服務(wù)關(guān)聯(lián)角色是與某個(gè)云服務(wù)關(guān)聯(lián)的角色，在您使用特定功能時(shí)，關(guān)聯(lián)的云服務(wù)會(huì)自動(dòng)創(chuàng)建或刪除服務(wù)關(guān)聯(lián)角色，不需要您主動(dòng)創(chuàng)建或刪除。例如服務(wù)關(guān)聯(lián)角色（AliyunServiceRoleForTSDBLindormEncryption）在某些場景下可以幫助Lindorm訪問密鑰管理服務(wù)（KMS）獲取訪問權(quán)限。開啟數(shù)據(jù)加密功能時(shí)系統(tǒng)會(huì)自動(dòng)創(chuàng)建服務(wù)關(guān)聯(lián)角色，關(guān)于服務(wù)關(guān)聯(lián)角色，請(qǐng)參見服務(wù)關(guān)聯(lián)角色。

權(quán)限說明：允許云原生多模數(shù)據(jù)庫 Lindorm訪問KMS中的相關(guān)資源，在Lindorm的數(shù)據(jù)加密TDE功能中使用該權(quán)限可以查詢和管理密鑰，詳細(xì)策略內(nèi)容如下所示：

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListKeys",
        "kms:ListResourceTags",
        "kms:DescribeKey"
      ],
      "Resource": [
        "acs:kms:*:*:*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:CreateAlias"
      ],
      "Resource": [
        "acs:kms:*:*:*"
      ],
      "Condition": {
        "StringEqualsIgnoreCase": {
          "kms:tag/acs:lindorm:instance-encryption": "true"
        }
      }
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "encryption.hitsdb.aliyuncs.com"
        }
      }
    }
  ]
}

如果您的RAM用戶權(quán)限不足，您可以添加下述權(quán)限后再執(zhí)行關(guān)聯(lián)角色的授權(quán)操作，添加權(quán)限的方法請(qǐng)參見創(chuàng)建自定義權(quán)限策略和為RAM用戶授權(quán)。您也可以直接使用主賬號(hào)執(zhí)行關(guān)聯(lián)角色的授權(quán)操作。

    {
      "Action": "ram:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "encryption.hitsdb.aliyuncs.com"
        }
      }
    }