授权PolarDB访问密钥管理服务KMS

1. 创建权限策略AliyunRDSInstanceEncryptionRolePolicy

1. 登录访问控制的权限策略管理页面。

2. 单击创建权限策略。

   说明

   权限策略是用语法结构描述的一组权限的集合，可以精确地描述被授权的资源、操作以及授权条件。

3. 单击脚本编辑页签，将如下脚本复制到代码编辑框中。

   {
       "Version": "1",
       "Statement": [
           {
               "Action": [
                   "kms:List*",
                   "kms:DescribeKey",
                   "kms:TagResource",
                   "kms:UntagResource"
               ],
               "Resource": [
                   "acs:kms:*:*:*"
               ],
               "Effect": "Allow"
           },
           {
               "Action": [
                   "kms:Encrypt",
                   "kms:Decrypt",
                   "kms:GenerateDataKey"
               ],
               "Resource": [
                   "acs:kms:*:*:*"
               ],
               "Effect": "Allow",
               "Condition": {
                   "StringEqualsIgnoreCase": {
                       "kms:tag/acs:rds:instance-encryption": "true"
                   }
               }
           }
       ]
   }

4. 单击确定，在弹出的对话框中填写如下信息：

   参数	说明
   名称	填写策略名称。请填写AliyunRDSInstanceEncryptionRolePolicy。
   备注	填写备注。例如：用于PolarDB访问KMS。

5. 单击确定。

2. 创建RAM角色AliyunRDSInstanceEncryptionDefaultRole并授权

创建完策略之后，需要将策略授权给RAM角色，PolarDB就可以访问KMS资源。

1. 登录访问控制的RAM角色管理页面。

2. 单击创建角色。

3. 选择云服务，在信任主体名称下拉框中选择后缀为rds.aliyuncs.com的云数据库 RDS，并单击确定。

4. 在创建角色弹窗中，填写角色名称AliyunRDSInstanceEncryptionDefaultRole，并单击确定。

5. 角色创建成功后，在角色详情页的权限管理页签下，单击新增授权。

6. 在新增授权页面搜索之前创建的权限AliyunRDSInstanceEncryptionRolePolicy并单击该名称，使之移动到右侧已选择权限策略框内。

7. 单击确认新增授权。

后续操作

完成上述权限策略与RAM角色创建后，您可以继续为您的集群开启透明数据加密TDE，或在创建集群时直接开启TDE。