すべてのプロダクト
Search
ドキュメントセンター

ApsaraDB RDS:ApsaraDB RDS for MySQLにKMSへのアクセスを許可する

最終更新日:Aug 28, 2024

ApsaraDB RDS for MySQLインスタンスにディスク暗号化機能を使用するには、インスタンスにKey Management Service (KMS) へのアクセスを許可する必要があります。 このトピックでは、RAMコンソールを使用してRDSインスタンスにKMSへのアクセスを許可する方法について説明します。

前提条件

Alibaba CloudアカウントでRAMコンソールにログインしています。

AliyunRDSInstanceEncryptionRolePolicyという名前の権限ポリシーを作成する

  1. ポリシーページに移動します。

  2. [ポリシー] ページで、ポリシーの作成をクリックします。

    説明

    ポリシーは、特定の構文を使用して記述される一連の権限です。 ポリシーを使用して、権限が付与されたリソースセット、権限が付与された操作セット、および権限付与の条件を記述できます。 詳細については、「Terms」をご参照ください。

  3. [JSON] タブで、次のコードをコピーしてコードエディターに貼り付けます。

    {
        "Version": "1",
        "Statement": [
            {
                "Action": [
                    "kms:List *"、
                    "kms:DescribeKey"、
                    "kms:TagResource",
                    "kms:UntagResource"
                ],
                "Resource": [
                    "acs:kms:*:*:*"
                ],
                "Effect": "Allow"
            },
            {
                "Action": [
                    "kms:Encrypt",
                    "kms:Decrypt",
                    "kms:GenerateDataKey"
                ],
                "Resource": [
                    "acs:kms:*:*:*"
                ],
                "Effect": "Allow",
                "Condition": {
                    "StringEqualsIgnoreCase": {
                        "kms:tag/acs:rds:instance-encryption": "true"
                    }
                }
            }
        ]
    }
  4. クリックポリシー情報を編集する次に次のパラメータを設定します。

    パラメーター

    説明

    名前

    ポリシー名です。 AliyunRDSInstanceEncryptionRolePolicyを入力します。

    説明

    ポリシーを識別するために使用される情報。 例: ApsaraDB RDSがKMSにアクセスできるようにします。

  5. OKをクリックします。

AliyunRDSInstanceEncryptionDefaultRoleという名前のRAMロールの作成と権限付与

AliyunRDSInstanceEncryptionRolePolicy権限ポリシーを作成した後、RAMロールを作成し、権限ポリシーをRAMロールにアタッチする必要があります。 これにより、ApsaraDB RDSはKMSにアクセスできます。

  1. RAMロールページに移動します。

  2. [ロール] ページで、ロールの作成をクリックします。

  3. [ロールの作成] ページで、[Alibaba Cloud Service] を選択し、[次へ] をクリックします。

  4. 次のパラメーターを設定し、OKをクリックします。

    パラメーター

    説明

    ロールタイプ

    [通常のサービスロール] を選択します。

    RAMロール名

    RAM ロールの名前です。 AliyunRDSInstanceEncryptionDefaultRoleを入力します。

    RAMロールを識別するために使用される情報。

    信頼できるサービスの選択

    RAMロールの信頼済みサービス。 [RDS] を選択します。

  5. ロールが作成されましたメッセージが見たら、RAMロールへの権限の追加をクリックします。

    説明

    ロールが作成されました」というメッセージが表示されたパネルを閉じた場合は、ロールページに移動してAliyunRDSInstanceEncryptionDefaultRoleロールを見つけ、[操作] 列の [権限付与] をクリックします。

  6. では、権限付与パネルをクリックし、AliyunRDSInstanceEncryptionRolePolicyポリシーにポリシーを追加します。選択済みセクションにアクセスします。

  7. 権限の付与をクリックします。

(オプション) RAMユーザーのARNを表示する

Alibaba Cloud Resource Name (ARN) は、RAMロールのグローバルリソース記述子です。 RAMロールのARNは、RAMロールがアクセスできるリソースを記述します。 APIを呼び出してディスク暗号化機能を有効にする場合、KMSにアクセスする権限を持つRAMロールのARNを指定する必要があります。 詳細は、「CreateDBInstance」をご参照ください。

  1. RAMロールページに移動します。

  2. 使用するRAMロールを見つけます。 次に、RAMロールの名前をクリックします。

  3. 表示されるページの [基本情報] セクションで、RAMロールのARNを表示します。