Otorisasi RDS untuk mengakses KMS untuk Transparent Data Encryption-ApsaraDB RDS-Alibaba Cloud

Untuk menggunakan fitur Transparent Data Encryption (TDE) dari ApsaraDB RDS, Anda harus mengotorisasi RDS untuk mengakses Key Management Service (KMS). Topik ini menjelaskan cara mengotorisasi RDS untuk mengakses KMS di Konsol Resource Access Management (RAM).

Prasyarat

Anda telah masuk ke Konsol RAM dengan akun Alibaba Cloud Anda.

Informasi latar belakang

Anda dapat menggunakan fitur enkripsi cloud untuk memastikan keamanan data tanpa perlu memodifikasi bisnis dan aplikasi Anda. Untuk informasi lebih lanjut tentang fitur enkripsi cloud untuk instance RDS yang menjalankan mesin database berbeda, lihat dokumentasi berikut:

Buat kebijakan bernama AliyunRDSInstanceEncryptionRolePolicy

Buka halaman Kebijakan.
Di halaman Kebijakan, klik Create Policy.
Catatan
Kebijakan adalah sekumpulan izin yang didefinisikan menggunakan sintaks tertentu. Anda dapat menggunakan kebijakan untuk mendeskripsikan set sumber daya yang diizinkan, set operasi yang diizinkan, dan kondisi otorisasi. Untuk informasi lebih lanjut, lihat Istilah.

Pada tab JSON, salin dan tempel kode berikut ke editor kode:

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "kms:List*",
                "kms:DescribeKey",
                "kms:TagResource",
                "kms:UntagResource"
            ],
            "Resource": [
                "acs:kms:*:*:*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "acs:kms:*:*:*"
            ],
            "Effect": "Allow",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "kms:tag/acs:rds:instance-encryption": "true"
                }
            }
        }
    ]
}

Klik OK. Di kotak dialog yang muncul, konfigurasikan parameter sesuai dengan tabel berikut.
Parameter
Deskripsi
Name
Nama kebijakan. Masukkan AliyunRDSInstanceEncryptionRolePolicy.
Description
Deskripsi kebijakan. Contoh: Otorisasi RDS untuk mengakses KMS.
Klik OK.

Buat dan otorisasi Peran RAM bernama AliyunRDSInstanceEncryptionDefaultRole

Setelah membuat kebijakan AliyunRDSInstanceEncryptionRolePolicy, Anda harus membuat Peran RAM dan melampirkan kebijakan tersebut ke Peran RAM. Kemudian, RDS dapat mengakses KMS.

Buka halaman Peran.
Di halaman Peran, klik Create Role.
Di halaman yang muncul, pilih Cloud Service. Kemudian, pilih ApsaraDB RDS dengan akhiran rds.aliyuncs.com dari daftar drop-down Principal Name dan klik OK.
Dalam kotak dialog Create Role, atur parameter Role Name menjadi AliyunRDSInstanceEncryptionDefaultRole, lalu klik OK.
Setelah pesan The Role has been created muncul, klik Tambah Izin ke Peran RAM.
Catatan
Jika Anda telah menutup halaman tempat pesan The Role has been created muncul, Anda dapat pergi ke halaman Peran, temukan peran AliyunRDSInstanceEncryptionDefaultRole, dan kemudian klik Grant Permission di kolom Tindakan.
Di panel Grant Permission, pilih kebijakan AliyunRDSInstanceEncryptionRolePolicy yang Anda buat untuk menambahkan kebijakan ke bagian Selected Policy.
Klik Grant permissions.

(Opsional) Lihat ARN peran

Alibaba Cloud Resource Name (ARN) adalah deskriptor sumber daya global dari Peran RAM. ARN dari Peran RAM mendeskripsikan sumber daya yang dapat diakses oleh Peran RAM. Saat Anda memanggil operasi API untuk mengaktifkan fitur enkripsi disk cloud, Anda harus menentukan ARN dari Peran RAM yang memiliki izin untuk mengakses KMS. Untuk informasi lebih lanjut, lihat CreateDBInstance.

Buka halaman Peran.
Temukan peran yang diperlukan dan klik nama peran.
Di pojok kanan atas halaman yang muncul, lihat ARN peran.

Parameter	Deskripsi
Name	Nama kebijakan. Masukkan AliyunRDSInstanceEncryptionRolePolicy.
Description	Deskripsi kebijakan. Contoh: Otorisasi RDS untuk mengakses KMS.