开通云盘加密前,需要给RDS授予访问密钥管理服务KMS(Key Management Service)的权限,您可以在访问控制RAM控制台上进行授权。

背景信息

云盘加密能够最大限度保护您的数据安全,您的业务和应用程序无需做额外的改动。关于云盘加密的更多详情请参见云盘加密

授权操作

  1. 登录访问控制的权限策略管理页面。
  2. 单击新建权限策略并创建新权限策略。
    说明 权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。
    1. 设置如下参数。
      参数 说明
      策略名称 填写策略名称。策略名称必须唯一。
      备注 填写备注。
      配置模式 策略配置模式。
      • 可视化配置:通过添加授权语句按钮设置权限效力、产品/服务、操作名称等。
      • 脚本配置:通过指定格式的文本快速设置策略。您可以直接复制下方说明内的脚本内容。
      说明 脚本配置如下:
      {
          "Version": "1",
          "Statement": [
              {
                  "Action": [
                      "kms:List*",
                      "kms:DescribeKey",
                      "kms:TagResource",
                      "kms:UntagResource"
                  ],
                  "Resource": [
                      "acs:kms:*:*:*"
                  ],
                  "Effect": "Allow"
              },
              {
                  "Action": [
                      "kms:Encrypt",
                      "kms:Decrypt",
                      "kms:GenerateDataKey"
                  ],
                  "Resource": [
                      "acs:kms:*:*:*"
                  ],
                  "Effect": "Allow",
                  "Condition": {
                      "StringEqualsIgnoreCase": {
                          "kms:tag/acs:rds:instance-encryption": "true"
                      }
                  }
              }
          ]
      }
      新建策略
    2. 单击确定
  3. 在左侧导航栏选择RAM角色管理
  4. 搜索AliyunRDSInstanceEncryptionDefaultRole并在右侧单击添加权限
  5. 自定义权限策略中搜索之前创建的策略,然后单击策略移动到右侧已选择框中。
    授权策略
  6. 单击确定

查看ARN

ARN是角色的全局资源描述符,用来指定具体角色。ARN遵循阿里云ARN的命名规范。例如,某个云账号下的devops角色的ARN为:acs:ram::123456789012****:role/samplerole

  1. 登录访问控制的RAM角色管理页面。
  2. 找到目标角色,单击角色名称。
    查找角色
  3. 在右上角查看ARN。