ディスク暗号化機能を使用するには、ApsaraDB RDS に Key Management Service (KMS) へのアクセスを承認する必要があります。Resource Access Management (RAM) コンソールで必要な権限を付与できます。
前提条件
Alibaba Cloud アカウントが必要です。
背景情報
ディスク暗号化は、ビジネスやアプリケーションを変更することなく、データのセキュリティを確保するのに役立ちます。さまざまなデータベースエンジンを実行する ApsaraDB RDS インスタンスのディスク暗号化の詳細については、次の Topic をご参照ください。
AliyunRDSInstanceEncryptionRolePolicy アクセスポリシーの作成
RAM コンソールの ポリシーページにログインします。
[ポリシーの作成] をクリックします。
説明アクセスポリシーは、特定の構文を使用して記述された権限のセットです。ポリシーは、承認されたリソース、操作、および条件を定義します。
[スクリプト] タブをクリックし、次のスクリプトをスクリプトエディターにコピーします。
{ "Version": "1", "Statement": [ { "Action": [ "kms:List*", "kms:DescribeKey", "kms:TagResource", "kms:UntagResource" ], "Resource": [ "acs:kms:*:*:*" ], "Effect": "Allow" }, { "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "acs:kms:*:*:*" ], "Effect": "Allow", "Condition": { "StringEqualsIgnoreCase": { "kms:tag/acs:rds:instance-encryption": "true" } } } ] }[OK] をクリックします。表示されるダイアログボックスで、次の情報を設定し、[OK] をクリックします。
パラメータ
説明
ポリシー名
ポリシーの名前を入力します。[AliyunRDSInstanceEncryptionRolePolicy] を使用します。
説明
説明を入力します。例: ApsaraDB RDS に KMS へのアクセスを承認します。
タグ
新しいポリシーにタグをアタッチします。
AliyunRDSInstanceEncryptionDefaultRole RAM ロールの作成と承認
ポリシーを作成したら、RAM ロールにアタッチする必要があります。これにより、ApsaraDB RDS に KMS リソースへのアクセス権が付与されます。
RAM コンソールの ロールページにログインします。
[ロールの作成] をクリックします。
[Alibaba Cloud Service] を選択します。[信頼できるサービスの選択] ドロップダウンリストから、
rds.aliyuncs.comサフィックスを持つ [ApsaraDB RDS] を選択します。次に、[OK] をクリックします。[ロールの作成] ダイアログボックスで、[ロール名] を AliyunRDSInstanceEncryptionDefaultRole に設定し、[OK] をクリックします。
ロールが作成されたことを示すメッセージが表示されたら、権限の付与をクリックします。
説明[ロールは正常に作成されました] ページを閉じた場合は、RAM ロール管理ページで [AliyunRDSInstanceEncryptionDefaultRole] を検索し、[権限の付与] をクリックすることもできます。
[権限の付与] ページで、作成した AliyunRDSInstanceEncryptionRolePolicy ポリシーを検索します。ポリシーをクリックして、右側の [選択済み] セクションに移動します。
[OK] をクリックします。
(任意) ロールの ARN を表示する
Alibaba Cloud リソースネーム (ARN) は、RAM ロールを一意に識別するグローバルリソース記述子です。API 操作を呼び出してディスク暗号化を有効にする場合、KMS にアクセスする権限を持つ RAM ロールの ARN を渡す必要があります。詳細については、「CreateDBInstance」をご参照ください。
RAM コンソールの ロールページにログインします。
ロールを見つけて、その名前をクリックします。
右上隅にある ARN を見つけます。