全部产品
Search
文档中心

:Lindorm服务关联角色

更新时间:Aug 23, 2023

在使用云原生多模数据库 Lindorm的数据加密TDE功能时,您需要将名称为AliyunServiceRoleForTSDBLindormEncryption的关联角色授权给云原生多模数据库 Lindorm使用。经过授权后,Lindorm可以使用当前云账号下数据加密功能。

背景信息

服务关联角色是与某个云服务关联的角色,在您使用特定功能时,关联的云服务会自动创建或删除服务关联角色,不需要您主动创建或删除。例如服务关联角色(AliyunServiceRoleForTSDBLindormEncryption)在某些场景下可以帮助Lindorm访问密钥管理服务(KMS)获取访问权限。开启数据加密功能时系统会自动创建服务关联角色,关于服务关联角色,请参见服务关联角色

说明

服务关联角色的权限策略由关联的云服务定义和使用,您不能修改或删除权限策略,也不能为服务关联角色添加或移除权限。

AliyunServiceRoleForTSDBLindormEncryption关联角色介绍

角色名称:AliyunServiceRoleForTSDBLindormEncryption

角色权限策略:AliyunServiceRoleForTSDBLindormEncryption

权限说明:允许云原生多模数据库 Lindorm访问KMS中的相关资源,在Lindorm的数据加密TDE功能中使用该权限可以查询和管理密钥,详细策略内容如下所示:

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListKeys",
        "kms:ListResourceTags",
        "kms:DescribeKey"
      ],
      "Resource": [
        "acs:kms:*:*:*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:CreateAlias"
      ],
      "Resource": [
        "acs:kms:*:*:*"
      ],
      "Condition": {
        "StringEqualsIgnoreCase": {
          "kms:tag/acs:lindorm:instance-encryption": "true"
        }
      }
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "encryption.hitsdb.aliyuncs.com"
        }
      }
    }
  ]
}

删除服务关联角色

如果您需要删除服务关联角色:AliyunServiceRoleForTSDBLindormEncryption,请先确定您账号下没有正在使用该服务关联角色的实例,具体操作请参见删除服务关联角色

RAM用户创建服务关联角色所需要的权限

创建服务关联角色的权限通常包含在其对应云服务的管理员权限策略,因此只要具有该云服务的管理员权限,就可以为该云服务创建服务关联角色。

如果您的RAM用户权限不足,您可以添加下述权限后再执行关联角色的授权操作,添加权限的方法请参见创建自定义权限策略为RAM用户授权。您也可以直接使用主账号执行关联角色的授权操作。

    {
      "Action": "ram:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "encryption.hitsdb.aliyuncs.com"
        }
      }
    }