全部產品
Search
文件中心

ApsaraDB RDS:授權RDS存取金鑰管理服務KMS

更新時間:Dec 12, 2024

需要給RDS授予存取金鑰管理服務KMS(Key Management Service)的許可權,才能正常使用雲端硬碟加密功能,您可以在存取控制RAM控制台上進行授權。

前提條件

需要使用阿里雲主帳號。

背景資訊

雲端硬碟加密能夠最大限度保護您的資料安全,您的業務和應用程式無需做額外的改動。關於雲端硬碟加密的更多詳情請參見:

建立權限原則AliyunRDSInstanceEncryptionRolePolicy

  1. 登入存取控制的權限原則管理頁面。

  2. 單擊建立權限原則

    說明

    權限原則是用文法結構描述的一組許可權的集合,可以精確地描述被授權的資源、操作以及授權條件。

  3. 單擊指令碼編輯頁簽,將如下指令碼複製到代碼編輯框中。

    {
        "Version": "1",
        "Statement": [
            {
                "Action": [
                    "kms:List*",
                    "kms:DescribeKey",
                    "kms:TagResource",
                    "kms:UntagResource"
                ],
                "Resource": [
                    "acs:kms:*:*:*"
                ],
                "Effect": "Allow"
            },
            {
                "Action": [
                    "kms:Encrypt",
                    "kms:Decrypt",
                    "kms:GenerateDataKey"
                ],
                "Resource": [
                    "acs:kms:*:*:*"
                ],
                "Effect": "Allow",
                "Condition": {
                    "StringEqualsIgnoreCase": {
                        "kms:tag/acs:rds:instance-encryption": "true"
                    }
                }
            }
        ]
    }
  4. 單擊確定,在彈出的對話方塊中填寫如下資訊:

    參數

    說明

    名稱

    填寫策略名稱稱。請填寫AliyunRDSInstanceEncryptionRolePolicy

    備忘

    填寫備忘。例如:用於RDS訪問KMS。

  5. 單擊確定

建立RAM角色AliyunRDSInstanceEncryptionDefaultRole並授權

建立完策略之後,需要將策略授權給RAM角色,RDS就可以訪問KMS資源。

  1. 登入存取控制的RAM角色管理頁面。

  2. 單擊建立角色

  3. 選擇阿里雲服務,單擊下一步

  4. 設定如下參數,並單擊完成

    參數

    說明

    角色類型

    選擇普通服務角色

    角色名稱

    填寫AliyunRDSInstanceEncryptionDefaultRole

    備忘

    添加備忘資訊。

    選擇受信服務

    選擇雲資料庫

  5. 角色建立成功的提示下單擊為角色授權

    說明

    如果關閉了角色建立成功頁面,也可以在RAM角色管理頁面搜尋AliyunRDSInstanceEncryptionDefaultRole,然後單擊新增授權

  6. 新增授權頁面搜尋之前建立的許可權AliyunRDSInstanceEncryptionRolePolicy並單擊該名稱,使之移動到右側已選擇權限原則框內。

  7. 單擊確認新增授權

查看角色ARN(可選)

ARN(Alibaba Cloud Resource Name)是RAM角色的全域資源描述符,即描述該RAM角色具有哪些資源的存取權限。調用API進行雲端硬碟加密時需要傳入ARN,用於指定一個具有KMS存取權限的RAM角色,具體操作,請參見CreateDBInstance

  1. 登入存取控制的RAM角色管理頁面。

  2. 找到目標角色,單擊角色名稱。

  3. 在右上方查看ARN。