本页面为您介绍 OceanBase 云服务关联角色 AliyunServiceRoleForOceanBaseEncryption 的使用场景以及权限说明。
背景信息
OceanBase 云服务关联角色(AliyunServiceRoleForOceanBaseEncryption)是在某些情况下,为了完成 OceanBase 云服务自身的某个功能,需要获取其他云服务的访问权限,而提供的 RAM 角色。更多关于服务关联角色的信息请参见服务关联角色。
应用场景
OceanBase 云服务 TDE 加密功能使用的密钥由 KMS 服务加密保护,OceanBase 云服务通过关联角色(AliyunServiceRoleForOceanBaseEncryption)获得 KMS 访问权限。
权限说明
角色名称:AliyunServiceRoleForOceanBaseEncryption
角色策略:AliyunServiceRolePolicyForOceanBaseEncryption
权限说明:
{
"Statement": [
{
"Action": [
"kms:ListKeys",
"kms:ListAliasesByKeyId",
"kms:ListAliases",
"kms:DescribeKey"
],
"Effect": "Allow",
"Resource": "acs:kms:*:*:*"
},
{
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Condition": {
"StringEqualsIgnoreCase": {
"kms:tag/oceanbase:encryption": "true"
}
},
"Effect": "Allow",
"Resource": "acs:kms:*:*:*"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "encryption.oceanbase.aliyuncs.com"
}
}
}
],
"Version": "1"
}
常见问题
为什么我的 RAM 用户无法自动创建 OceanBase 云服务关联角色 AliyunServiceRoleForOceanBaseEncryption?
您需要拥有指定的权限,才能自动创建或删除 AliyunServiceRoleForOceanBaseEncryption。因此,在 RAM 用户无法自动创建 AliyunServiceRoleForOceanBaseEncryption 时,您需为其添加以下权限策略。
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "encryption.oceanbase.aliyuncs.com"
}
}
}