ApsaraDB RDSの透過的データ暗号化 (TDE) 機能を使用するには、RDSにKMS (Key Management Service) へのアクセスを許可する必要があります。 このトピックでは、RAM (Resource access Management) コンソールでRDSにKMSへのアクセスを許可する方法について説明します。
前提条件
Alibaba CloudアカウントでRAMコンソールにログインしています。
背景情報
クラウド暗号化機能を使用すると、ビジネスやアプリケーションを変更することなく、データのセキュリティを確保できます。 さまざまなデータベースエンジンを実行するRDSインスタンスのクラウド暗号化機能の詳細については、次のドキュメントを参照してください。
AliyunRDSInstanceEncryptionRolePolicyという名前のポリシーを作成する
ポリシーページに移動します。
[ポリシー] ページで、ポリシーの作成をクリックします。
説明ポリシーは、特定の構文を使用して定義される一連の権限です。 ポリシーを使用して、権限が付与されたリソースセット、権限が付与された操作セット、および権限付与の条件を記述できます。 詳細については、「用語」をご参照ください。
[JSON] タブで、次のコードをコピーしてコードエディターに貼り付けます。
{ "Version": "1", "Statement": [ { "Action": [ "kms:List*", "kms:DescribeKey", "kms:TagResource", "kms:UntagResource" ], "Resource": [ "acs:kms:*:*:*" ], "Effect": "Allow" }, { "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "acs:kms:*:*:*" ], "Effect": "Allow", "Condition": { "StringEqualsIgnoreCase": { "kms:tag/acs:rds:instance-encryption": "true" } } } ] }
[OK] をクリックします。 表示されるダイアログボックスで、次の表に示すパラメーターを設定します。
パラメーター
説明
名前
ポリシー名です。 AliyunRDSInstanceEncryptionRolePolicyを入力します。
説明
ポリシーの説明です。 例: RDSにKMSへのアクセスを許可します。
クリックOK.
AliyunRDSInstanceEncryptionDefaultRoleという名前のRAMロールの作成と権限付与
AliyunRDSInstanceEncryptionRolePolicyポリシーを作成した後、RAMロールを作成し、ポリシーをRAMロールにアタッチする必要があります。 その後、RDSはKMSにアクセスできます。
ロールページに移動します。
[ロール] ページで、ロールの作成をクリックします。
[ロールの作成] ページで、Alibaba Cloudサービスを選択し、次へ をクリックします。
次の表に示すパラメーターを設定し、OKをクリックします。
パラメーター
説明
ロールタイプ
ロールのタイプ。 [通常のサービスロール] を選択します。
RAMロール名
RAM ロールの名前です。 AliyunRDSInstanceEncryptionDefaultRoleを入力します。
注
RAM ロールの説明です。
信頼できるサービスの選択
RAMロールの信頼済みサービス。 [RDS] を選択します。
ロールが作成されましたメッセージが表示されると、RAMロールへの権限の追加をクリックします。
説明ロールが作成されましたメッセージが表示されたページを閉じた場合は、ロールページに移動してAliyunRDSInstanceEncryptionDefaultRoleロールを見つけ、[操作] 列の [権限の付与] をクリックします。
権限付与パネルで、AliyunRDSInstanceEncryptionRolePolicyにポリシーを追加するために作成したポリシー選択したポリシーセクションにアクセスします。
権限の付与をクリックします。