需要给RDS授予访问密钥管理服务KMS(Key Management Service)的权限,才能正常使用云盘加密功能,您可以在访问控制RAM控制台上进行授权。

前提条件

需要使用阿里云主账号。

背景信息

云盘加密能够最大限度保护您的数据安全,您的业务和应用程序无需做额外的改动。关于云盘加密的更多详情请参见云盘加密

创建权限策略AliyunRDSInstanceEncryptionRolePolicy

  1. 登录访问控制的权限策略管理页面。
  2. 单击创建权限策略
    说明 权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源、操作以及授权条件。
  3. 设置如下参数。
    参数 说明
    策略名称 填写策略名称。请填写AliyunRDSInstanceEncryptionRolePolicy
    备注 填写备注。例如:用于RDS访问KMS。
    配置模式 策略配置模式。请选择脚本配置,复制下方脚本内容并粘贴。

    脚本配置如下:

    {
        "Version": "1",
        "Statement": [
            {
                "Action": [
                    "kms:List*",
                    "kms:DescribeKey",
                    "kms:TagResource",
                    "kms:UntagResource"
                ],
                "Resource": [
                    "acs:kms:*:*:*"
                ],
                "Effect": "Allow"
            },
            {
                "Action": [
                    "kms:Encrypt",
                    "kms:Decrypt",
                    "kms:GenerateDataKey"
                ],
                "Resource": [
                    "acs:kms:*:*:*"
                ],
                "Effect": "Allow",
                "Condition": {
                    "StringEqualsIgnoreCase": {
                        "kms:tag/acs:rds:instance-encryption": "true"
                    }
                }
            }
        ]
    }
  4. 单击确定

创建RAM角色AliyunRDSInstanceEncryptionDefaultRole并授权

创建完策略之后,需要将策略授权给RAM角色,RDS就可以访问KMS资源。

  1. 登录访问控制的RAM角色管理页面。
  2. 单击创建RAM角色
  3. 选择阿里云服务,单击下一步
    阿里云服务
  4. 设置如下参数,并单击完成
    参数 说明
    角色类型 选择普通服务角色
    角色名称 填写AliyunRDSInstanceEncryptionDefaultRole
    备注 添加备注信息。
    选择受信服务 选择云数据库
    创建RAM角色
  5. 角色创建成功的提示下单击为角色授权
    角色创建成功
    说明 如果关闭了 角色创建成功页面,也可以在 RAM角色管理页面搜索 AliyunRDSInstanceEncryptionDefaultRole,然后单击 添加权限
  6. 添加权限页面搜索之前创建的权限AliyunRDSInstanceEncryptionRolePolicy并单击该名称,使之移动到右侧已选择框内。
    授权
  7. 单击确定

查看角色ARN(可选)

ARN(Alibaba Cloud Resource Name)是RAM角色的全局资源描述符,即描述该RAM角色具有哪些资源的访问权限。调用API进行云盘加密时需要传入ARN,用于指定一个具有KMS访问权限的RAM角色,具体操作,请参见CreateDBInstance

  1. 登录访问控制的RAM角色管理页面。
  2. 找到目标角色,单击角色名称。
  3. 在右上角查看ARN。