すべてのプロダクト
Search

このプロダクト

    ApsaraDB RDS:RDS が KMS にアクセスすることを承認する

    ドキュメントセンター

    ApsaraDB RDS:RDS が KMS にアクセスすることを承認する

    最終更新日:Nov 10, 2025

    ApsaraDB RDS の透過的データ暗号化 (TDE) 機能を使用するには、RDS が Key Management Service (KMS) にアクセスすることを承認する必要があります。このトピックでは、Resource Access Management (RAM) コンソールで RDS が KMS にアクセスすることを承認する方法について説明します。

    前提条件

    Alibaba Cloud アカウントで RAM コンソールにログインしていること。

    背景情報

    クラウド暗号化機能を使用すると、ビジネスやアプリケーションを変更することなく、データセキュリティを確保できます。異なるデータベースエンジンを実行する RDS インスタンスのクラウド暗号化機能の詳細については、次のドキュメントを参照してください。

    AliyunRDSInstanceEncryptionRolePolicy という名前のポリシーを作成する

    1. [ポリシー] ページに移動します。

    2. [ポリシー] ページで、[ポリシーの作成] をクリックします。

      説明

      ポリシーとは、特定の構文を使用して定義された権限のセットです。ポリシーを使用して、承認されたリソースセット、承認された操作セット、および承認条件を記述できます。詳細については、「用語」をご参照ください。

    3. [JSON] タブで、次のコードをコピーしてコードエディタに貼り付けます。

      {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "kms:List*",
                "kms:DescribeKey",
                "kms:TagResource",
                "kms:UntagResource"
            ],
            "Resource": [
                "acs:kms:*:*:*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "acs:kms:*:*:*"
            ],
            "Effect": "Allow",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "kms:tag/acs:rds:instance-encryption": "true"
                }
            }
        }
    ]
}

    4. [OK] をクリックします。表示されるダイアログボックスで、次の表に示すパラメータを構成します。

      パラメータ

      説明

      名前

      ポリシーの名前。 AliyunRDSInstanceEncryptionRolePolicy と入力します。

      説明

      ポリシーの説明。例:RDS が KMS にアクセスすることを承認する。

    5. [OK] をクリックします。

    AliyunRDSInstanceEncryptionDefaultRole という名前の RAM ロールを作成して承認する

    AliyunRDSInstanceEncryptionRolePolicy ポリシーを作成した後、RAM ロールを作成し、ポリシーを RAM ロールにアタッチする必要があります。その後、RDS は KMS にアクセスできます。

    1. [ロール] ページに移動します。

    2. [ロール] ページで、[ロールの作成] をクリックします。

    3. 表示されるページで、[クラウドサービス] を選択します。次に、[プリンシパル名] ドロップダウンリストから接尾辞 rds.aliyuncs.com が付いた [apsaradb RDS] を選択し、[OK] をクリックします。

    4. [ロールの作成] ダイアログボックスで、[ロール名] パラメータを AliyunRDSInstanceEncryptionDefaultRole に設定し、[OK] をクリックします。

    5. ロールが作成されました メッセージが表示されたら、[RAM ロールに権限を追加] をクリックします。

      説明

      [ロールが作成されました] メッセージが表示されたページを閉じた場合は、[ロール] ページに移動し、[aliyunrdsinstanceencryptiondefaultrole] ロールを探し、[アクション] 列の [権限の付与] をクリックします。

    6. [権限の付与] パネルで、作成した [aliyunrdsinstanceencryptionrolepolicy] ポリシーを選択して、[選択したポリシー] セクションにポリシーを追加します。

    7. [権限の付与] をクリックします。

    (オプション) ロールの ARN を表示する

    Alibaba Cloud Resource Name (ARN) は、RAM ロールのグローバルリソース記述子です。 RAM ロールの ARN は、RAM ロールがアクセスできるリソースを記述します。 API 操作を呼び出してクラウドディスク暗号化機能を有効にする場合は、KMS にアクセスする権限を持つ RAM ロールの ARN を指定する必要があります。詳細については、「CreateDBInstance」をご参照ください。

    1. [ロール] ページに移動します。

    2. 必要なロールを探し、ロール名をクリックします。

    3. 表示されるページの右上隅で、ロールの ARN を表示します。