服務關聯角色 - Lindorm

在使用Lindorm的資料加密TDE功能時，您需要將名稱為AliyunServiceRoleForTSDBLindormEncryption的關聯角色授權給Lindorm使用。經過授權後，Lindorm可以使用當前雲帳號下資料加密功能。

背景資訊

服務關聯角色是與某個雲端服務關聯的角色，在您使用特定功能時，關聯的雲端服務會自動建立或刪除服務關聯角色，不需要您主動建立或刪除。例如服務關聯角色（AliyunServiceRoleForTSDBLindormEncryption）在某些情境下可以協助Lindorm存取金鑰管理服務（KMS）擷取存取權限。開啟資料加密功能時系統會自動建立服務關聯角色，關於服務關聯角色，請參見服務關聯角色。

說明

服務關聯角色的權限原則由關聯的雲端服務定義和使用，您不能修改或刪除權限原則，也不能為服務關聯角色添加或移除許可權。

AliyunServiceRoleForTSDBLindormEncryption關聯角色介紹

角色名稱：AliyunServiceRoleForTSDBLindormEncryption

角色權限原則：AliyunServiceRoleForTSDBLindormEncryption

許可權說明：允許Lindorm訪問KMS中的相關資源，在Lindorm的資料加密TDE功能中使用該許可權可以查詢和管理密鑰，詳細策略內容如下所示：

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListKeys",
        "kms:ListResourceTags",
        "kms:DescribeKey"
      ],
      "Resource": [
        "acs:kms:*:*:*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:CreateAlias"
      ],
      "Resource": [
        "acs:kms:*:*:*"
      ],
      "Condition": {
        "StringEqualsIgnoreCase": {
          "kms:tag/acs:lindorm:instance-encryption": "true"
        }
      }
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "encryption.hitsdb.aliyuncs.com"
        }
      }
    }
  ]
}

刪除服務關聯角色

如果您需要刪除服務關聯角色：AliyunServiceRoleForTSDBLindormEncryption，請先確定您帳號下沒有正在使用該服務關聯角色的執行個體，具體操作請參見刪除服務關聯角色。

RAM使用者建立服務關聯角色所需要的許可權

建立服務關聯角色的許可權通常包含在其對應雲端服務的管理員權限策略，因此只要具有該雲端服務的管理員權限，就可以為該雲端服務建立服務關聯角色。

如果您的RAM使用者權限不足，您可以添加下述許可權後再執行關聯角色的授權操作，添加許可權的方法請參見建立自訂權限原則和為RAM使用者授權。您也可以直接使用主帳號執行關聯角色的授權操作。

    {
      "Action": "ram:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "encryption.hitsdb.aliyuncs.com"
        }
      }
    }