Peran terkait layanan Lindorm - Lindorm

Untuk menggunakan fitur enkripsi data transparan (TDE) dari Lindorm, Anda harus menetapkan peran terkait layanan AliyunServiceRoleForTSDBLindormEncryption kepada Lindorm. Setelah peran ditetapkan, Lindorm dapat menggunakan fitur enkripsi data di akun Alibaba Cloud saat ini.

Informasi latar belakang

Peran terkait layanan adalah peran Manajemen Akses Sumber Daya (RAM) yang terkait dengan layanan cloud tertentu. Dalam banyak kasus, layanan cloud secara otomatis membuat atau menghapus peran terkait layanan sesuai kebutuhan. Anda tidak perlu membuat atau menghapus peran terkait layanan secara manual. Sebagai contoh, peran terkait layanan AliyunServiceRoleForTSDBLindormEncryption memungkinkan Lindorm mendapatkan izin untuk mengakses Key Management Service (KMS) dalam beberapa skenario. Saat fitur TDE diaktifkan, sistem secara otomatis membuat peran terkait layanan. Untuk informasi lebih lanjut tentang peran terkait layanan, lihat Peran Terkait Layanan.

Catatan Kebijakan yang dilampirkan pada peran terkait layanan telah ditentukan sebelumnya oleh layanan cloud terkait. Anda tidak dapat memodifikasi atau menghapus kebijakan ini. Anda juga tidak dapat melampirkan atau melepas kebijakan dari peran terkait layanan.

AliyunServiceRoleForTSDBLindormEncryption

Nama Peran: AliyunServiceRoleForTSDBLindormEncryption

Kebijakan Peran: AliyunServiceRoleForTSDBLindormEncryption

Deskripsi Izin: Peran terkait layanan ini mengizinkan Lindorm untuk mengakses sumber daya terkait di KMS. Saat fitur TDE Lindorm diaktifkan, Anda dapat menggunakan peran terkait layanan untuk menanyakan dan mengelola kunci. Contoh kode berikut memberikan contoh isi kebijakan.

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListKeys",
        "kms:ListResourceTags",
        "kms:DescribeKey"
      ],
      "Resource": [
        "acs:kms:*:*:*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:CreateAlias"
      ],
      "Resource": [
        "acs:kms:*:*:*"
      ],
      "Condition": {
        "StringEqualsIgnoreCase": {
          "kms:tag/acs:lindorm:instance-encryption": "true"
        }
      }
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "encryption.hitsdb.aliyuncs.com"
        }
      }
    }
  ]
}

Hapus peran AliyunServiceRoleForGwsDiskEncryption

Jika Anda ingin menghapus peran terkait layanan AliyunServiceRoleForTSDBLindormEncryption, pastikan tidak ada instans di akun Anda yang menggunakan peran terkait layanan tersebut. Untuk informasi lebih lanjut, lihat Hapus Peran Terkait Layanan.

Izin yang diperlukan pengguna RAM untuk membuat peran terkait layanan

Dalam banyak kasus, izin yang diperlukan untuk membuat peran terkait layanan termasuk dalam kebijakan administrator layanan cloud yang bersangkutan. Anda dapat membuat peran terkait layanan untuk layanan cloud jika Anda memiliki izin administrator pada layanan cloud tersebut.

Jika pengguna RAM Anda memiliki izin yang tidak mencukupi, Anda dapat memberikan izin berikut sebelum menetapkan peran terkait layanan kepada pengguna RAM. Untuk informasi tentang cara memberikan izin, lihat Buat Kebijakan Kustom dan Berikan Izin kepada Pengguna RAM. Anda juga dapat menetapkan peran terkait layanan ke akun Alibaba Cloud.

    {
      "Action": "ram:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "encryption.hitsdb.aliyuncs.com"
        }
      }
    }