すべてのプロダクト
Search
ドキュメントセンター

ApsaraDB RDS:RDS の KMS へのアクセスを承認する

最終更新日:Dec 19, 2024

ApsaraDB RDSの透過的データ暗号化 (TDE) 機能を使用するには、RDSにKMS (Key Management Service) へのアクセスを許可する必要があります。 このトピックでは、RAM (Resource access Management) コンソールでRDSにKMSへのアクセスを許可する方法について説明します。

前提条件

Alibaba CloudアカウントでRAMコンソールにログインしています。

背景情報

クラウド暗号化機能を使用すると、ビジネスやアプリケーションを変更することなく、データのセキュリティを確保できます。 さまざまなデータベースエンジンを実行するRDSインスタンスのクラウド暗号化機能の詳細については、次のドキュメントを参照してください。

AliyunRDSInstanceEncryptionRolePolicyという名前のポリシーを作成する

  1. ポリシーページに移動します。

  2. [ポリシー] ページで、ポリシーの作成をクリックします。

    説明

    ポリシーは、特定の構文を使用して定義される一連の権限です。 ポリシーを使用して、権限が付与されたリソースセット、権限が付与された操作セット、および権限付与の条件を記述できます。 詳細については、「用語」をご参照ください。

  3. [JSON] タブで、次のコードをコピーしてコードエディターに貼り付けます。

    {
        "Version": "1",
        "Statement": [
            {
                "Action": [
                    "kms:List*",
                    "kms:DescribeKey",
                    "kms:TagResource",
                    "kms:UntagResource"
                ],
                "Resource": [
                    "acs:kms:*:*:*"
                ],
                "Effect": "Allow"
            },
            {
                "Action": [
                    "kms:Encrypt",
                    "kms:Decrypt",
                    "kms:GenerateDataKey"
                ],
                "Resource": [
                    "acs:kms:*:*:*"
                ],
                "Effect": "Allow",
                "Condition": {
                    "StringEqualsIgnoreCase": {
                        "kms:tag/acs:rds:instance-encryption": "true"
                    }
                }
            }
        ]
    }
  4. [OK] をクリックします。 表示されるダイアログボックスで、次の表に示すパラメーターを設定します。

    パラメーター

    説明

    名前

    ポリシー名です。 AliyunRDSInstanceEncryptionRolePolicyを入力します。

    説明

    ポリシーの説明です。 例: RDSにKMSへのアクセスを許可します。

  5. クリックOK.

AliyunRDSInstanceEncryptionDefaultRoleという名前のRAMロールの作成と権限付与

AliyunRDSInstanceEncryptionRolePolicyポリシーを作成した後、RAMロールを作成し、ポリシーをRAMロールにアタッチする必要があります。 その後、RDSはKMSにアクセスできます。

  1. ロールページに移動します。

  2. [ロール] ページで、ロールの作成をクリックします。

  3. [ロールの作成] ページで、Alibaba Cloudサービスを選択し、次へ をクリックします。

  4. 次の表に示すパラメーターを設定し、OKをクリックします。

    パラメーター

    説明

    ロールタイプ

    ロールのタイプ。 [通常のサービスロール] を選択します。

    RAMロール名

    RAM ロールの名前です。 AliyunRDSInstanceEncryptionDefaultRoleを入力します。

    RAM ロールの説明です。

    信頼できるサービスの選択

    RAMロールの信頼済みサービス。 [RDS] を選択します。

  5. ロールが作成されましたメッセージが表示されると、RAMロールへの権限の追加をクリックします。

    説明

    ロールが作成されましたメッセージが表示されたページを閉じた場合は、ロールページに移動してAliyunRDSInstanceEncryptionDefaultRoleロールを見つけ、[操作] 列の [権限の付与] をクリックします。

  6. 権限付与パネルで、AliyunRDSInstanceEncryptionRolePolicyにポリシーを追加するために作成したポリシー選択したポリシーセクションにアクセスします。

  7. 権限の付与をクリックします。