全部产品
Search

搜索本产品

    ApsaraDB RDS:Otorisasi ApsaraDB RDS untuk mengakses KMS

    文档中心

    ApsaraDB RDS:Otorisasi ApsaraDB RDS untuk mengakses KMS

    更新时间:Nov 10, 2025

    Untuk menggunakan fitur enkripsi disk, Anda harus mengotorisasi ApsaraDB RDS agar dapat mengakses Key Management Service (KMS). Izin yang diperlukan dapat diberikan melalui Konsol Resource Access Management (RAM).

    Prasyarat

    Memiliki Akun Alibaba Cloud.

    Informasi latar belakang

    Enkripsi disk membantu memastikan keamanan data tanpa perlu memodifikasi bisnis atau aplikasi Anda. Untuk informasi lebih lanjut tentang enkripsi disk pada instans ApsaraDB RDS dengan mesin database berbeda, lihat topik-topik berikut:

    Buat kebijakan akses AliyunRDSInstanceEncryptionRolePolicy

    1. Masuk ke halaman Policies di Konsol RAM.

    2. Klik Create Policy.

      Catatan

      Sebuah kebijakan akses adalah sekumpulan izin yang dijelaskan menggunakan sintaksis tertentu. Kebijakan mendefinisikan sumber daya, operasi, dan kondisi yang diizinkan.

    3. Klik tab Script dan salin skrip berikut ke dalam editor skrip.

      {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "kms:List*",
                "kms:DescribeKey",
                "kms:TagResource",
                "kms:UntagResource"
            ],
            "Resource": [
                "acs:kms:*:*:*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "acs:kms:*:*:*"
            ],
            "Effect": "Allow",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "kms:tag/acs:rds:instance-encryption": "true"
                }
            }
        }
    ]
}

    4. Klik OK. Di kotak dialog yang muncul, konfigurasikan informasi yang diperlukan, lalu klik OK.

      Parameter

      Deskripsi

      Policy Name

      Masukkan nama untuk kebijakan. Gunakan AliyunRDSInstanceEncryptionRolePolicy.

      Description

      Masukkan deskripsi. Sebagai contoh: Otorisasi ApsaraDB RDS untuk mengakses KMS.

      Tag

      Tambahkan tag ke kebijakan baru.

    Buat dan otorisasi peran RAM AliyunRDSInstanceEncryptionDefaultRole

    Setelah membuat kebijakan, Anda harus menyambungkannya ke peran RAM. Ini memberikan ApsaraDB RDS akses ke sumber daya KMS.

    1. Masuk ke halaman Roles di Konsol RAM.

    2. Klik Create Role.

    3. Pilih Alibaba Cloud Service. Dari daftar drop-down Select Trusted Service, pilih ApsaraDB RDS dengan akhiran rds.aliyuncs.com. Lalu, klik OK.

    4. Di kotak dialog Create Role, atur Role Name menjadi AliyunRDSInstanceEncryptionDefaultRole, lalu klik OK.

    5. Ketika pesan konfirmasi pembuatan peran muncul, klik Grant Permission.

      Catatan

      Jika Anda telah menutup halaman Role Created Successfully, Anda juga dapat mencari AliyunRDSInstanceEncryptionDefaultRole di halaman RAM Role Management dan klik Grant Permission.

    6. Di halaman Grant Permission, cari kebijakan AliyunRDSInstanceEncryptionRolePolicy yang telah dibuat. Pilih kebijakan tersebut untuk memindahkannya ke bagian Selected di sebelah kanan.

    7. Klik OK.

    (Opsional) Lihat ARN dari peran

    Nama Sumber Daya Alibaba Cloud (ARN) adalah Deskriptor Sumber Daya Global yang secara unik mengidentifikasi peran RAM. Saat memanggil operasi API untuk mengaktifkan enkripsi disk, Anda harus menyertakan ARN dari peran RAM yang memiliki izin untuk mengakses KMS. Untuk informasi lebih lanjut, lihat CreateDBInstance.

    1. Masuk ke halaman Roles di Konsol RAM.

    2. Temukan peran dan klik namanya.

    3. Lokasikan ARN di pojok kanan atas.