需要給PolarDB授予訪問密鑰管理服務KMS(Key Management Service)的權限,才能正常使用透明數據加密TDE(Transparent Data Encryption)功能,您可以在訪問控制RAM控制臺上進行授權。
前提條件
需要使用阿里云主賬號。
創建權限策略AliyunRDSInstanceEncryptionRolePolicy
登錄訪問控制的權限策略管理頁面。
單擊創建權限策略。
說明權限策略是用語法結構描述的一組權限的集合,可以精確地描述被授權的資源、操作以及授權條件。
單擊腳本編輯頁簽,將如下腳本復制到代碼編輯框中。
{ "Version": "1", "Statement": [ { "Action": [ "kms:List*", "kms:DescribeKey", "kms:TagResource", "kms:UntagResource" ], "Resource": [ "acs:kms:*:*:*" ], "Effect": "Allow" }, { "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "acs:kms:*:*:*" ], "Effect": "Allow", "Condition": { "StringEqualsIgnoreCase": { "kms:tag/acs:rds:instance-encryption": "true" } } } ] }
單擊繼續編輯基本信息,在文本框中填寫如下信息:
參數
說明
名稱
填寫策略名稱。請填寫AliyunRDSInstanceEncryptionRolePolicy。
備注
填寫備注。例如:用于PolarDB訪問KMS。
單擊確定。
創建RAM角色AliyunRDSInstanceEncryptionDefaultRole并授權
創建完策略之后,需要將策略授權給RAM角色,PolarDB就可以訪問KMS資源。
登錄訪問控制的RAM角色管理頁面。
單擊創建角色。
選擇阿里云服務,單擊下一步。
設置如下參數,并單擊完成。
參數
說明
角色類型
選擇普通服務角色。
角色名稱
填寫AliyunRDSInstanceEncryptionDefaultRole。
備注
添加備注信息。
選擇受信服務
選擇云數據庫。
在角色創建成功的提示下單擊為角色授權。
說明如果關閉了角色創建成功頁面,也可以在RAM角色管理頁面搜索AliyunRDSInstanceEncryptionDefaultRole,然后單擊新增授權。
在新增授權頁面搜索之前創建的權限AliyunRDSInstanceEncryptionRolePolicy并單擊該名稱,使之移動到右側已選擇權限策略框內。
單擊確認新增授權。
文檔內容是否對您有幫助?