すべてのプロダクト
Search

このプロダクト

    ApsaraDB RDS:ApsaraDB RDS for MySQLにKMSへのアクセスを許可する

    ドキュメントセンター

    ApsaraDB RDS:ApsaraDB RDS for MySQLにKMSへのアクセスを許可する

    最終更新日:Aug 28, 2024

    ApsaraDB RDS for MySQLインスタンスにディスク暗号化機能を使用するには、インスタンスにKey Management Service (KMS) へのアクセスを許可する必要があります。 このトピックでは、RAMコンソールを使用してRDSインスタンスにKMSへのアクセスを許可する方法について説明します。

    前提条件

    Alibaba CloudアカウントでRAMコンソールにログインしています。

    AliyunRDSInstanceEncryptionRolePolicyという名前の権限ポリシーを作成する

    1. ポリシーページに移動します。

    2. [ポリシー] ページで、ポリシーの作成をクリックします。

      説明

      ポリシーは、特定の構文を使用して記述される一連の権限です。 ポリシーを使用して、権限が付与されたリソースセット、権限が付与された操作セット、および権限付与の条件を記述できます。 詳細については、「Terms」をご参照ください。

    3. [JSON] タブで、次のコードをコピーしてコードエディターに貼り付けます。 

      {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "kms:List *"、
                "kms:DescribeKey"、
                "kms:TagResource",
                "kms:UntagResource"
            ],
            "Resource": [
                "acs:kms:*:*:*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "acs:kms:*:*:*"
            ],
            "Effect": "Allow",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "kms:tag/acs:rds:instance-encryption": "true"
                }
            }
        }
    ]
}

    4. クリックポリシー情報を編集する次に次のパラメータを設定します。

      パラメーター

      説明

      名前

      ポリシー名です。 AliyunRDSInstanceEncryptionRolePolicyを入力します。

      説明

      ポリシーを識別するために使用される情報。 例: ApsaraDB RDSがKMSにアクセスできるようにします。

    5. OKをクリックします。

    AliyunRDSInstanceEncryptionDefaultRoleという名前のRAMロールの作成と権限付与

    AliyunRDSInstanceEncryptionRolePolicy権限ポリシーを作成した後、RAMロールを作成し、権限ポリシーをRAMロールにアタッチする必要があります。 これにより、ApsaraDB RDSはKMSにアクセスできます。

    1. RAMロールページに移動します。

    2. [ロール] ページで、ロールの作成をクリックします。

    3. [ロールの作成] ページで、[Alibaba Cloud Service] を選択し、[次へ] をクリックします。

    4. 次のパラメーターを設定し、OKをクリックします。

      パラメーター

      説明

      ロールタイプ

      [通常のサービスロール] を選択します。

      RAMロール名

      RAM ロールの名前です。 AliyunRDSInstanceEncryptionDefaultRoleを入力します。

      RAMロールを識別するために使用される情報。

      信頼できるサービスの選択

      RAMロールの信頼済みサービス。 [RDS] を選択します。

    5. ロールが作成されましたメッセージが見たら、RAMロールへの権限の追加をクリックします。

      説明

      ロールが作成されました」というメッセージが表示されたパネルを閉じた場合は、ロールページに移動してAliyunRDSInstanceEncryptionDefaultRoleロールを見つけ、[操作] 列の [権限付与] をクリックします。

    6. では、権限付与パネルをクリックし、AliyunRDSInstanceEncryptionRolePolicyポリシーにポリシーを追加します。選択済みセクションにアクセスします。

    7. 権限の付与をクリックします。

    (オプション) RAMユーザーのARNを表示する

    Alibaba Cloud Resource Name (ARN) は、RAMロールのグローバルリソース記述子です。 RAMロールのARNは、RAMロールがアクセスできるリソースを記述します。 APIを呼び出してディスク暗号化機能を有効にする場合、KMSにアクセスする権限を持つRAMロールのARNを指定する必要があります。 詳細は、「CreateDBInstance」をご参照ください。

    1. RAMロールページに移動します。

    2. 使用するRAMロールを見つけます。 次に、RAMロールの名前をクリックします。

    3. 表示されるページの [基本情報] セクションで、RAMロールのARNを表示します。