开通云盘加密前,需要给RDS授予访问密钥管理服务KMS(Key Management Service)的权限,您可以在访问控制RAM控制台上进行授权。

背景信息

云盘加密能够最大限度保护您的数据安全,您的业务和应用程序无需做额外的改动。关于云盘加密的更多详情请参见云盘加密

授权操作

  1. 登录访问控制的权限策略管理页面。
  2. 单击新建权限策略并创建新权限策略。
    说明 权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。
    1. 设置如下参数。
      参数 说明
      策略名称 填写策略名称。策略名称必须唯一。
      备注 填写备注。
      配置模式 策略配置模式。
      • 可视化配置:通过添加授权语句按钮设置权限效力、产品/服务、操作名称等。
      • 脚本配置:通过指定格式的文本快速设置策略。您可以直接复制说明内的脚本内容。
      说明 脚本配置如下:
      {
          "Version": "1",
          "Statement": [
              {
                  "Action": [
                      "kms:List*",
                      "kms:DescribeKey",
                      "kms:TagResource",
                      "kms:UntagResource"
                  ],
                  "Resource": [
                      "acs:kms:*:*:*"
                  ],
                  "Effect": "Allow"
              },
              {
                  "Action": [
                      "kms:Encrypt",
                      "kms:Decrypt",
                      "kms:GenerateDataKey"
                  ],
                  "Resource": [
                      "acs:kms:*:*:*"
                  ],
                  "Effect": "Allow",
                  "Condition": {
                      "StringEqualsIgnoreCase": {
                          "kms:tag/acs:rds:instance-encryption": "true"
                      }
                  }
              }
          ]
      }
      新建策略
    2. 单击确定
  3. 在左侧导航栏选择RAM角色管理
  4. 单击新建RAM角色并创建新RAM角色。
    1. 当前可信实体类型选择阿里云服务,单击下一步
    2. 设置如下参数。
      参数 说明
      角色名称 填写角色名称。角色名称必须唯一。
      备注 填写备注。
      选择受信服务 选择云数据库
      创建RAM角色
    3. 单击完成
  5. 角色创建成功提示下方单击为角色授权,将之前创建的策略授权给新角色。
    1. 自定义权限策略中搜索之前创建的策略,然后单击策略移动到右侧已选择框中。
      授权策略
    2. 单击确定

查看ARN

ARN是角色的全局资源描述符,用来指定具体角色。ARN遵循阿里云ARN的命名规范。例如,某个云账号下的devops角色的ARN为:acs:ram::123456789012****:role/samplerole

  1. 登录访问控制的RAM角色管理页面。
  2. 找到目标角色,单击角色名称。
    查找角色
  3. 在右上角查看ARN。