全部产品
Search
文档中心

云数据库 OceanBase:OceanBase 云服务关联角色

更新时间:Nov 20, 2023

本页面为您介绍 OceanBase 云服务关联角色 AliyunServiceRoleForOceanBaseEncryption 的使用场景以及权限说明。

背景信息

OceanBase 云服务关联角色(AliyunServiceRoleForOceanBaseEncryption)是在某些情况下,为了完成 OceanBase 云服务自身的某个功能,需要获取其他云服务的访问权限,而提供的 RAM 角色。更多关于服务关联角色的信息请参见服务关联角色

应用场景

OceanBase 云服务 TDE 加密功能使用的密钥由 KMS 服务加密保护,OceanBase 云服务通过关联角色(AliyunServiceRoleForOceanBaseEncryption)获得 KMS 访问权限。

权限说明

角色名称:AliyunServiceRoleForOceanBaseEncryption

角色策略:AliyunServiceRolePolicyForOceanBaseEncryption

权限说明:

{
  "Statement": [
    {
      "Action": [
        "kms:ListKeys",
        "kms:ListAliasesByKeyId",
        "kms:ListAliases",
        "kms:DescribeKey"
      ],
      "Effect": "Allow",
      "Resource": "acs:kms:*:*:*"
    },
    {
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Condition": {
        "StringEqualsIgnoreCase": {
          "kms:tag/oceanbase:encryption": "true"
        }
      },
      "Effect": "Allow",
      "Resource": "acs:kms:*:*:*"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "encryption.oceanbase.aliyuncs.com"
        }
      }
    }
  ],
  "Version": "1"
}

常见问题

为什么我的 RAM 用户无法自动创建 OceanBase 云服务关联角色 AliyunServiceRoleForOceanBaseEncryption?

您需要拥有指定的权限,才能自动创建或删除 AliyunServiceRoleForOceanBaseEncryption。因此,在 RAM 用户无法自动创建 AliyunServiceRoleForOceanBaseEncryption 时,您需为其添加以下权限策略。

{
    "Action": "ram:CreateServiceLinkedRole",
    "Resource": "*",
    "Effect": "Allow",
    "Condition": {
        "StringEquals": {
            "ram:ServiceName": "encryption.oceanbase.aliyuncs.com"
        }
    }
}