授权PolarDB访问密钥管理服务KMS

创建权限策略AliyunRDSInstanceEncryptionRolePolicy

1. 登录访问控制的权限策略管理页面。

2. 单击创建权限策略。

   说明

   权限策略是用语法结构描述的一组权限的集合，可以精确地描述被授权的资源、操作以及授权条件。

3. 单击脚本编辑页签，将如下脚本复制到代码编辑框中。

   {
       "Version": "1",
       "Statement": [
           {
               "Action": [
                   "kms:List*",
                   "kms:DescribeKey",
                   "kms:TagResource",
                   "kms:UntagResource"
               ],
               "Resource": [
                   "acs:kms:*:*:*"
               ],
               "Effect": "Allow"
           },
           {
               "Action": [
                   "kms:Encrypt",
                   "kms:Decrypt",
                   "kms:GenerateDataKey"
               ],
               "Resource": [
                   "acs:kms:*:*:*"
               ],
               "Effect": "Allow",
               "Condition": {
                   "StringEqualsIgnoreCase": {
                       "kms:tag/acs:rds:instance-encryption": "true"
                   }
               }
           }
       ]
   }

4. 单击继续编辑基本信息，在文本框中填写如下信息：

   参数	说明
   名称	填写策略名称。请填写AliyunRDSInstanceEncryptionRolePolicy。
   备注	填写备注。例如：用于PolarDB访问KMS。

5. 单击确定。

创建RAM角色AliyunRDSInstanceEncryptionDefaultRole并授权

创建完策略之后，需要将策略授权给RAM角色，PolarDB就可以访问KMS资源。

1. 登录访问控制的RAM角色管理页面。

2. 单击创建角色。

3. 选择阿里云服务，单击下一步。

4. 设置如下参数，并单击完成。

   参数	说明
   角色类型	选择普通服务角色。
   角色名称	填写AliyunRDSInstanceEncryptionDefaultRole。
   备注	添加备注信息。
   选择受信服务	选择云数据库。

5. 在角色创建成功的提示下单击为角色授权。

   说明

   如果关闭了角色创建成功页面，也可以在RAM角色管理页面搜索AliyunRDSInstanceEncryptionDefaultRole，然后单击新增授权。

6. 在新增授权页面搜索之前创建的权限AliyunRDSInstanceEncryptionRolePolicy并单击该名称，使之移动到右侧已选择权限策略框内。

7. 单击确认新增授权。