开通云盘加密前,需要给RDS授予访问密钥管理服务KMS(Key Management Service)的权限,您可以在访问控制RAM控制台上进行授权。
背景信息
云盘加密能够最大限度保护您的数据安全,您的业务和应用程序无需做额外的改动。关于云盘加密的更多详情请参见云盘加密。
授权操作
- 登录访问控制的权限策略管理页面。
- 单击新建权限策略并创建新权限策略。
说明 权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。
- 设置如下参数。
参数 |
说明 |
策略名称 |
填写策略名称。策略名称必须唯一。 |
备注 |
填写备注。 |
配置模式 |
策略配置模式。
- 可视化配置:通过添加授权语句按钮设置权限效力、产品/服务、操作名称等。
- 脚本配置:通过指定格式的文本快速设置策略。您可以直接复制下方说明内的脚本内容。
|
说明 脚本配置如下:
{
"Version": "1",
"Statement": [
{
"Action": [
"kms:List*",
"kms:DescribeKey",
"kms:TagResource",
"kms:UntagResource"
],
"Resource": [
"acs:kms:*:*:*"
],
"Effect": "Allow"
},
{
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"acs:kms:*:*:*"
],
"Effect": "Allow",
"Condition": {
"StringEqualsIgnoreCase": {
"kms:tag/acs:rds:instance-encryption": "true"
}
}
}
]
}
- 单击确定。
- 在左侧导航栏选择RAM角色管理。
- 单击新建RAM角色并创建新RAM角色。
- 当前可信实体类型选择阿里云服务,单击下一步。
- 设置如下参数。
参数 |
说明 |
角色名称 |
填写角色名称。角色名称必须唯一。 |
备注 |
填写备注。 |
选择受信服务 |
选择云数据库。
|
- 单击完成。
- 在角色创建成功提示下方单击为角色授权,将之前创建的策略授权给新角色。
- 在自定义权限策略中搜索之前创建的策略,然后单击策略移动到右侧已选择框中。
- 单击确定。
查看ARN
ARN是角色的全局资源描述符,用来指定具体角色。ARN遵循阿里云ARN的命名规范。例如,某个云账号下的devops角色的ARN为:acs:ram::123456789012****:role/samplerole
。
- 登录访问控制的RAM角色管理页面。
- 找到目标角色,单击角色名称。
- 在右上角查看ARN。
评论