Berikan izin untuk mengakses kunci dan rahasia - Key Management Service

Topik ini menjelaskan cara memberikan izin kepada pengguna Resource Access Management (RAM).

Prosedur

Masuk ke Konsol RAM menggunakan akun Alibaba Cloud.
Buat kebijakan kustom.
1. Di panel navigasi sebelah kiri, pilih Permissions > Policies.
2. Di halaman Policies, klik Create Policy.
3. Di halaman Create Policy, klik tab JSON.
  Catatan
  RAM menyediakan mode pengeditan visual dan pengeditan dokumen untuk membuat kebijakan. Saat membuat kebijakan kustom untuk sumber daya Key Management Service (KMS), Anda harus menggunakan mode pengeditan dokumen. Jika menggunakan mode pengeditan visual, Anda hanya dapat memilih semua sumber daya KMS dan semua operasi.
4. Modifikasi isi kebijakan dan optimalkan dengan mengklik Optimize sesuai kebutuhan.
  Saat mengedit dokumen kebijakan KMS, Anda harus menentukan pernyataan otorisasi kustom. Pernyataan tersebut mencakup elemen-elemen berikut: Effect, Action, Resource, dan Condition (opsional). Untuk informasi lebih lanjut, lihat Lampiran: Sumber daya, tindakan, dan kondisi yang didukung.
  Catatan
  Untuk informasi lebih lanjut tentang sintaks dan struktur kebijakan RAM, lihat Struktur dan sintaks kebijakan.
5. Klik OK.
6. Tentukan nama kebijakan dan deskripsi.
7. Klik OK.

Lampirkan kebijakan kustom ke pengguna RAM.

Di panel navigasi sebelah kiri, pilih Identities > Users.
Di halaman Users, temukan pengguna RAM yang ingin dilampirkan kebijakan kustom dan klik Add Permissions di kolom Actions.

Di panel Grant Permission, konfigurasikan parameter dan klik Grant Permissions.

Parameter	Deskripsi
Resource Scope	Cakupan di mana Anda ingin izin tersebut berlaku. KMS tidak mendukung fitur grup sumber daya. Anda harus memilih Account.
Principal	Pengguna RAM yang ingin Anda berikan izin. Parameter Principal secara otomatis disetel ke pengguna RAM tertentu. Anda dapat menentukan pengguna RAM yang berbeda.
Policy	Pilih kebijakan kustom berdasarkan kebutuhan bisnis Anda.

Lampiran: Sumber daya, tindakan, dan kondisi yang didukung

Sumber daya

KMS mendefinisikan jenis sumber daya berikut: wadah kunci, wadah rahasia, wadah alias, kunci, rahasia, dan alias. Anda dapat mengonfigurasi elemen Resource dalam kebijakan RAM berdasarkan Nama Sumber Daya Alibaba Cloud (ARN) dari sumber daya Anda. Dalam contoh berikut, ARN sumber daya kunci di-query.

Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi sebelah kiri, pilih Resource > Keys.

Di tab Customer Master Keys, temukan kunci yang ARN-nya ingin di-query dan klik Details di kolom Actions. Di halaman detail, Anda dapat melihat ARN kunci tersebut. 密钥详情 Tabel berikut menjelaskan format ARN untuk berbagai jenis sumber daya.

Catatan

Ganti ${region} dan ${account} dengan wilayah dan akun Alibaba Cloud Anda yang sebenarnya. Anda juga dapat mempersempit cakupan sumber daya berdasarkan kebutuhan bisnis Anda. ${region} mendukung karakter wildcard asterisk (*), yang menentukan semua wilayah yang didukung.

Jenis sumber daya	ARN
Wadah kunci	acs:kms:${region}:${account}:key
Wadah rahasia	acs:kms:${region}:${account}:secret
Wadah alias	acs:kms:${region}:${account}:alias
Kunci	acs:kms:${region}:${account}:key/${key-id} Catatan ARN sumber daya kunci mendukung karakter wildcard asterisk (). Contoh: `acs:kms:${region}:${account}:key/`: menentukan semua kunci di wilayah dalam akun. `acs:kms::${account}:key/`: menentukan semua kunci di semua wilayah dalam akun.
Rahasia	acs:kms:${region}:${account}:secret/${secret-name} Catatan ARN sumber daya rahasia mendukung karakter wildcard asterisk (). `acs:kms:${region}:${account}:secret/`: menentukan semua rahasia di wilayah dalam akun. `acs:kms:${region}:${account}:secret/prefix*`: menentukan semua rahasia yang dimulai dengan `prefix` di wilayah dalam akun.
Alias	acs:kms:${region}:${account}:alias/${alias-name}

Tindakan

KMS mendefinisikan tindakan untuk setiap operasi API yang memerlukan kontrol akses. Dalam kebijakan RAM, tindakan berada dalam format kms:<api-name>.

Catatan

Operasi DescribeRegions tidak memerlukan kontrol akses. Operasi ini dapat dipanggil oleh akun Alibaba Cloud, pengguna RAM, atau peran RAM setelah melewati autentikasi RAM.

Tabel berikut menjelaskan tindakan RAM dan jenis sumber daya yang sesuai dengan setiap operasi API.

Catatan

Operasi API terkait kunci

Operasi	Tindakan	Jenis sumber daya	Format ARN
ListKeys	kms:ListKeys	Wadah kunci	`acs:kms:${region}:${account}:key`
CreateKey	kms:CreateKey	Wadah kunci	`acs:kms:${region}:${account}:key`
DescribeKey	kms:DescribeKey	Kunci	`acs:kms:${region}:${account}:key/${key-id}`
UpdateKeyDescription	kms:UpdateKeyDescription
EnableKey	kms:EnableKey
DisableKey	kms:DisableKey
ScheduleKeyDeletion	kms:ScheduleKeyDeletion
CancelKeyDeletion	kms:CancelKeyDeletion
GetParametersForImport	kms:GetParametersForImport
ImportKeyMaterial	kms:ImportKeyMaterial
DeleteKeyMaterial	kms:DeleteKeyMaterial
ListAliasesByKeyId	kms:ListAliasesByKeyId
CreateKeyVersion	kms:CreateKeyVersion
DescribeKeyVersion	kms:DescribeKeyVersion
ListKeyVersions	kms:ListKeyVersions
UpdateRotationPolicy	kms:UpdateRotationPolicy
Encrypt	kms:Encrypt
Decrypt	kms:Decrypt
ReEncrypt	kms:ReEncryptFrom Catatan Anda harus memiliki izin kms:ReEncryptFrom pada kunci sumber. kms:ReEncryptTo Catatan Anda harus memiliki izin kms:ReEncryptTo pada kunci tujuan.
GenerateDataKey	kms:GenerateDataKey
GenerateDataKeyWithoutPlaintext	kms:GenerateDataKeyWithoutPlaintext
ExportDataKey	kms:ExportDataKey
GenerateAndExportDataKey	kms:GenerateAndExportDataKey
AsymmetricSign	kms:AsymmetricSign
AsymmetricVerify	kms:AsymmetricVerify
AsymmetricEncrypt	kms:AsymmetricEncrypt
AsymmetricDecrypt	kms:AsymmetricDecrypt
GetPublicKey	kms:GetPublicKey
ListAliases	kms:ListAliases	Wadah alias	`acs:kms:${region}:${account}:alias`
CreateAlias	kms:CreateAlias	Alias dan kunci	Alias: `acs:kms:${region}:${account}:alias/${alias-name}` Kunci: `acs:kms:${region}:${account}:key/${key-id}`
UpdateAlias	kms:UpdateAlias
DeleteAlias	kms:DeleteAlias

Operasi API terkait rahasia

Operasi	Tindakan	Jenis sumber daya	ARN
CreateSecret	kms:CreateSecret	Wadah rahasia	`acs:kms:${region}:${account}:secret`
ListSecrets	kms:ListSecrets	Wadah rahasia	`acs:kms:${region}:${account}:secret`
DescribeSecret	kms:DescribeSecret	Rahasia	`acs:kms:${region}:${account}:secret/${secret-name}`
DeleteSecret	kms:DeleteSecret
UpdateSecret	kms:UpdateSecret
RestoreSecret	kms:RestoreSecret
GetSecretValue	kms:GetSecretValue kms:Decrypt Catatan Anda harus memiliki izin kms:Decrypt hanya jika kunci yang dikelola sendiri digunakan sebagai kunci enkripsi untuk rahasia.
PutSecretValue	kms:PutSecretValue kms:GenerateDataKey Catatan Anda harus memiliki izin kms:GenerateDataKey hanya jika kunci yang dikelola sendiri digunakan sebagai kunci enkripsi untuk rahasia.
ListSecretVersionIds	kms:ListSecretVersionIds
UpdateSecretVersionStage	kms:UpdateSecretVersionStage
GetRandomPassword	kms:GetRandomPassword	Tidak ada	Tidak ada

Operasi API terkait tag

Operasi	Tindakan	Jenis sumber daya	ARN
ListResourceTags	kms:ListResourceTags	Kunci	Kunci: `acs:kms:${region}:${account}:key/${key-id}` Rahasia: `acs:kms:${region}:${account}:secret/${secret-name}`
UntagResource	kms:UntagResource	Kunci atau rahasia
TagResource	kms:TagResource	Kunci atau rahasia

Kondisi

Elemen Kondisi menentukan kondisi yang diperlukan agar kebijakan berlaku. Elemen ini bersifat opsional. Anda dapat menambahkan kunci kondisi dalam kebijakan RAM untuk mengelola akses ke KMS. Autentikasi RAM berhasil hanya jika kondisi yang ditambahkan terpenuhi.

Gunakan kunci kondisi umum: Kunci kondisi berada dalam format acs:<condition-key>. Sebagai contoh, Anda dapat menggunakan acs:CurrentTime untuk menentukan periode validitas kebijakan RAM.
Untuk informasi lebih lanjut, lihat Elemen dasar kebijakan.
Gunakan kunci kondisi spesifik untuk layanan Alibaba Cloud: Kunci kondisi berada dalam format kms:<condition-key>. Untuk informasi lebih lanjut tentang kunci kondisi spesifik untuk layanan Alibaba Cloud yang didukung oleh KMS, lihat Kunci kondisi.