本文为您介绍RDS备份加密服务关联角色(AliyunServiceRoleForRdsBackupEncryption)的应用场景以及如何删除服务关联角色。
背景信息
RDS备份加密服务关联角色(AliyunServiceRoleForRdsBackupEncryption)是在某些情况下,为了完成RDS备份加密的某个功能,需要获取其他云服务的访问权限,而提供的访问控制RAM(Resource Access Management)角色。更多关于服务关联角色的信息请参见服务关联角色。
应用场景
RDS备份加密功能需要访问密钥管理服务KMS(Key Management Service)的资源,通过服务关联角色功能获取访问权限。
AliyunServiceRoleForRdsBackupEncryption介绍
- 角色名称:AliyunServiceRoleForRdsBackupEncryption
- 角色权限策略:AliyunServiceRolePolicyForRdsBackupEncryption
- 权限说明:允许RDS备份加密列出用户KMS服务的密钥列表,获取密钥信息(密钥ID、别名等)。针对KMS中tag值为
acs:rds:backup-encryption
的密钥执行加密解密的相关操作。
{
"Statement": [
{
"Action": [
"kms:ListKeys",
"kms:ListAliasesByKeyId",
"kms:ListAliases",
"kms:DescribeKey"
],
"Effect": "Allow",
"Resource": [
"acs:kms:*:*:*"
]
},
{
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Condition": {
"StringEqualsIgnoreCase": {
"kms:tag/acs:rds:backup-encryption": "true"
}
},
"Effect": "Allow",
"Resource": [
"acs:kms:*:*:*"
]
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "backupencryption.rds.aliyuncs.com"
}
}
}
],
"Version": "1"
}
删除服务关联角色
如果您需要删除AliyunServiceRoleForRdsBackupEncryption,需要按如下流程进行操作: