Berikan akses ke kunci dan rahasia - Key Management Service

Topik ini menjelaskan cara memberikan izin kepada RAM user.

Prosedur

Masuk ke RAM console menggunakan Akun Alibaba Cloud Anda.
Buat kebijakan kustom.
1. Di panel navigasi sebelah kiri, pilih Permissions > Policies.
2. Di halaman Policies, klik Create Policy.
3. Di halaman Create Policy, klik tab JSON.
  
  Catatan
  RAM menyediakan dua metode untuk membuat kebijakan: pengeditan visual dan pengeditan skrip. Untuk membuat kebijakan kustom bagi resource KMS, Anda harus menggunakan pengeditan skrip karena metode pengeditan visual hanya mendukung pemilihan semua resource KMS dan semua operasi.
4. Edit skrip kebijakan, lalu klik Continue to Edit Basic Information.
  
  Saat menulis skrip kebijakan KMS, Anda harus mendefinisikan sebuah pernyataan (statement). Pernyataan tersebut mencakup elemen Effect, Action, Resource, serta elemen Condition opsional. Untuk informasi selengkapnya, lihat Lampiran: Elemen resource, action, dan condition yang didukung untuk KMS.
  
  Catatan
  Untuk informasi lebih lanjut mengenai sintaksis dan struktur kebijakan, lihat Struktur dan sintaksis kebijakan.
5. Masukkan nama dan deskripsi untuk kebijakan tersebut, lalu tinjau dan optimalkan kontennya sesuai petunjuk.
6. Klik OK.

Berikan kebijakan kustom tersebut kepada RAM user.

Di panel navigasi sebelah kiri, pilih Identities > Users.
Di halaman Users, temukan RAM user yang dituju dan klik Add Permissions di kolom Actions.

Di panel Add Permissions, konfigurasikan pengaturan berikut, lalu klik OK.

Parameter	Deskripsi
Authorized Scope	Pilih apakah izin berlaku untuk seluruh Akun Alibaba Cloud atau kelompok sumber daya tertentu. KMS tidak mendukung kelompok sumber daya. Pilih Alibaba Cloud Account.
Principal	RAM user yang akan menerima izin. Sistem secara otomatis menambahkan RAM user yang dipilih. Anda juga dapat menambahkan RAM user lainnya.
Select Policy	Pilih kebijakan kustom sesuai kasus penggunaan Anda.

Lampiran: Elemen resource, action, dan condition yang didukung untuk KMS

Resource

Jenis resource yang didefinisikan oleh KMS mencakup container kunci abstrak, container rahasia abstrak, container alias abstrak, kunci, rahasia, dan alias. Anda dapat memperoleh Nama Sumber Daya Alibaba Cloud (ARN) untuk resource tersebut guna digunakan dalam elemen Resource kebijakan RAM. Sebagai contoh, untuk melihat ARN suatu kunci:

Masuk ke Key Management Service console. Di bilah navigasi atas, pilih Wilayah. Di panel navigasi sebelah kiri, pilih Resource > Keys.

Di tab Customer Master Keys, temukan kunci yang dituju, lalu klik Details di kolom Actions. Di halaman detail kunci, Anda dapat menemukan ARN-nya. Format ARN bervariasi tergantung jenis resource, seperti yang ditunjukkan pada tabel berikut.

Catatan

Ganti ${region} dan ${account} dengan wilayah dan Akun Alibaba Cloud Anda yang sebenarnya. Anda juga dapat mempersempit cakupan resource sesuai kebutuhan. ${region} mendukung karakter wildcard *, yang merepresentasikan semua wilayah yang didukung.

Jenis resource	ARN
Abstract key container	acs:kms:${region}:${account}:key
Abstract secret container	acs:kms:${region}:${account}:secret
Abstract alias container	acs:kms:${region}:${account}:alias
key	acs:kms:${region}:${account}:key/${key-id} Catatan ARN resource kunci mendukung karakter wildcard (). Contoh: `acs:kms:${region}:${account}:key/`: Menunjukkan semua kunci di wilayah tertentu untuk akun tertentu. `acs:kms::${account}:key/`: Merepresentasikan semua kunci di semua wilayah untuk akun tertentu.
secret	acs:kms:${region}:${account}:secret/${secret-name} Catatan ARN resource rahasia mendukung dua pola wildcard berikut: `acs:kms:${region}:${account}:secret/`: Merepresentasikan semua rahasia di wilayah dan akun tertentu. `acs:kms:${region}:${account}:secret/prefix`: Menentukan semua rahasia dengan awalan nama `prefix` di wilayah dan akun tertentu.
alias	acs:kms:${region}:${account}:alias/${alias-name}

Action

Untuk setiap API yang memerlukan kontrol akses, KMS mendefinisikan Action untuk kebijakan RAM, biasanya dalam format kms:<api-name>.

Catatan

Operasi DescribeRegions tidak memerlukan kontrol akses. Setelah autentikasi, Akun Alibaba Cloud, RAM user, atau RAM role dapat memanggil operasi ini.

Tabel berikut mencantumkan operasi API KMS, action terkait untuk kebijakan RAM, serta jenis resource yang diaksesnya.

Catatan

Operasi API kunci

KMS API	Action	Jenis resource	Format ARN
ListKeys	kms:ListKeys	Abstract key container	`acs:kms:${region}:${account}:key`
CreateKey	kms:CreateKey	Abstract key container	`acs:kms:${region}:${account}:key`
DescribeKey	kms:DescribeKey	key	`acs:kms:${region}:${account}:key/${key-id}`
UpdateKeyDescription	kms:UpdateKeyDescription
EnableKey	kms:EnableKey
DisableKey	kms:DisableKey
ScheduleKeyDeletion	kms:ScheduleKeyDeletion
CancelKeyDeletion	kms:CancelKeyDeletion
GetParametersForImport	kms:GetParametersForImport
ImportKeyMaterial	kms:ImportKeyMaterial
DeleteKeyMaterial	kms:DeleteKeyMaterial
ListAliasesByKeyId	kms:ListAliasesByKeyId
CreateKeyVersion	kms:CreateKeyVersion
DescribeKeyVersion	kms:DescribeKeyVersion
ListKeyVersions	kms:ListKeyVersions
UpdateRotationPolicy	kms:UpdateRotationPolicy
Encrypt	kms:Encrypt
Decrypt	kms:Decrypt
ReEncrypt	kms:ReEncryptFrom Catatan Anda harus memiliki izin `kms:ReEncryptFrom` pada kunci sumber. kms:ReEncryptTo Catatan Anda harus memiliki izin `kms:ReEncryptTo` pada kunci tujuan.
GenerateDataKey	kms:GenerateDataKey
GenerateDataKeyWithoutPlaintext	kms:GenerateDataKeyWithoutPlaintext
ExportDataKey	kms:ExportDataKey
GenerateAndExportDataKey	kms:GenerateAndExportDataKey
AsymmetricSign	kms:AsymmetricSign
AsymmetricVerify	kms:AsymmetricVerify
AsymmetricEncrypt	kms:AsymmetricEncrypt
AsymmetricDecrypt	kms:AsymmetricDecrypt
GetPublicKey	kms:GetPublicKey
ListAliases	kms:ListAliases	Abstract alias container	`acs:kms:${region}:${account}:alias`
CreateAlias	kms:CreateAlias	alias dan key	Alias: `acs:kms:${region}:${account}:alias/${alias-name}` Key: `acs:kms:${region}:${account}:key/${key-id}`
UpdateAlias	kms:UpdateAlias
DeleteAlias	kms:DeleteAlias

Operasi API rahasia

KMS API	Action	Jenis resource	ARN
CreateSecret	kms:CreateSecret	Abstract secret container	`acs:kms:${region}:${account}:secret`
ListSecrets	kms:ListSecrets	Abstract secret container	`acs:kms:${region}:${account}:secret`
DescribeSecret	kms:DescribeSecret	secret	`acs:kms:${region}:${account}:secret/${secret-name}`
DeleteSecret	kms:DeleteSecret
UpdateSecret	kms:UpdateSecret
RestoreSecret	kms:RestoreSecret
GetSecretValue	kms:GetSecretValue kms:Decrypt Catatan Izin `kms:Decrypt` hanya diperlukan jika rahasia dienkripsi dengan customer master key (CMK) yang Anda buat.
PutSecretValue	kms:PutSecretValue kms:GenerateDataKey Catatan Izin `kms:GenerateDataKey` hanya diperlukan jika rahasia dienkripsi dengan CMK yang Anda buat.
ListSecretVersionIds	kms:ListSecretVersionIds
UpdateSecretVersionStage	kms:UpdateSecretVersionStage
GetRandomPassword	kms:GetRandomPassword	N/A	N/A

Operasi API tag

KMS API	Action	Jenis resource	ARN
ListResourceTags	kms:ListResourceTags	key	Key: `acs:kms:${region}:${account}:key/${key-id}` Secret: `acs:kms:${region}:${account}:secret/${secret-name}`
UntagResource	kms:UntagResource	key atau secret
TagResource	kms:TagResource	key atau secret

Condition

Elemen Condition opsional menentukan kondisi yang harus dipenuhi agar kebijakan berlaku. Anda dapat menggunakan kunci kondisi dalam kebijakan RAM untuk mengontrol akses ke KMS. Autentikasi hanya berhasil jika kondisi yang ditentukan terpenuhi.

Kunci kondisi umum Alibaba Cloud menggunakan format penamaan berikut: acs:<condition-key>. Sebagai contoh, Anda dapat menggunakan kondisi acs:CurrentTime untuk membatasi waktu berlakunya kebijakan.

Untuk informasi selengkapnya, lihat Elemen kebijakan RAM.
Kunci kondisi tingkat produk menggunakan format kms:<condition-key>. Untuk daftar kunci kondisi tingkat produk yang didukung KMS, lihat Kunci Kondisi Kebijakan.