PolarDB：授權PolarDB存取金鑰管理服務KMS

1. 建立權限原則AliyunRDSInstanceEncryptionRolePolicy

1. 登入存取控制的權限原則管理頁面。

2. 單擊建立權限原則。

   說明

   權限原則是用文法結構描述的一組許可權的集合，可以精確地描述被授權的資源、操作以及授權條件。

3. 單擊指令碼編輯頁簽，將如下指令碼複製到代碼編輯框中。

   {
       "Version": "1",
       "Statement": [
           {
               "Action": [
                   "kms:List*",
                   "kms:DescribeKey",
                   "kms:TagResource",
                   "kms:UntagResource"
               ],
               "Resource": [
                   "acs:kms:*:*:*"
               ],
               "Effect": "Allow"
           },
           {
               "Action": [
                   "kms:Encrypt",
                   "kms:Decrypt",
                   "kms:GenerateDataKey"
               ],
               "Resource": [
                   "acs:kms:*:*:*"
               ],
               "Effect": "Allow",
               "Condition": {
                   "StringEqualsIgnoreCase": {
                       "kms:tag/acs:rds:instance-encryption": "true"
                   }
               }
           }
       ]
   }

4. 單擊確定，在彈出的對話方塊中填寫如下資訊：

   參數	說明
   名稱	填寫策略名稱稱。請填寫AliyunRDSInstanceEncryptionRolePolicy。
   備忘	填寫備忘。例如：用於PolarDB訪問KMS。

5. 單擊確定。

2. 建立RAM角色AliyunRDSInstanceEncryptionDefaultRole並授權

建立完策略之後，需要將策略授權給RAM角色，PolarDB就可以訪問KMS資源。

1. 登入存取控制的RAM角色管理頁面。

2. 單擊建立角色。

3. 選擇雲端服務，在信任主體名稱下拉框中選擇尾碼為rds.aliyuncs.com的雲資料庫 RDS，並單擊確定。

4. 在建立角色彈窗中，填寫角色名稱AliyunRDSInstanceEncryptionDefaultRole，並單擊確定。

5. 角色建立成功後，在角色詳情頁的許可權管理頁簽下，單擊新增授權。

6. 在新增授權頁面搜尋之前建立的許可權AliyunRDSInstanceEncryptionRolePolicy並單擊該名稱，使之移動到右側已選擇權限原則框內。

7. 單擊確認新增授權。

後續操作

完成上述權限原則與RAM角色建立後，您可以繼續為您的叢集開啟透明資料加密TDE，或在建立叢集時直接開啟TDE。