Izinkan RDS untuk mengakses KMS - ApsaraDB RDS

Untuk menggunakan fitur Transparent Data Encryption (TDE) dari ApsaraDB RDS, Anda harus mengizinkan RDS untuk mengakses Key Management Service (KMS). Topik ini menjelaskan cara mengizinkan RDS untuk mengakses KMS di Konsol Resource Access Management (RAM).

Prasyarat

Anda telah masuk ke konsol RAM dengan akun Alibaba Cloud Anda.

Informasi latar belakang

Anda dapat menggunakan fitur enkripsi cloud untuk memastikan keamanan data tanpa perlu memodifikasi bisnis dan aplikasi Anda. Untuk informasi lebih lanjut tentang fitur enkripsi cloud untuk instance RDS yang menjalankan mesin database berbeda, lihat dokumentasi berikut:

Buat kebijakan bernama AliyunRDSInstanceEncryptionRolePolicy

Pergi ke halaman Kebijakan.
Di halaman Kebijakan, klik Create Policy.
Catatan
Kebijakan adalah serangkaian izin yang didefinisikan menggunakan sintaks tertentu. Anda dapat menggunakan kebijakan untuk mendeskripsikan set sumber daya yang diizinkan, set operasi yang diizinkan, dan kondisi otorisasi. Untuk informasi lebih lanjut, lihat Istilah.

Di tab JSON, salin dan tempel kode berikut ke editor kode:

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "kms:List*",
                "kms:DescribeKey",
                "kms:TagResource",
                "kms:UntagResource"
            ],
            "Resource": [
                "acs:kms:*:*:*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "acs:kms:*:*:*"
            ],
            "Effect": "Allow",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "kms:tag/acs:rds:instance-encryption": "true"
                }
            }
        }
    ]
}

Klik OK. Di kotak dialog yang muncul, konfigurasikan parameter yang dijelaskan dalam tabel berikut.
Parameter
Deskripsi
Name
Nama kebijakan. Masukkan AliyunRDSInstanceEncryptionRolePolicy.
Description
Deskripsi kebijakan. Contoh: Izinkan RDS untuk mengakses KMS.
Klik OK.

Buat dan izinkan Peran RAM bernama AliyunRDSInstanceEncryptionDefaultRole

Setelah membuat kebijakan AliyunRDSInstanceEncryptionRolePolicy, Anda harus membuat Peran RAM dan melampirkan kebijakan tersebut ke Peran RAM. Kemudian, RDS dapat mengakses KMS.

Pergi ke halaman Peran.
Di halaman Peran, klik Create Role.
Di halaman Buat Peran, pilih Alibaba Cloud Service dan klik Next.

Konfigurasikan parameter yang dijelaskan dalam tabel berikut dan klik OK.

Parameter	Deskripsi
Role Type	Jenis peran. Pilih Normal Service Role.
RAM Role Name	Nama Peran RAM. Masukkan AliyunRDSInstanceEncryptionDefaultRole.
Note	Deskripsi Peran RAM.
Select Trusted Service	Layanan tepercaya dari Peran RAM. Pilih RDS.

Setelah pesan The Role has been created muncul, klik Add Permissions to RAM Role.
Catatan
Jika Anda telah menutup halaman di mana pesan The Role has been created muncul, Anda dapat pergi ke halaman Peran, temukan peran AliyunRDSInstanceEncryptionDefaultRole, dan kemudian klik Grant Permission di kolom Tindakan.
Di panel Grant Permission, pilih kebijakan AliyunRDSInstanceEncryptionRolePolicy yang Anda buat untuk menambahkan kebijakan ke bagian Selected Policy.
Klik Grant permissions.

Parameter	Deskripsi
Name	Nama kebijakan. Masukkan AliyunRDSInstanceEncryptionRolePolicy.
Description	Deskripsi kebijakan. Contoh: Izinkan RDS untuk mengakses KMS.