 たとえば、Secrets Managerはこのロールを使用して、動的ApsaraDB RDSシークレットを管理し、ApsaraDB RDSインスタンスのアカウントパスワードをローテーションします。

{
  "Statement": [
    {
      "Action": [
        "rds:ResetAccountPassword" 、
        "rds:DescribeDBInstanceAttribute",
        「rds:DescribeAccounts」
      ],
      "Resource": "*",
      "Effect":"Allow"
    },
    {
      "アクション": "ram:DeleteServiceLinkedRole" 、
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "secretsmanager-rds.kms.aliyuncs.com"
        }
      }
    }
  ],
  "バージョン": "1"
}

サービスにリンクされたロールの作成

サービスにリンクされたロールが作成されていない場合、動的ApsaraDB RDSシークレットを作成すると自動的に作成されます。

サービスにリンクされたロールの削除

サービスにリンクされたロールを削除する前に、現在のAlibaba Cloudアカウントの動的ApsaraDB RDSシークレットを削除する必要があります。 その後、RAMコンソールでサービスにリンクされたロールを削除できます。 詳細については、「RAM ロールの削除」をご参照ください。