PolarDBクラスターに透過的データ暗号化 (TDE) 機能を使用するには、クラスターにKey Management Service (KMS) へのアクセスを許可する必要があります。 このトピックでは、RAMコンソールを使用してPolarDBクラスターにKMSへのアクセスを許可する方法について説明します。
前提条件
Alibaba CloudアカウントでRAMコンソールにログインしています。
AliyunRDSInstanceEncryptionRolePolicyという名前の権限ポリシーを作成する
ポリシーページに移動します。
ポリシーの作成をクリックします。
説明ポリシーは、特定の構文を使用して記述される一連の権限です。 ポリシーを使用して、権限が付与されたリソースセット、権限が付与された操作セット、および権限付与の条件を記述できます。 詳細については、「用語」をご参照ください。
[JSON] タブで、次のコードをコピーしてコードエディターに貼り付けます。
{ "Version": "1", "Statement": [ { "Action": [ "kms:List*", "kms:DescribeKey", "kms:TagResource", "kms:UntagResource" ], "Resource": [ "acs:kms:*:*:*" ], "Effect": "Allow" }, { "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "acs:kms:*:*:*" ], "Effect": "Allow", "Condition": { "StringEqualsIgnoreCase": { "kms:tag/acs:rds:instance-encryption": "true" } } } ] }[次へ] をクリックしてポリシー情報を編集し、次のパラメーターを設定します。
パラメーター
説明
名前
ポリシー名です。 AliyunRDSInstanceEncryptionRolePolicyを入力します。
説明
ポリシーを識別するために使用される情報。 例: PolarDBがKMSにアクセスできるようにします。
OKをクリックします。
AliyunRDSInstanceEncryptionDefaultRoleという名前のRAMロールの作成と権限付与
AliyunRDSInstanceEncryptionRolePolicy権限ポリシーを作成した後、RAMロールを作成し、権限ポリシーをRAMロールにアタッチする必要があります。 その後、PolarDBはKMSにアクセスできます。
RAMロールページに移動します。
ロールの作成をクリックします。
[ロールの作成] ページで、Alibaba Cloudサービスを選択し、次へをクリックします。
次のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
ロールタイプ
[通常のサービスロール] を選択します。
ロール名
RAM ロールの名前です。 AliyunRDSInstanceEncryptionDefaultRoleを入力します。
補足
RAMロールを識別するために使用される情報。
信頼できるサービスの選択
RAMロールの信頼済みサービス。 [RDS] を選択します。
ロールが作成されましたメッセージが表示したら、RAMロールへの権限の追加をクリックします。
説明[ロールが作成されました] というメッセージが表示されたパネルを閉じた場合は、[ロール] ページに移動し、AliyunRDSInstanceEncryptionDefaultRoleロールを見つけて、[操作] 列の [権限の付与] をクリックします。
権限付与パネルで、AliyunRDSInstanceEncryptionRolePolicyポリシーをクリックして選択済みセクションにポリシーを追加します。
権限付与をクリックします。