PolarDB：授權PolarDB存取金鑰管理服務KMS

建立權限原則AliyunRDSInstanceEncryptionRolePolicy

1. 登入存取控制的權限原則管理頁面。

2. 單擊建立權限原則。

   說明

   權限原則是用文法結構描述的一組許可權的集合，可以精確地描述被授權的資源、操作以及授權條件。

3. 單擊指令碼編輯頁簽，將如下指令碼複製到代碼編輯框中。

   {
       "Version": "1",
       "Statement": [
           {
               "Action": [
                   "kms:List*",
                   "kms:DescribeKey",
                   "kms:TagResource",
                   "kms:UntagResource"
               ],
               "Resource": [
                   "acs:kms:*:*:*"
               ],
               "Effect": "Allow"
           },
           {
               "Action": [
                   "kms:Encrypt",
                   "kms:Decrypt",
                   "kms:GenerateDataKey"
               ],
               "Resource": [
                   "acs:kms:*:*:*"
               ],
               "Effect": "Allow",
               "Condition": {
                   "StringEqualsIgnoreCase": {
                       "kms:tag/acs:rds:instance-encryption": "true"
                   }
               }
           }
       ]
   }

4. 單擊繼續編輯基本資料，在文字框中填寫如下資訊：

   參數	說明
   名稱	填寫策略名稱稱。請填寫AliyunRDSInstanceEncryptionRolePolicy。
   備忘	填寫備忘。例如：用於PolarDB訪問KMS。

5. 單擊確定。

建立RAM角色AliyunRDSInstanceEncryptionDefaultRole並授權

建立完策略之後，需要將策略授權給RAM角色，PolarDB就可以訪問KMS資源。

1. 登入存取控制的RAM角色管理頁面。

2. 單擊建立角色。

3. 選擇阿里雲服務，單擊下一步。

4. 設定如下參數，並單擊完成。

   參數	說明
   角色類型	選擇普通服務角色。
   角色名稱	填寫AliyunRDSInstanceEncryptionDefaultRole。
   備忘	添加備忘資訊。
   選擇受信服務	選擇雲資料庫。

5. 在角色建立成功的提示下單擊為角色授權。

   說明

   如果關閉了角色建立成功頁面，也可以在RAM角色管理頁面搜尋AliyunRDSInstanceEncryptionDefaultRole，然後單擊新增授權。

6. 在新增授權頁面搜尋之前建立的許可權AliyunRDSInstanceEncryptionRolePolicy並單擊該名稱，使之移動到右側已選擇權限原則框內。

7. 單擊確認新增授權。