需要給RDS授予存取金鑰管理服務KMS(Key Management Service)的許可權,才能正常使用雲端硬碟加密功能,您可以在存取控制RAM控制台上進行授權。
前提條件
需要使用阿里雲主帳號。
背景資訊
雲端硬碟加密能夠最大限度保護您的資料安全,您的業務和應用程式無需做額外的改動。關於雲端硬碟加密的更多詳情請參見:
建立權限原則AliyunRDSInstanceEncryptionRolePolicy
登入存取控制的權限原則管理頁面。
單擊建立權限原則。
說明權限原則是用文法結構描述的一組許可權的集合,可以精確地描述被授權的資源、操作以及授權條件。
單擊指令碼編輯頁簽,將如下指令碼複製到代碼編輯框中。
{ "Version": "1", "Statement": [ { "Action": [ "kms:List*", "kms:DescribeKey", "kms:TagResource", "kms:UntagResource" ], "Resource": [ "acs:kms:*:*:*" ], "Effect": "Allow" }, { "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "acs:kms:*:*:*" ], "Effect": "Allow", "Condition": { "StringEqualsIgnoreCase": { "kms:tag/acs:rds:instance-encryption": "true" } } } ] }
單擊確定,在彈出的對話方塊中填寫如下資訊:
參數
說明
名稱
填寫策略名稱稱。請填寫AliyunRDSInstanceEncryptionRolePolicy。
備忘
填寫備忘。例如:用於RDS訪問KMS。
單擊確定。
建立RAM角色AliyunRDSInstanceEncryptionDefaultRole並授權
建立完策略之後,需要將策略授權給RAM角色,RDS就可以訪問KMS資源。
登入存取控制的RAM角色管理頁面。
單擊建立角色。
選擇阿里雲服務,單擊下一步。
設定如下參數,並單擊完成。
參數
說明
角色類型
選擇普通服務角色。
角色名稱
填寫AliyunRDSInstanceEncryptionDefaultRole。
備忘
添加備忘資訊。
選擇受信服務
選擇雲資料庫。
在角色建立成功的提示下單擊為角色授權。
說明如果關閉了角色建立成功頁面,也可以在RAM角色管理頁面搜尋AliyunRDSInstanceEncryptionDefaultRole,然後單擊新增授權。
在新增授權頁面搜尋之前建立的許可權AliyunRDSInstanceEncryptionRolePolicy並單擊該名稱,使之移動到右側已選擇權限原則框內。
單擊確認新增授權。
查看角色ARN(可選)
ARN(Alibaba Cloud Resource Name)是RAM角色的全域資源描述符,即描述該RAM角色具有哪些資源的存取權限。調用API進行雲端硬碟加密時需要傳入ARN,用於指定一個具有KMS存取權限的RAM角色,具體操作,請參見CreateDBInstance。
登入存取控制的RAM角色管理頁面。
找到目標角色,單擊角色名稱。
在右上方查看ARN。