OceanBase 云服务关联角色
本页面为您介绍 OceanBase 云服务关联角色 AliyunServiceRoleForOceanBaseEncryption 的使用场景以及如何删除该角色。
背景信息
OceanBase 云服务关联角色(AliyunServiceRoleForOceanBaseEncryption)是在某些情况下,为了完成 OceanBase 云服务自身的某个功能,需要获取其他云服务的访问权限,而提供的RAM角色。更多关于服务关联角色的信息请参见服务关联角色。
应用场景
OceanBase 云服务 TDE 加密功能使用的密钥由 KMS 服务加密保护,OceanBase 云服务通过关联角色(AliyunServiceRoleForOceanBaseEncryption)获得 KMS 访问权限。
权限说明
角色名称:AliyunServiceRoleForOceanBaseEncryption
角色策略:AliyunServiceRolePolicyForOceanBaseEncryption
权限说明
{
"Statement": [
{
"Action": [
"kms:ListKeys",
"kms:ListAliasesByKeyId",
"kms:ListAliases",
"kms:DescribeKey"
],
"Effect": "Allow",
"Resource": "acs:kms:*:*:*"
},
{
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Condition": {
"StringEqualsIgnoreCase": {
"kms:tag/oceanbase:encryption": "true"
}
},
"Effect": "Allow",
"Resource": "acs:kms:*:*:*"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "encryption.oceanbase.aliyuncs.com"
}
}
}
],
"Version": "1"
}删除角色
当您需要删除服务关联角色 AliyunServiceRoleForOceanBaseEncryption 时,需要删除使用该角色的租户后,再进行如下操作:
删除租户操作,详情参见 删除租户。
登录 RAM控制台,在左侧导航栏中单击 RAM 角色管理。
在 RAM 角色管理页面的搜索框中搜索 AliyunServiceRoleForOceanBaseEncryption。
在右侧操作列,单击删除。
在删除 RAM 角色对话框,单击确定。
5. 删除服务关联角色具体操作请参考 服务关联角色文档。
常见问题
为什么我的 RAM 用户无法自动创建 OceanBase 云服务关联角色 AliyunServiceRoleForOceanBaseEncryption?
您需要拥有指定的权限,才能自动创建或删除 AliyunServiceRoleForOceanBaseEncryption。因此,在 RAM 用户无法自动创建AliyunServiceRoleForOceanBaseEncryption 时,您需为其添加以下权限策略。
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "encryption.oceanbase.aliyuncs.com"
}
}
}