TDE 機能を使用するには、PolarDB に Key Management Service (KMS) へのアクセス権限を付与する必要があります。この権限は、Resource Access Management (RAM) コンソールで付与できます。
前提条件
Alibaba Cloud アカウントを使用する必要があります。
1. AliyunRDSInstanceEncryptionRolePolicy アクセスポリシーを作成する
RAM コンソールの ポリシー管理 ページにログインします。
[ポリシーの作成] をクリックします。
説明アクセスポリシーは、特定の構文を使用して、承認されたリソース、操作、および条件を定義する権限のコレクションです。
[スクリプトエディター] タブをクリックし、次のスクリプトをコードエディタにコピーします。
{ "Version": "1", "Statement": [ { "Action": [ "kms:List*", "kms:DescribeKey", "kms:TagResource", "kms:UntagResource" ], "Resource": [ "acs:kms:*:*:*" ], "Effect": "Allow" }, { "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "acs:kms:*:*:*" ], "Effect": "Allow", "Condition": { "StringEqualsIgnoreCase": { "kms:tag/acs:rds:instance-encryption": "true" } } } ] }[OK] をクリックします。表示されるダイアログボックスに、次の情報を入力します。
パラメーター
説明
名前
ポリシー名を入力します。AliyunRDSInstanceEncryptionRolePolicy と入力します。
メモ
メモを入力します。例: PolarDB が KMS にアクセスするために使用します。
[OK] をクリックします。
2. AliyunRDSInstanceEncryptionDefaultRole RAM ロールを作成して承認する
ポリシーを作成したら、RAM ロールにアタッチする必要があります。これにより、PolarDB は KMS リソースにアクセスできるようになります。
RAM コンソールの ロール管理 ページにログインします。
[ロールの作成] をクリックします。
[Alibaba Cloud サービス] を選択します。[信頼できるエンティティ名] ドロップダウンリストから、末尾が
rds.aliyuncs.comの [ApsaraDB RDS] オプションを選択し、[OK] をクリックします。[ロールの作成] ダイアログボックスで、[ロール名] を
AliyunRDSInstanceEncryptionDefaultRoleに設定し、[OK] をクリックします。ロールが作成されたら、ロールの詳細ページで [権限管理] タブをクリックし、[権限の追加] をクリックします。
[権限の追加] ページで、作成した
AliyunRDSInstanceEncryptionRolePolicyポリシーを検索します。ポリシー名をクリックして、右側の [選択したポリシー] ボックスに移動します。[承認の確認] をクリックします。
次のステップ
アクセスポリシーと RAM ロールを作成したら、クラスターの TDE を有効にできます。クラスターの作成時に TDE を有効にすることもできます。