Untuk menggunakan fitur Transparent Data Encryption (TDE), Anda harus memberikan izin kepada PolarDB agar dapat mengakses Key Management Service (KMS). Izin tersebut dapat diberikan melalui Konsol Resource Access Management (RAM).
Prasyarat
Diperlukan Akun Alibaba Cloud.
Buat kebijakan AliyunRDSInstanceEncryptionRolePolicy
Masuk ke halaman Policies di Konsol RAM.
Klik Create Policy.
CatatanKebijakan izin adalah kumpulan izin yang ditulis dalam sintaks tertentu yang secara tepat menentukan sumber daya yang diizinkan, operasi yang diperbolehkan, dan kondisi otorisasi.
Klik tab JSON dan tempel isi kebijakan berikut ke dalam editor kode.
{ "Version": "1", "Statement": [ { "Action": [ "kms:List*", "kms:DescribeKey", "kms:TagResource", "kms:UntagResource" ], "Resource": [ "acs:kms:*:*:*" ], "Effect": "Allow" }, { "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "acs:kms:*:*:*" ], "Effect": "Allow", "Condition": { "StringEqualsIgnoreCase": { "kms:tag/acs:rds:instance-encryption": "true" } } } ] }Klik OK dan konfigurasikan parameter berikut:
Parameter
Deskripsi
Policy name
Masukkan AliyunRDSInstanceEncryptionRolePolicy.
Note
Masukkan deskripsi, misalnya "Mengizinkan PolarDB untuk mengakses KMS."
Klik OK.
Buat dan otorisasi Peran RAM AliyunRDSInstanceEncryptionDefaultRole
Setelah membuat kebijakan, hubungkan kebijakan tersebut ke peran RAM agar PolarDB dapat mengakses sumber daya KMS.
Buka halaman Roles di Konsol RAM.
Klik Create Role.
Untuk Trusted entity type, pilih Cloud service.
Dari daftar dropdown Trusted Entity Name, cari dan pilih ApsaraDB RDS / RDS, lalu klik OK.
Masukkan AliyunRDSInstanceEncryptionDefaultRole pada bidang RAM Role Name dan klik OK.
Setelah peran dibuat, pada halaman detail peran, klik tab Permissions lalu klik Add Permissions.
Pada halaman Add Permissions, cari dan klik kebijakan izin AliyunRDSInstanceEncryptionRolePolicy yang telah Anda buat untuk menambahkannya ke daftar Selected.
Klik OK.