本文为您介绍RDS备份加密服务关联角色(AliyunServiceRoleForRdsBackupEncryption)的应用场景以及如何删除服务关联角色。

背景信息

RDS备份加密服务关联角色(AliyunServiceRoleForRdsBackupEncryption)是在某些情况下,为了完成RDS备份加密的某个功能,需要获取其他云服务的访问权限,而提供的访问控制RAM(Resource Access Management)角色。更多关于服务关联角色的信息请参见服务关联角色

应用场景

RDS备份加密功能需要访问密钥管理服务KMS(Key Management Service)的资源,通过服务关联角色功能获取访问权限。

AliyunServiceRoleForRdsBackupEncryption介绍

  • 角色名称:AliyunServiceRoleForRdsBackupEncryption
  • 角色权限策略:AliyunServiceRolePolicyForRdsBackupEncryption
  • 权限说明:允许RDS备份加密列出用户KMS服务的密钥列表,获取密钥信息(密钥ID、别名等)。针对KMS中tag值为acs:rds:backup-encryption的密钥执行加密解密的相关操作。 
{
  "Statement": [
    {
      "Action": [
        "kms:ListKeys",
        "kms:ListAliasesByKeyId",
        "kms:ListAliases",
        "kms:DescribeKey"
      ],
      "Effect": "Allow",
      "Resource": [
        "acs:kms:*:*:*"
      ]
    },
    {
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Condition": {
        "StringEqualsIgnoreCase": {
          "kms:tag/acs:rds:backup-encryption": "true"
        }
      },
      "Effect": "Allow",
      "Resource": [
        "acs:kms:*:*:*"
      ]
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "backupencryption.rds.aliyuncs.com"
        }
      }
    }
  ],
  "Version": "1"
}

删除服务关联角色

如果您需要删除AliyunServiceRoleForRdsBackupEncryption,需要按如下流程进行操作:

  1. 释放依赖服务关联角色的RDS实例。详情请参见释放RDS实例
  2. 删除已释放实例遗留的备份,包括跨地域备份和备份保留策略(实例释放后备份保留策略选择保留最后一个全部保留)遗留的备份。
    说明
    • 删除跨地域备份遗留的备份,请将保留天数设置为最短的7天,等待备份过期自动删除。
    • 删除备份保留策略遗留的备份,请将保留策略设置为不保留(该实例的所有遗留备份都会被删除)。
  3. 删除服务关联角色。详情请参见删除服务关联角色