All Products
Search

This Product

    Key Management Service:CreatePolicy

    Document Center

    Key Management Service:CreatePolicy

    Last Updated:Jun 10, 2026

    Membuat kebijakan izin untuk mengonfigurasi key dan secret yang diizinkan untuk diakses.

    Deskripsi operasi

    Untuk melakukan operasi kriptografi dan mengambil nilai secret, aplikasi yang dikelola sendiri harus menggunakan client key untuk mengakses instance Key Management Service (KMS). Proses berikut menunjukkan cara membuat application access point (AAP) berbasis client key:

    1.Buat aturan kontrol akses: Anda dapat mengonfigurasi alamat IP privat atau blok CIDR privat yang diizinkan untuk mengakses instance KMS. Untuk informasi lebih lanjut, lihat CreateNetworkRule.

    2.Buat kebijakan izin: Anda dapat mengonfigurasi key dan secret yang diizinkan untuk diakses dan mengikat aturan kontrol akses ke key dan secret.

    3.Buat AAP: Anda dapat mengonfigurasi metode autentikasi dan mengikat kebijakan izin ke AAP. Untuk informasi lebih lanjut, lihat CreateApplicationAccessPoint.

    4.Buat client key: Anda dapat mengonfigurasi kata sandi enkripsi dan periode validitas client key dan mengikat client key ke AAP. Untuk informasi lebih lanjut, lihat CreateClientKey.

    Coba sekarang

    Coba API ini di OpenAPI Explorer tanpa perlu penandatanganan manual. Panggilan yang berhasil akan secara otomatis menghasilkan contoh kode SDK sesuai dengan parameter Anda. Unduh kode tersebut dengan kredensial bawaan yang aman untuk penggunaan lokal.

    Test

    RAM authorization

    Tidak ada otorisasi untuk operasi ini. Jika Anda mengalami masalah saat menjalankan operasi ini, hubungi dukungan teknis.

    Parameter permintaan

    Parameter

    Type

    Required

    Description

    Example
    Name

    string

    Yes

    Nama kebijakan izin.

    policy_test
    Description

    string

    No

    Deskripsi.

    policy description
    KmsInstance

    string

    No

    Cakupan kebijakan izin. Anda perlu menentukan instance KMS yang ingin diakses.

    kst-hzz634e67d126u9p9****
    Permissions

    string

    Yes

    Operasi yang dapat dilakukan. Nilai yang valid:

    • RbacPermission/Template/CryptoServiceKeyUser: memungkinkan Anda melakukan operasi kriptografi.

    • RbacPermission/Template/CryptoServiceSecretUser: memungkinkan Anda melakukan operasi terkait secret.

    Anda dapat memilih keduanya.

    ["RbacPermission/Template/CryptoServiceKeyUser", "RbacPermission/Template/CryptoServiceSecretUser"]
    Resources

    string

    Yes

    Key dan secret yang diizinkan untuk diakses.

    • Key: Masukkan key dalam format key/${KeyId}. Untuk mengizinkan akses ke semua key dari sebuah instance KMS, masukkan key/*.

    • Secret: Masukkan secret dalam format secret/${SecretName}. Untuk mengizinkan akses ke semua secret dari sebuah instance KMS, masukkan secret/*.

    ["secret/acs/ram/user/ram-secret", "secret/acs/ram/user/acr-master", "key/key-hzz63d9c8d3dfv8cv****"]
    AccessControlRules

    string

    No

    Nama aturan kontrol akses.

    Catatan

    Untuk informasi lebih lanjut tentang cara membuat kueri aturan kontrol akses yang telah dibuat, lihat ListNetworkRules.

    {"NetworkRules":["kst-hzz62ee817bvyyr5x****.efkd","kst-hzz62ee817bvyyr5x****.eyyp"]}

    Elemen respons

    Element

    Type

    Description

    Example

    object

    RequestId

    string

    ID permintaan, yang digunakan untuk menemukan dan memecahkan masalah.

    3bf02f7a-015b-4f34-be0f-c4543fda2d33
    Arn

    string

    ARN dari kebijakan izin.

    acs:kms:cn-hangzhou:119285303511****:policy/policy_test
    Name

    string

    Nama kebijakan izin.

    policy_test
    Description

    string

    Deskripsi.

    policy description
    KmsInstance

    string

    Cakupan kebijakan izin.

    kst-hzz634e67d126u9p9****
    Permissions

    string

    Operasi yang dapat dilakukan.

    ["RbacPermission/Template/CryptoServiceKeyUser", "RbacPermission/Template/CryptoServiceSecretUser"]
    Resources

    string

    Key dan secret yang diizinkan untuk diakses.

    • key/* menunjukkan bahwa semua key dari instance KMS dapat diakses.

    • secret/* menunjukkan bahwa semua secret dari instance KMS dapat diakses.

    ["secret/acs/ram/user/ram-secret", "secret/acs/ram/user/acr-master", "key/key-hzz63d9c8d3dfv8cv****"]
    AccessControlRules

    string

    Nama aturan kontrol akses.

    {"NetworkRules":["kst-hzz62ee817bvyyr5x****.efkd","kst-hzz62ee817bvyyr5x****.eyyp"]}

    Contoh

    Respons sukses

    JSONformat

    {
  "RequestId": "3bf02f7a-015b-4f34-be0f-c4543fda2d33",
  "Arn": "acs:kms:cn-hangzhou:119285303511****:policy/policy_test",
  "Name": "policy_test",
  "Description": "policy  description",
  "KmsInstance": "kst-hzz634e67d126u9p9****",
  "Permissions": "[\"RbacPermission/Template/CryptoServiceKeyUser\", \"RbacPermission/Template/CryptoServiceSecretUser\"]",
  "Resources": "[\"secret/acs/ram/user/ram-secret\", \"secret/acs/ram/user/acr-master\", \"key/key-hzz63d9c8d3dfv8cv****\"]",
  "AccessControlRules": "{\"NetworkRules\":[\"kst-hzz62ee817bvyyr5x****.efkd\",\"kst-hzz62ee817bvyyr5x****.eyyp\"]}"
}

    Kode kesalahan

    HTTP status code

    Error code

    Error message

    Description
    400 InvalidParameter The specified parameter is not valid. An invalid value is specified for the parameter.
    404 InvalidAccessKeyId.NotFound The Access Key ID provided does not exist in our records.

    Lihat Error Codes untuk daftar lengkap.

    Catatan rilis

    Lihat Release Notes untuk daftar lengkap.