このトピックでは、ApsaraDB for OceanBase にリンクされたロールである AliyunServiceRoleForOceanBaseEncryption のシナリオと権限について説明します。
背景情報
AliyunServiceRoleForOceanBaseEncryption は、ApsaraDB for OceanBase でタスクを実行するために他のクラウドサービスへのアクセス権を取得するために、ApsaraDB for OceanBase によって提供される Resource Access Management (RAM) ロールです。ロールの詳細については、「サービスロール」をご参照ください。
シナリオ
ApsaraDB for OceanBase の透過データ暗号化 (TDE) 機能で使用されるキーは、KMS によって保護されています。 ApsaraDB for OceanBase は、サービスロール AliyunServiceRoleForOceanBaseEncryption を使用して KMS へのアクセスを取得します。
権限
ロール名: AliyunServiceRoleForOceanBaseEncryption
ロールポリシー: AliyunServiceRolePolicyForOceanBaseEncryption
権限は次のとおりです。
{
"Statement": [
{
"Action": [
"kms:ListKeys",
"kms:ListAliasesByKeyId",
"kms:ListAliases",
"kms:DescribeKey"
],
"Effect": "Allow",
"Resource": "acs:kms:*:*:*"
},
{
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Condition": {
"StringEqualsIgnoreCase": {
"kms:tag/oceanbase:encryption": "true"
}
},
"Effect": "Allow",
"Resource": "acs:kms:*:*:*"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "encryption.oceanbase.aliyuncs.com"
}
}
}
],
"Version": "1"
}よくある質問
RAM ユーザーを使用してサービスロール AliyunServiceRoleForOceanBaseEncryption を自動的に作成できないのはなぜですか。
AliyunServiceRoleForOceanBaseEncryption を自動的に作成または削除するには、特定の権限が付与されている必要があります。ロールを自動的に作成するには、RAM ユーザーに次の権限ポリシーを指定する必要があります。
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "encryption.oceanbase.aliyuncs.com"
}
}
}