Topik ini menjelaskan skenario dan izin terkait AliyunServiceRoleForOceanBaseEncryption, sebuah peran yang terhubung dengan ApsaraDB for OceanBase.
Informasi latar belakang
AliyunServiceRoleForOceanBaseEncryption adalah peran Resource Access Management (RAM) yang disediakan oleh ApsaraDB for OceanBase untuk mendapatkan akses ke layanan cloud lainnya guna melaksanakan tugas di ApsaraDB for OceanBase. Untuk informasi lebih lanjut tentang peran tersebut, lihat Peran Terkait Layanan.
Skenario
Kunci yang digunakan oleh fitur enkripsi data transparan (TDE) dari ApsaraDB for OceanBase dilindungi oleh KMS. ApsaraDB for OceanBase memperoleh akses ke KMS menggunakan peran terkait layanan AliyunServiceRoleForOceanBaseEncryption.
Izin
Nama Peran: AliyunServiceRoleForOceanBaseEncryption
Kebijakan Peran: AliyunServiceRolePolicyForOceanBaseEncryption
Izin dijelaskan sebagai berikut:
{
"Statement": [
{
"Action": [
"kms:ListKeys",
"kms:ListAliasesByKeyId",
"kms:ListAliases",
"kms:DescribeKey"
],
"Effect": "Allow",
"Resource": "acs:kms:*:*:*"
},
{
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Condition": {
"StringEqualsIgnoreCase": {
"kms:tag/oceanbase:encryption": "true"
}
},
"Effect": "Allow",
"Resource": "acs:kms:*:*:*"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "encryption.oceanbase.aliyuncs.com"
}
}
}
],
"Version": "1"
}Pertanyaan Umum
Mengapa peran terkait layanan AliyunServiceRoleForOceanBaseEncryption tidak dapat dibuat secara otomatis menggunakan pengguna RAM saya?
Anda harus memiliki izin tertentu sebelum AliyunServiceRoleForOceanBaseEncryption dapat dibuat atau dihapus secara otomatis. Untuk membuat peran tersebut secara otomatis, Anda harus menetapkan kebijakan izin berikut kepada pengguna RAM Anda:
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "encryption.oceanbase.aliyuncs.com"
}
}
}