Peran terkait layanan Lindorm - Lindorm - Alibaba Cloud Documentation Center

Lindorm menggunakan peran terkait layanan AliyunServiceRoleForTSDBLindormEncryption untuk mengakses Key Management Service (KMS) saat Enkripsi Data Transparan (TDE) diaktifkan. Sistem membuat peran ini secara otomatis ketika Anda mengaktifkan TDE pada instans Lindorm—tanpa memerlukan pengaturan manual.

Latar Belakang

Peran terkait layanan adalah peran Resource Access Management (RAM) yang dibuat dan dikelola secara otomatis oleh layanan cloud. Berbeda dengan peran RAM standar, peran terkait layanan memiliki batasan berikut:

Anda tidak dapat memodifikasi atau menghapus kebijakan yang disambungkan.
Anda tidak dapat menyambungkan atau melepas kebijakan dari peran tersebut.

Untuk informasi selengkapnya, lihat Peran terkait layanan.

AliyunServiceRoleForTSDBLindormEncryption

Attribute	Value
Role name	AliyunServiceRoleForTSDBLindormEncryption
Policy name	AliyunServiceRoleForTSDBLindormEncryption
Trusted service	encryption.hitsdb.aliyuncs.com
When created	Automatically when TDE is enabled on a Lindorm instance

Peran ini memberikan izin kepada Lindorm untuk mengakses KMS guna menjalankan operasi TDE. Kebijakan yang disambungkan mencakup dua grup izin:

Key query (kms:ListKeys, kms:ListResourceTags, kms:DescribeKey): berlaku untuk semua resource KMS dalam akun Anda.
Key operations (kms:Encrypt, kms:Decrypt, kms:GenerateDataKey, kms:CreateAlias): hanya berlaku untuk kunci KMS yang ditandai dengan acs:lindorm:instance-encryption=true.

Kebijakan lengkap:

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListKeys",
        "kms:ListResourceTags",
        "kms:DescribeKey"
      ],
      "Resource": [
        "acs:kms:*:*:*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:CreateAlias"
      ],
      "Resource": [
        "acs:kms:*:*:*"
      ],
      "Condition": {
        "StringEqualsIgnoreCase": {
          "kms:tag/acs:lindorm:instance-encryption": "true"
        }
      }
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "encryption.hitsdb.aliyuncs.com"
        }
      }
    }
  ]
}

Delete the AliyunServiceRoleForTSDBLindormEncryption role

Sebelum menghapus peran ini, pastikan tidak ada instans dalam akun Anda yang masih menggunakannya. Untuk menghapus peran tersebut, ikuti langkah-langkah dalam Delete a service-linked role.

Grant a RAM user permission to create the role

Dalam kebanyakan kasus, administrator Akun Alibaba Cloud telah memiliki izin yang diperlukan untuk membuat peran terkait layanan. Jika RAM user tidak memiliki izin yang cukup, berikan izin ram:CreateServiceLinkedRole kepada RAM user tersebut dengan cakupan pada layanan enkripsi Lindorm.

Buat kebijakan kustom dengan konten berikut dan sambungkan ke RAM user tersebut. Untuk langkah-langkahnya, lihat Create a custom policy dan Grant permissions to a RAM user.

{
  "Version": "1",
  "Statement": [
    {
      "Action": "ram:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "encryption.hitsdb.aliyuncs.com"
        }
      }
    }
  ]
}