背景信息

云盤加密能夠最大限度保護您的數據安全，您的業務和應用程序無需做額外的改動。關于云盤加密的更多詳情請參見：

• MySQL云盤加密

• PostgreSQL云盤加密

• SQL Server云盤加密

• MariaDB云盤加密

創建權限策略AliyunRDSInstanceEncryptionRolePolicy

1. 登錄訪問控制的權限策略管理頁面。

2. 單擊創建權限策略。

   說明

   權限策略是用語法結構描述的一組權限的集合，可以精確地描述被授權的資源、操作以及授權條件。

3. 單擊腳本編輯頁簽，將如下腳本復制到代碼編輯框中。

   {
       "Version": "1",
       "Statement": [
           {
               "Action": [
                   "kms:List*",
                   "kms:DescribeKey",
                   "kms:TagResource",
                   "kms:UntagResource"
               ],
               "Resource": [
                   "acs:kms:*:*:*"
               ],
               "Effect": "Allow"
           },
           {
               "Action": [
                   "kms:Encrypt",
                   "kms:Decrypt",
                   "kms:GenerateDataKey"
               ],
               "Resource": [
                   "acs:kms:*:*:*"
               ],
               "Effect": "Allow",
               "Condition": {
                   "StringEqualsIgnoreCase": {
                       "kms:tag/acs:rds:instance-encryption": "true"
                   }
               }
           }
       ]
   }

4. 單擊確定，在彈出的對話框中填寫如下信息：

   參數	說明
   名稱	填寫策略名稱。請填寫AliyunRDSInstanceEncryptionRolePolicy。
   備注	填寫備注。例如：用于RDS訪問KMS。

5. 單擊確定。

創建RAM角色AliyunRDSInstanceEncryptionDefaultRole并授權

創建完策略之后，需要將策略授權給RAM角色，RDS就可以訪問KMS資源。

1. 登錄訪問控制的RAM角色管理頁面。

2. 單擊創建角色。

3. 選擇阿里云服務，單擊下一步。

4. 設置如下參數，并單擊完成。

   參數	說明
   角色類型	選擇普通服務角色。
   角色名稱	填寫AliyunRDSInstanceEncryptionDefaultRole。
   備注	添加備注信息。
   選擇受信服務	選擇云數據庫。

5. 在角色創建成功的提示下單擊為角色授權。

   說明

   如果關閉了角色創建成功頁面，也可以在RAM角色管理頁面搜索AliyunRDSInstanceEncryptionDefaultRole，然后單擊新增授權。

6. 在新增授權頁面搜索之前創建的權限AliyunRDSInstanceEncryptionRolePolicy并單擊該名稱，使之移動到右側已選擇權限策略框內。

7. 單擊確認新增授權。

查看角色ARN（可選）

ARN（Alibaba Cloud Resource Name）是RAM角色的全局資源描述符，即描述該RAM角色具有哪些資源的訪問權限。調用API進行云盤加密時需要傳入ARN，用于指定一個具有KMS訪問權限的RAM角色，具體操作，請參見CreateDBInstance。

1. 登錄訪問控制的RAM角色管理頁面。

2. 找到目標角色，單擊角色名稱。

3. 在右上角查看ARN。