本页面为您介绍 OceanBase 云服务关联角色 AliyunServiceRoleForOceanBaseEncryption 的使用场景以及权限说明。
背景信息
服务关联角色是一种可信实体为阿里云服务的RAM角色。云数据库 OceanBase 使用服务关联角色获取其他云服务或云资源的访问权限。通常情况下,服务关联角色是在您执行某项操作时,由系统自动创建。在自动创建服务关联角色失败或云数据库 OceanBase 不支持自动创建时,您需要手动创建服务关联角色。
OceanBase 云服务关联角色(AliyunServiceRoleForOceanBaseEncryption)是在某些情况下,为了完成 OceanBase 云服务自身的某个功能,需要获取其他云服务的访问权限,而提供的 RAM 角色。更多关于服务关联角色的信息请参见 服务关联角色。
应用场景
OceanBase 云服务 TDE 加密功能使用的密钥由 KMS 服务加密保护,OceanBase 云服务通过关联角色(AliyunServiceRoleForOceanBaseEncryption)获得 KMS 访问权限。
RAM用户使用服务关联角色需要的权限
如果使用 RAM 用户创建或删除服务关联角色,必须联系管理员为该 RAM 用户授予管理员权限(AliyunOceanBaseFullAccess)或在自定义权限策略的 Action 语句中为 RAM 用户添加以下权限:
创建服务关联角色:
ram:CreateServiceLinkedRole删除服务关联角色:
ram:DeleteServiceLinkedRole
关于授权的详细操作,请参见创建和删除服务关联角色所需的权限。
AliyunServiceRoleForOceanBaseEncryption 角色权限说明
角色名称:AliyunServiceRoleForOceanBaseEncryption
角色策略:AliyunServiceRolePolicyForOceanBaseEncryption
权限说明:
{
"Statement": [
{
"Action": [
"kms:ListKeys",
"kms:ListAliasesByKeyId",
"kms:ListAliases",
"kms:DescribeKey"
],
"Effect": "Allow",
"Resource": "acs:kms:*:*:*"
},
{
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Condition": {
"StringEqualsIgnoreCase": {
"kms:tag/oceanbase:encryption": "true"
}
},
"Effect": "Allow",
"Resource": "acs:kms:*:*:*"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "encryption.oceanbase.aliyuncs.com"
}
}
}
],
"Version": "1"
}