本頁面為您介紹 OceanBase 雲端服務關聯角色 AliyunServiceRoleForOceanBaseEncryption 的使用情境以及許可權說明。
背景資訊
OceanBase 雲端服務關聯角色(AliyunServiceRoleForOceanBaseEncryption)是在某些情況下,為了完成 OceanBase 雲端服務自身的某個功能,需要擷取其他雲端服務的存取權限,而提供的 RAM 角色。更多關於服務關聯角色的資訊請參見服務關聯角色。
應用情境
OceanBase 雲端服務 TDE 加密功能使用的密鑰由 KMS 服務加密保護,OceanBase 雲端服務通過關聯角色(AliyunServiceRoleForOceanBaseEncryption)獲得 KMS 存取權限。
許可權說明
角色名稱:AliyunServiceRoleForOceanBaseEncryption
角色策略:AliyunServiceRolePolicyForOceanBaseEncryption
許可權說明:
{
"Statement": [
{
"Action": [
"kms:ListKeys",
"kms:ListAliasesByKeyId",
"kms:ListAliases",
"kms:DescribeKey"
],
"Effect": "Allow",
"Resource": "acs:kms:*:*:*"
},
{
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Condition": {
"StringEqualsIgnoreCase": {
"kms:tag/oceanbase:encryption": "true"
}
},
"Effect": "Allow",
"Resource": "acs:kms:*:*:*"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "encryption.oceanbase.aliyuncs.com"
}
}
}
],
"Version": "1"
}常見問題
為什麼我的 RAM 使用者無法自動建立 OceanBase 雲端服務關聯角色 AliyunServiceRoleForOceanBaseEncryption?
您需要擁有指定的許可權,才能自動建立或刪除 AliyunServiceRoleForOceanBaseEncryption。因此,在 RAM 使用者無法自動建立 AliyunServiceRoleForOceanBaseEncryption 時,您需為其添加以下權限原則。
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "encryption.oceanbase.aliyuncs.com"
}
}
}