---
title: "云厂商账号授权 - OB Cloud 云数据库 master | OceanBase 文档中心"
description: 云厂商账号授权 本文介绍如何进行云厂商账号的绑定和 KMS 授权。 背景信息 在 OceanBase Cloud 中，实例通过绑定云厂商的账号信息，可以获取并使用云厂商的自定义密钥进行数据加密来增强安全性。 注意事项 云厂商账号授权功能仅支持 OceanBase 数据库 V4.3.5 及以上版本。 当前支持的云厂商包…
---
切换语言

- 中文站 - 简体中文
- International - English
- 日本站 - 日本語

文档反馈![](https://mdn.alipayobjects.com/huamei_22khvb/afts/img/A*qbZXRo_94ZEAAAAAAAAAAAAADiGDAQ/original) OB Cloud 云数据库

# 云厂商账号授权

更新时间：2026-05-30 17:21:35

本文介绍如何进行云厂商账号的绑定和 KMS 授权。

## 背景信息

在 OceanBase Cloud 中，实例通过绑定云厂商的账号信息，可以获取并使用云厂商的自定义密钥进行数据加密来增强安全性。

## 注意事项

- 云厂商账号授权功能仅支持 OceanBase 数据库 V4.3.5 及以上版本。
 - 当前支持的云厂商包括华为云、AWS 和阿里云自营渠道的实例。

## 账号授权

    阿里云账号授权   华为云账号授权   AWS 账号授权   腾讯云账号授权

1. 创建 OB Cloud 跨账号访问角色。

   在阿里云 [RAM 访问控制 > 身份管理 > 角色](https://ram.console.aliyun.com/overview?activeTab=overview) 中创建新角色。请注意以下配置：

   ![00](https://obbusiness-private.oss-cn-shanghai.aliyuncs.com/doc/img/cloud/25V2/600.security/cloud-provider-account-authorization-00-1.png)

      1. 单击 **切换编辑器**。
      2. **效果** 选 **允许**。
      3. **主体类型** 选 **云账号**，再点击 **编辑**。
      4. **云账号** 选 **其他云账号** 输入 OB Cloud 提供的主账号（实例自动生成）。
      5. **身份类型** 选 **RAM 用户** 输入 OB Cloud 提供的 RAM 用户名称（实例自动生成）。

        #### 说明

        OB Cloud 提供的主账号和 RAM 用户名称，可以在 **安全设置 > TDE 透明加密 > 查看阿里云账号授权** 中查看。  
        ![](https://obbusiness-private.oss-cn-shanghai.aliyuncs.com/doc/img/cloud/25V2/600.security/cloud-provider-account-authorization-0.png)
 2. 配置 KMS 访问权限。

   #### 说明

   首次配置需要创建指定授权的权限策略，若已有相同的策略，可以跳过第一步。

      1. 创建自定义 KMS 权限策略。

             1. 在 RAM 访问控制页面，单击左侧导航栏 **权限管理 > 权限策略**。
             2. 在权限策略页，单击 **创建权限策略**。

               ![1](https://obbusiness-private.oss-cn-shanghai.aliyuncs.com/doc/img/cloud/25V2/600.security/cloud-provider-account-authorization-1.png)
             3. 在可视化编辑页签下，选择如下配置：

               ![2](https://obbusiness-private.oss-cn-shanghai.aliyuncs.com/doc/img/cloud/25V2/600.security/cloud-provider-account-authorization-2.png)

               | 选项 | 说明 |
               | --- | --- |
               | 效果 | 允许 |
               | 服务 | 密钥管理服务 |
               | 操作 | 选择 **指定操作**，并选择以下权限：        - kms:ListKeys       - kms:ListAliases       - kms:ListAliasesByKeyId       - kms:DescribeKey       - kms:Encrypt       - kms:Decrypt       - kms:GenerateDataKey |
               | 资源 | 默认选择 **全部资源**，若只想放开特定的 KMS 资源供 OceanBase 访问，可以选择 **指定资源**。 |
             4. 单击 **确定**，完成创建，创建后的权限策略如下：

               ![3](https://obbusiness-private.oss-cn-shanghai.aliyuncs.com/doc/img/cloud/25V2/600.security/cloud-provider-account-authorization-3.png)
      2. 为 RAM 用户配置 KMS 密钥权限。

             1. 在左侧导航栏中，单击 **身份管理 > 角色**。
             2. 单击上文中创建的角色名称，进入角色详情页。
             3. 单击 **新增授权**，填写如下配置。

               ![4](https://obbusiness-private.oss-cn-shanghai.aliyuncs.com/doc/img/cloud/25V2/600.security/cloud-provider-account-authorization-4-1.png)

               | 选项 | 说明 |
               | --- | --- |
               | 资源范围 | 授权主体会自动填充，不需要更改。 |
               | 权限策略 | 选择步骤 1 中创建的自定义策略。 |
             4. 完成授权后，状态如下：

               ![5](https://obbusiness-private.oss-cn-shanghai.aliyuncs.com/doc/img/cloud/25V2/600.security/cloud-provider-account-authorization-5.png)
      3. 在阿里云 RAM 用户详情中获取 ARN 信息。
 3. 授权校验。

      1. 登录 [OB Cloud 云数据库控制台](https://console-cn.oceanbase.com)。
      2. 在左侧导航栏单击 **集群列表**，选择目标集群，进入 **集群工作台** 页面。
      3. 在左侧导航栏单击 **安全设置**。
      4. 在安全设置界面，单击 **TDE 透明加密** 页签。
      5. 单击 **查看阿里云账号授权**。
      6. 在 ARN 中填入阿里云 RAM 用户详情中获取的 ARN 信息，单击 **完成**。

        ![6](https://obbusiness-private.oss-cn-shanghai.aliyuncs.com/doc/img/cloud/25V2/600.security/cloud-provider-account-authorization-6.png)

1. 创建 OB Cloud 跨账号访问用户及委托。

   在华为云 [统一身份认证服务 IAM > 委托](https://console.huaweicloud.com/iam/?region=cn-north-4#/iam/agencies) 中创建新委托，请注意以下配置：

      1. **委托类型** 选 **普通账号**。
      2. **委托的账号** 输入 OB Cloud 提供的主账号（当前实例自动获取结果）。

        #### 说明

        OB Cloud 提供的主账号，可以在 **安全设置 > TDE 透明加密 > 查看华为云账号授权** 中查看。
 2. 配置 KMS 访问权限。

      1. 创建自定义策略。

             1. 在统一身份认证服务 IAM 管理页面，单击左侧导航栏 **权限管理 > 权限**。
             2. 在权限策略页面右上角，单击 **创建自定义策略**。
             3. 填写策略名称后，在可视化视图页签下，选择如下配置：

               ![7](https://obbusiness-private.oss-cn-shanghai.aliyuncs.com/doc/img/cloud/25V2/600.security/cloud-provider-account-authorization-7-1.png)

               | 选项 | 说明 |
               | --- | --- |
               | 效果 | 允许 |
               | 服务 | 数据加密服务 |
               | 操作 | 勾选以下权限：        - kms:cmk:get（查询密钥信息）       - kms:cmk:list（查询密钥列表）       - kms:dek:create（创建数据密钥）       - kms:dek:encrypt（加密数据密钥）       - kms:dek:decrypt（解密数据密钥） |
               | 资源 | 默认选择 **所有资源**，若只想放开特定的 KMS 资源供 OceanBase 访问，可以选择 **特定资源**。 |
             4. 单击 **确定**，完成创建。
      2. 为委托配置 KMS 密钥权限。

             1. 在左侧导航栏中，单击 **委托**。
             2. 在委托列表，单击目标委托 **操作** 列的 **授权**。
             3. 在授权页面勾选第一步创建的策略，单击 **下一步**。
             4. 设置最小授权范围后，单击 **确定**。
      3. 在统一身份认证服务 IAM 委托详情中获取 URN 信息。
 3. 授权校验。

      1. 登录 [OB Cloud 云数据库控制台](https://console-cn.oceanbase.com)。
      2. 在左侧导航栏单击 **集群列表**，选择目标集群，进入 **集群工作台** 页面。
      3. 在左侧导航栏单击 **安全设置**。
      4. 在安全设置界面，单击 **TDE 透明加密** 页签。
      5. 单击 **查看华为云账号授权**。
      6. 在 URN 中填入 IAM 委托详情中获取的 URN 信息，单击 **完成**。

        ![8](https://obbusiness-private.oss-cn-shanghai.aliyuncs.com/doc/img/cloud/25V2/600.security/cloud-provider-account-authorization-8.png)

1. 登录 [AWS IAM 管理控制台](https://console.aws.amazon.com/iam/)。
 2. 配置 KMS 访问权限。

             1. 在策略管理页面，单击 **创建策略**。
             2. 在可视化编辑页签下，选择如下配置：

               ![9](https://obbusiness-private.oss-cn-shanghai.aliyuncs.com/doc/img/cloud/25V2/600.security/cloud-provider-account-authorization-9.png)

               | 选项 | 说明 |
               | --- | --- |
               | 选择服务 | KMS |
               | 操作 | 选择 **指定操作**，并选择以下权限：        - ListAliases       - ListKeys       - DescribeKey       - GenerateDataKey       - Decrypt       - Encrypt |
               | 资源 | 默认选择 **所有**，若只想放开特定的 KMS 资源供 OceanBase 访问，可以选择 **指定资源**。 |
             3. 单击 **确定**，完成创建。
      2. 创建 IAM 角色，并配置 KMS 密钥权限。

             1. 在角色管理页面，单击 **创建角色**。
             2. 选择 **自定义信任策略** 后，填写如下配置，并在 `Principal` 字段中插入 OB Cloud 提供的 IAM 用户 ARN。

               #### 说明

               IAM 用户 ARN，可以在 **安全设置 > TDE 透明加密 > 查看 AWS 账号授权** 中查看。  
               ![](https://obbusiness-private.oss-cn-shanghai.aliyuncs.com/doc/img/cloud/25V2/600.security/cloud-provider-account-authorization-11.png)

               ![10](https://obbusiness-private.oss-cn-shanghai.aliyuncs.com/doc/img/cloud/25V2/600.security/cloud-provider-account-authorization-10.png)

               ```yml
               {
                  "Version":"2012-10-17"
                  "Statement":[
                  {
                     "Effect":"Allow",
                     "Principal":{****},
                     "Action":"sts:AssumeRole"
                  }]
               }

               ```
             3. 添加权限时选择步骤 1 中创建的自定义权限策略。

               ![12](https://obbusiness-private.oss-cn-shanghai.aliyuncs.com/doc/img/cloud/25V2/600.security/cloud-provider-account-authorization-12.png)
             4. 填写命名和描述信息，单击 **确定**。

               ![13](https://obbusiness-private.oss-cn-shanghai.aliyuncs.com/doc/img/cloud/25V2/600.security/cloud-provider-account-authorization-13-1.png)
      3. 在 AWS IAM 角色详情中获取 ARN 信息。
 3. 授权校验。

      1. 登录 [OB Cloud 云数据库控制台](https://console-cn.oceanbase.com)。
      2. 在左侧导航栏单击 **集群列表**，选择目标集群，进入 **集群工作台** 页面。
      3. 在左侧导航栏单击 **安全设置**。
      4. 在安全设置界面，单击 **TDE 透明加密** 页签。
      5. 单击 **查看 AWS 账号授权**。
      6. 在 ARN 中填入AWS IAM 角色详情中获取的 ARN 信息，单击 **完成**。

        ![14](https://obbusiness-private.oss-cn-shanghai.aliyuncs.com/doc/img/cloud/25V2/600.security/cloud-provider-account-authorization-14-1.png)

1. 登录腾讯云 [访问管理 > 策略](https://console.cloud.tencent.com/cam/policy/)。
 2. 配置 KMS 访问权限。

      1. 创建 KMS 访问权限策略。

             1. 在策略管理页面，单击 **新建自定义策略** > **按策略生成器创建**。
             2. 在可视化编辑页签下，选择如下配置：

               ![15](https://obbusiness-private.oss-cn-shanghai.aliyuncs.com/doc/img/cloud/25V3/cloud-provider-account-authorization-15.png)

               | 选项 | 说明 |
               | --- | --- |
               | 选择服务 | 密钥管理系统 (kms) |
               | 操作 | 选择 **指定操作**，并选择以下权限：        - ListKeys       - ListKeyDetail       - DescribeKey       - GenerateDataKey       - Encrypt       - Decrypt |
               | 资源 | 默认选择 **全部资源**，若只想放开特定的 KMS 资源供 OceanBase 访问，可以选择 **特定资源**。 |
             3. 单击 **下一步**。
             4. 填写策略名称和描述，单击 **完成**。
      2. 在 [访问管理 > 角色](https://console.cloud.tencent.com/cam/role) 创建 CAM 角色，并配置指定策略。

             1. 在角色管理页面，单击 **新建角色** > **腾讯云账户**。
             2. 输入角色载体信息，填写如下配置：

               | 选项 | 说明 |
               | --- | --- |
               | 云账号类型 | 选择 **其他主账号**。 |
               | 账号 ID | 输入 OB Cloud 提供的腾讯云账号。   #### 说明    OB Cloud 提供的主账号，可以在 **安全设置 > TDE 透明加密 > 查看腾讯云账号授权** 中查看。 | | | 控制台访问 | 不勾选。 | | 需要MFA认证 | 不勾选。 | | 外部 ID | 不勾选。 |
             3. 配置角色策略，选择步骤 1 中创建的自定义策略。
             4. 配置角色标签，按需配置。
             5. 审阅，设置角色名称和描述，单击 **完成**。
      3. 角色创建完成后，在角色详情中获取 **RoleArn**。
 3. 授权校验。

      1. 登录 [OB Cloud 云数据库控制台](https://console-cn.oceanbase.com)。
      2. 在左侧导航栏单击 **集群列表**，选择目标集群，进入 **集群工作台** 页面。
      3. 在左侧导航栏单击 **安全设置**。
      4. 在安全设置界面，单击 **TDE 透明加密** 页签。
      5. 单击 **腾讯云账号授权**。
      6. 填写腾讯云 CAM 角色详情中获取 RoleArn 信息，单击 **完成**。

        ![16](https://obbusiness-private.oss-cn-shanghai.aliyuncs.com/doc/img/cloud/25V3/cloud-provider-account-authorization-16.png)

    上一篇 下一篇 ![有帮助](https://gw.alipayobjects.com/mdn/ob_asset/afts/img/A*y6ocSqN8cqsAAAAAAAAAAAAAARQnAQ)![无帮助](https://gw.alipayobjects.com/mdn/ob_asset/afts/img/A*BG9IQJyLHF8AAAAAAAAAAAAAARQnAQ)![反馈](https://gw.alipayobjects.com/mdn/ob_asset/afts/img/A*eTWdQKCRKHwAAAAAAAAAAAAAARQnAQ)[AI](https://www.oceanbase.com/obi) 咨询热线
