授权RDS访问KMS_附录_RDS MySQL 数据库

开通云盘加密前，需要给RDS授予访问密钥管理服务KMS（Key Management Service）的权限，您可以在访问控制RAM控制台上进行授权。

背景信息

云盘加密能够最大限度保护您的数据安全，您的业务和应用程序无需做额外的改动。关于云盘加密的更多详情请参见云盘加密。

授权操作

登录访问控制的权限策略管理页面。

单击新建权限策略并创建新权限策略。

说明权限策略是用语法结构描述的一组权限的集合，可以精确地描述被授权的资源集、操作集以及授权条件。

设置如下参数。


参数	说明
策略名称	填写策略名称。策略名称必须唯一。
备注	填写备注。
配置模式	策略配置模式。可视化配置：通过添加授权语句按钮设置权限效力、产品/服务、操作名称等。脚本配置：通过指定格式的文本快速设置策略。您可以直接复制下方说明内的脚本内容。

说明脚本配置如下：

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "kms:List*",
                "kms:DescribeKey",
                "kms:TagResource",
                "kms:UntagResource"
            ],
            "Resource": [
                "acs:kms:*:*:*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "acs:kms:*:*:*"
            ],
            "Effect": "Allow",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "kms:tag/acs:rds:instance-encryption": "true"
                }
            }
        }
    ]
}

单击确定。

在左侧导航栏选择RAM角色管理。
搜索AliyunRDSInstanceEncryptionDefaultRole并在右侧单击添加权限。
在自定义权限策略中搜索之前创建的策略，然后单击策略移动到右侧已选择框中。
单击确定。

查看ARN

ARN是角色的全局资源描述符，用来指定具体角色。ARN遵循阿里云ARN的命名规范。例如，某个云账号下的devops角色的ARN为：acs:ram::123456789012****:role/samplerole。

登录访问控制的RAM角色管理页面。
找到目标角色，单击角色名称。
在右上角查看ARN。