全部产品
Search

搜索本产品

    PolarDB:Berikan akses PolarDB ke KMS

    文档中心

    PolarDB:Berikan akses PolarDB ke KMS

    更新时间:Nov 11, 2025

    Untuk menggunakan fitur TDE, Anda harus memberikan izin kepada PolarDB untuk mengakses Key Management Service (KMS). Izin ini dapat diberikan melalui Konsol Resource Access Management (RAM).

    Prasyarat

    Anda harus menggunakan Akun Alibaba Cloud.

    1. Buat kebijakan akses AliyunRDSInstanceEncryptionRolePolicy

    1. Masuk ke halaman Manajemen Kebijakan di konsol RAM.

    2. Klik Create Policy.

      Catatan

      Kebijakan akses adalah kumpulan izin yang menggunakan sintaks tertentu untuk menentukan sumber daya, operasi, dan kondisi yang diizinkan.

    3. Klik tab Script Editor dan salin skrip berikut ke editor kode.

      {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "kms:List*",
                "kms:DescribeKey",
                "kms:TagResource",
                "kms:UntagResource"
            ],
            "Resource": [
                "acs:kms:*:*:*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "acs:kms:*:*:*"
            ],
            "Effect": "Allow",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "kms:tag/acs:rds:instance-encryption": "true"
                }
            }
        }
    ]
}

    4. Klik OK. Di kotak dialog yang muncul, masukkan informasi berikut:

      Parameter

      Deskripsi

      Name

      Masukkan nama kebijakan. Masukkan AliyunRDSInstanceEncryptionRolePolicy.

      Note

      Masukkan catatan. Misalnya: Digunakan oleh PolarDB untuk mengakses KMS.

    5. Klik OK.

    2. Buat dan otorisasi peran RAM AliyunRDSInstanceEncryptionDefaultRole

    Setelah membuat kebijakan, Anda harus mengaitkannya dengan peran RAM agar PolarDB dapat mengakses sumber daya KMS.

    1. Masuk ke halaman Manajemen Peran di konsol RAM.

    2. Klik Create Role.

    3. Pilih Alibaba Cloud Service. Dari daftar drop-down Trusted Entity Name, pilih opsi ApsaraDB RDS yang diakhiri dengan rds.aliyuncs.com, lalu klik OK.

    4. Di kotak dialog Create Role, atur Role Name menjadi AliyunRDSInstanceEncryptionDefaultRole, lalu klik OK.

    5. Setelah peran dibuat, pada halaman detail peran, klik tab Permission Management, lalu klik Add Permissions.

    6. Di halaman Add Permissions, cari kebijakan AliyunRDSInstanceEncryptionRolePolicy yang telah Anda buat. Klik nama kebijakan tersebut untuk memindahkannya ke kotak Selected Policies di sebelah kanan.

    7. Klik Confirm Authorization.

    Langkah selanjutnya

    Setelah membuat kebijakan akses dan peran RAM, Anda dapat mengaktifkan TDE untuk kluster Anda. Anda juga dapat mengaktifkan TDE saat membuat kluster.