首批通过分布式安全可靠测评,为关键业务系统打造
云厂商账号授权
更新时间:2026-05-30 17:21:35
本文介绍如何进行云厂商账号的绑定和 KMS 授权。
背景信息
在 OceanBase Cloud 中,实例通过绑定云厂商的账号信息,可以获取并使用云厂商的自定义密钥进行数据加密来增强安全性。
注意事项
- 云厂商账号授权功能仅支持 OceanBase 数据库 V4.3.5 及以上版本。
- 当前支持的云厂商包括华为云、AWS 和阿里云自营渠道的实例。
账号授权
创建 OB Cloud 跨账号访问角色。
在阿里云 RAM 访问控制 > 身份管理 > 角色 中创建新角色。请注意以下配置:

单击 切换编辑器。
效果 选 允许。
主体类型 选 云账号,再点击 编辑。
云账号 选 其他云账号 输入 OB Cloud 提供的主账号(实例自动生成)。
身份类型 选 RAM 用户 输入 OB Cloud 提供的 RAM 用户名称(实例自动生成)。
说明
OB Cloud 提供的主账号和 RAM 用户名称,可以在 安全设置 > TDE 透明加密 > 查看阿里云账号授权 中查看。

配置 KMS 访问权限。
说明
首次配置需要创建指定授权的权限策略,若已有相同的策略,可以跳过第一步。
创建自定义 KMS 权限策略。
在 RAM 访问控制页面,单击左侧导航栏 权限管理 > 权限策略。
在权限策略页,单击 创建权限策略。

在可视化编辑页签下,选择如下配置:

选项 说明 效果 允许 服务 密钥管理服务 操作 选择 指定操作,并选择以下权限: - kms:ListKeys
- kms:ListAliases
- kms:ListAliasesByKeyId
- kms:DescribeKey
- kms:Encrypt
- kms:Decrypt
- kms:GenerateDataKey
资源 默认选择 全部资源,若只想放开特定的 KMS 资源供 OceanBase 访问,可以选择 指定资源。 单击 确定,完成创建,创建后的权限策略如下:

为 RAM 用户配置 KMS 密钥权限。
在左侧导航栏中,单击 身份管理 > 角色。
单击上文中创建的角色名称,进入角色详情页。
单击 新增授权,填写如下配置。

选项 说明 资源范围 授权主体会自动填充,不需要更改。 权限策略 选择步骤 1 中创建的自定义策略。 完成授权后,状态如下:

在阿里云 RAM 用户详情中获取 ARN 信息。
授权校验。
登录 OB Cloud 云数据库控制台。
在左侧导航栏单击 集群列表,选择目标集群,进入 集群工作台 页面。
在左侧导航栏单击 安全设置。
在安全设置界面,单击 TDE 透明加密 页签。
单击 查看阿里云账号授权。
在 ARN 中填入阿里云 RAM 用户详情中获取的 ARN 信息,单击 完成。

创建 OB Cloud 跨账号访问用户及委托。
在华为云 统一身份认证服务 IAM > 委托 中创建新委托,请注意以下配置:
委托类型 选 普通账号。
委托的账号 输入 OB Cloud 提供的主账号(当前实例自动获取结果)。
说明
OB Cloud 提供的主账号,可以在 安全设置 > TDE 透明加密 > 查看华为云账号授权 中查看。
配置 KMS 访问权限。
说明
首次配置需要创建指定授权的权限策略,若已有相同的策略,可以跳过第一步。
创建自定义策略。
在统一身份认证服务 IAM 管理页面,单击左侧导航栏 权限管理 > 权限。
在权限策略页面右上角,单击 创建自定义策略。
填写策略名称后,在可视化视图页签下,选择如下配置:

选项 说明 效果 允许 服务 数据加密服务 操作 勾选以下权限: - kms:cmk:get(查询密钥信息)
- kms:cmk:list(查询密钥列表)
- kms:dek:create(创建数据密钥)
- kms:dek:encrypt(加密数据密钥)
- kms:dek:decrypt(解密数据密钥)
资源 默认选择 所有资源,若只想放开特定的 KMS 资源供 OceanBase 访问,可以选择 特定资源。 单击 确定,完成创建。
为委托配置 KMS 密钥权限。
在左侧导航栏中,单击 委托。
在委托列表,单击目标委托 操作 列的 授权。
在授权页面勾选第一步创建的策略,单击 下一步。
设置最小授权范围后,单击 确定。
在统一身份认证服务 IAM 委托详情中获取 URN 信息。
授权校验。
登录 OB Cloud 云数据库控制台。
在左侧导航栏单击 集群列表,选择目标集群,进入 集群工作台 页面。
在左侧导航栏单击 安全设置。
在安全设置界面,单击 TDE 透明加密 页签。
单击 查看华为云账号授权。
在 URN 中填入 IAM 委托详情中获取的 URN 信息,单击 完成。

登录 AWS IAM 管理控制台。
配置 KMS 访问权限。
说明
首次配置需要创建指定授权的权限策略,若已有相同的策略,可以跳过第一步。
创建自定义 KMS 权限策略。
在策略管理页面,单击 创建策略。
在可视化编辑页签下,选择如下配置:

选项 说明 选择服务 KMS 操作 选择 指定操作,并选择以下权限: - ListAliases
- ListKeys
- DescribeKey
- GenerateDataKey
- Decrypt
- Encrypt
资源 默认选择 所有,若只想放开特定的 KMS 资源供 OceanBase 访问,可以选择 指定资源。 单击 确定,完成创建。
创建 IAM 角色,并配置 KMS 密钥权限。
在角色管理页面,单击 创建角色。
选择 自定义信任策略 后,填写如下配置,并在
Principal字段中插入 OB Cloud 提供的 IAM 用户 ARN。说明
IAM 用户 ARN,可以在 安全设置 > TDE 透明加密 > 查看 AWS 账号授权 中查看。


{ "Version":"2012-10-17" "Statement":[ { "Effect":"Allow", "Principal":{****}, "Action":"sts:AssumeRole" }] }添加权限时选择步骤 1 中创建的自定义权限策略。

填写命名和描述信息,单击 确定。

在 AWS IAM 角色详情中获取 ARN 信息。
授权校验。
登录 OB Cloud 云数据库控制台。
在左侧导航栏单击 集群列表,选择目标集群,进入 集群工作台 页面。
在左侧导航栏单击 安全设置。
在安全设置界面,单击 TDE 透明加密 页签。
单击 查看 AWS 账号授权。
在 ARN 中填入AWS IAM 角色详情中获取的 ARN 信息,单击 完成。

登录腾讯云 访问管理 > 策略。
配置 KMS 访问权限。
说明
首次配置需要创建指定授权的权限策略,若已有相同的策略,可以跳过第一步。
创建 KMS 访问权限策略。
在策略管理页面,单击 新建自定义策略 > 按策略生成器创建。
在可视化编辑页签下,选择如下配置:

选项 说明 选择服务 密钥管理系统 (kms) 操作 选择 指定操作,并选择以下权限: - ListKeys
- ListKeyDetail
- DescribeKey
- GenerateDataKey
- Encrypt
- Decrypt
资源 默认选择 全部资源,若只想放开特定的 KMS 资源供 OceanBase 访问,可以选择 特定资源。 单击 下一步。
填写策略名称和描述,单击 完成。
在 访问管理 > 角色 创建 CAM 角色,并配置指定策略。
在角色管理页面,单击 新建角色 > 腾讯云账户。
输入角色载体信息,填写如下配置:
选项 说明 云账号类型 选择 其他主账号。 账号 ID 输入 OB Cloud 提供的腾讯云账号。 说明
OB Cloud 提供的主账号,可以在 安全设置 > TDE 透明加密 > 查看腾讯云账号授权 中查看。
配置角色策略,选择步骤 1 中创建的自定义策略。
配置角色标签,按需配置。
审阅,设置角色名称和描述,单击 完成。
角色创建完成后,在角色详情中获取 RoleArn。
授权校验。
登录 OB Cloud 云数据库控制台。
在左侧导航栏单击 集群列表,选择目标集群,进入 集群工作台 页面。
在左侧导航栏单击 安全设置。
在安全设置界面,单击 TDE 透明加密 页签。
单击 腾讯云账号授权。
填写腾讯云 CAM 角色详情中获取 RoleArn 信息,单击 完成。
