OceanBase 云服務(wù)關(guān)聯(lián)角色
本頁(yè)面為您介紹 OceanBase 云服務(wù)關(guān)聯(lián)角色 AliyunServiceRoleForOceanBaseEncryption 的使用場(chǎng)景以及權(quán)限說(shuō)明。
背景信息
OceanBase 云服務(wù)關(guān)聯(lián)角色(AliyunServiceRoleForOceanBaseEncryption)是在某些情況下,為了完成 OceanBase 云服務(wù)自身的某個(gè)功能,需要獲取其他云服務(wù)的訪問(wèn)權(quán)限,而提供的 RAM 角色。更多關(guān)于服務(wù)關(guān)聯(lián)角色的信息請(qǐng)參見(jiàn)服務(wù)關(guān)聯(lián)角色。
應(yīng)用場(chǎng)景
OceanBase 云服務(wù) TDE 加密功能使用的密鑰由 KMS 服務(wù)加密保護(hù),OceanBase 云服務(wù)通過(guò)關(guān)聯(lián)角色(AliyunServiceRoleForOceanBaseEncryption)獲得 KMS 訪問(wèn)權(quán)限。
權(quán)限說(shuō)明
角色名稱:AliyunServiceRoleForOceanBaseEncryption
角色策略:AliyunServiceRolePolicyForOceanBaseEncryption
權(quán)限說(shuō)明:
{
"Statement": [
{
"Action": [
"kms:ListKeys",
"kms:ListAliasesByKeyId",
"kms:ListAliases",
"kms:DescribeKey"
],
"Effect": "Allow",
"Resource": "acs:kms:*:*:*"
},
{
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Condition": {
"StringEqualsIgnoreCase": {
"kms:tag/oceanbase:encryption": "true"
}
},
"Effect": "Allow",
"Resource": "acs:kms:*:*:*"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "encryption.oceanbase.aliyuncs.com"
}
}
}
],
"Version": "1"
}常見(jiàn)問(wèn)題
為什么我的 RAM 用戶無(wú)法自動(dòng)創(chuàng)建 OceanBase 云服務(wù)關(guān)聯(lián)角色 AliyunServiceRoleForOceanBaseEncryption?
您需要擁有指定的權(quán)限,才能自動(dòng)創(chuàng)建或刪除 AliyunServiceRoleForOceanBaseEncryption。因此,在 RAM 用戶無(wú)法自動(dòng)創(chuàng)建 AliyunServiceRoleForOceanBaseEncryption 時(shí),您需為其添加以下權(quán)限策略。
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "encryption.oceanbase.aliyuncs.com"
}
}
}