全部产品
Search

搜索本产品

    PolarDB:Otorisasi kluster PolarDB untuk mengakses KMS

    文档中心

    PolarDB:Otorisasi kluster PolarDB untuk mengakses KMS

    更新时间:Jul 02, 2025

    Untuk menggunakan fitur Transparent Data Encryption (TDE) pada kluster PolarDB, Anda perlu memberikan otorisasi kepada kluster tersebut agar dapat mengakses Key Management Service (KMS). Topik ini menjelaskan cara memberikan otorisasi kepada kluster PolarDB untuk mengakses KMS melalui konsol RAM.

    Prasyarat

    Anda telah masuk ke konsol RAM menggunakan akun Alibaba Cloud Anda.

    Buat kebijakan izin bernama AliyunRDSInstanceEncryptionRolePolicy

    1. Buka halaman Kebijakan.

    2. Klik Create Policy.

      Catatan

      Kebijakan adalah sekumpulan izin yang dijelaskan menggunakan sintaks tertentu. Anda dapat menggunakan kebijakan untuk mendefinisikan sumber daya terotorisasi, operasi terotorisasi, dan kondisi otorisasi. Untuk informasi lebih lanjut, lihat Istilah.

    3. Di tab JSON, salin dan tempel kode berikut ke dalam editor kode:

      {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "kms:List*",
                "kms:DescribeKey",
                "kms:TagResource",
                "kms:UntagResource"
            ],
            "Resource": [
                "acs:kms:*:*:*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "acs:kms:*:*:*"
            ],
            "Effect": "Allow",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "kms:tag/acs:rds:instance-encryption": "true"
                }
            }
        }
    ]
}

    4. Klik Next to edit policy information dan konfigurasikan parameter berikut:

      Parameter

      Deskripsi

      Name

      Nama kebijakan. Masukkan AliyunRDSInstanceEncryptionRolePolicy.

      Description

      Informasi yang digunakan untuk mengidentifikasi kebijakan. Contoh: Mengizinkan PolarDB untuk mengakses KMS.

    5. Klik OK.

    Buat dan otorisasi Peran RAM bernama AliyunRDSInstanceEncryptionDefaultRole

    Setelah membuat kebijakan izin AliyunRDSInstanceEncryptionRolePolicy, Anda harus membuat peran RAM dan melampirkan kebijakan izin tersebut ke peran RAM. Setelah itu, PolarDB dapat mengakses KMS.

    1. Buka halaman Peran RAM.

    2. Klik Create Role.

    3. Di halaman Buat Peran, pilih Alibaba Cloud Service dan klik Next.

    4. Konfigurasikan parameter berikut dan klik OK:

      Parameter

      Deskripsi

      Role Type

      Pilih Normal Service Role.

      Role Name

      Nama peran RAM. Masukkan AliyunRDSInstanceEncryptionDefaultRole.

      Remarks

      Informasi yang digunakan untuk mengidentifikasi peran RAM.

      Select Trusted Service

      Layanan tepercaya dari peran RAM. Pilih RDS.

    5. Setelah pesan The Role has been created muncul, klik Add Permissions to RAM Role.

      Catatan

      Jika Anda menutup panel di mana pesan The Role has been created muncul, Anda dapat membuka halaman Peran, temukan peran AliyunRDSInstanceEncryptionDefaultRole, dan klik Grant Permissions di kolom Tindakan.

    6. Di panel Grant Permissions, pilih kebijakan AliyunRDSInstanceEncryptionRolePolicy untuk menambahkannya ke bagian Selected.

    7. Klik Grant Permissions.