全部产品
Search

搜索本产品

    Key Management Service:Kunci kondisi kebijakan

    文档中心

    Key Management Service:Kunci kondisi kebijakan

    更新时间:Jan 30, 2026

    Kondisi menetapkan persyaratan yang harus dipenuhi agar suatu kebijakan berlaku. Anda dapat menetapkan kunci kondisi dalam kebijakan kunci, kebijakan rahasia, dan kebijakan kustom RAM untuk mengontrol akses ke KMS. Topik ini menjelaskan kunci kondisi umum Alibaba Cloud dan kunci kondisi spesifik produk yang didukung oleh KMS.

    Catatan

    Bidang Principal dalam contoh wajib digunakan untuk kebijakan kunci dan kebijakan rahasia, tetapi tidak diperlukan untuk kebijakan kustom RAM.

    Kunci kondisi Alibaba Cloud umum

    acs:SourceIp

    Kunci kondisi

    Deskripsi

    Jenis operator kondisional

    Operasi API

    Rentang nilai

    Jenis kebijakan

    acs:SourceIp

    Alamat IP publik dari client yang mengirim permintaan.

    String

    Semua operasi OpenAPI KMS. Untuk daftar operasi, lihat Ikhtisar API.

    Alamat IP. Contoh:

    • "126.34.XX.XX"

    • "2001:0db8:85a3:0000:0000:8a2e:XXXX:XXXX"

    • Kebijakan kustom RAM

    • Kebijakan kunci

    • Credential Policy

    Contoh kebijakan RAM

    Kebijakan ini hanya mengizinkan operasi GenerateDataKey jika permintaan dikirim dari rentang alamat 116.62.XX.XX/24.

    {
    "Statement": [
        {
            "Action": "kms:GenerateDataKey",
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "acs:SourceIp": "116.62.XX.XX/24"
                }
            }
        }
    ],
    "Version": "1"
}

    Contoh kebijakan kunci atau rahasia

    Kebijakan ini hanya mengizinkan pengguna RAM ramuser1 mengirim permintaan dari alamat IP 203.0.XX.XX.

    {
	"Version":"1",
	"Statement":[
		{
			"Sid":"kms policy",
			"Effect":"Allow",
			"Action":"kms:*",
			"Principal":{
				"RAM":[
					"acs:ram::1192853035****:user/ramuser1"
				]
			},
			"Resource":"*",
			"Condition":{
				"IpAddress":{
					"acs:SourceIp":[
						"203.0.XX.XX"
					]
				}
			}
		}
	]
}

    acs:SourceVpc

    Kunci kondisi

    Deskripsi

    Jenis operator kondisional

    Operasi API

    Nilai valid

    Jenis kebijakan

    acs:SourceVpc

    VPC tempat client pengirim permintaan berada. Kunci kondisi ini hanya berlaku jika permintaan dikirim dari VPC Alibaba Cloud.

    String

    Semua operasi OpenAPI KMS. Untuk daftar operasi, lihat Ikhtisar API.

    ID VPC. Contoh: vpc-bp1717bgs34gj****.

    • Kebijakan kustom RAM

    • Kebijakan kunci

    • Credential policy

    Batasan:

    • Semua elemen Action dalam bidang Statement kebijakan harus diawali dengan kms:. Misalnya, "Action":"kms:*" dan "Action":"kms:GenerateDataKey" valid, sedangkan "Action":"*" dan "Action":"k*" tidak valid.

    • Kunci kondisi ini hanya didukung di wilayah tertentu.

      Wilayah yang mendukung acs:SourceVpc

      Cloud publik

      Kategori wilayah

      Wilayah yang didukung

      Tiongkok

      Tiongkok (Hangzhou), Tiongkok (Shanghai), Tiongkok (Shenzhen), Tiongkok (Heyuan), Tiongkok (Guangzhou), Tiongkok (Qingdao), Tiongkok (Beijing), Tiongkok (Zhangjiakou), Tiongkok (Hohhot), Tiongkok (Ulanqab), Tiongkok (Chengdu), dan Tiongkok (Hong Kong)

      Negara dan wilayah lain

      Malaysia (Kuala Lumpur), Jepang (Tokyo), Jerman (Frankfurt), AS (Virginia), AS (Silicon Valley), Indonesia (Jakarta), Inggris (London), Filipina (Manila), Singapura, Korea Selatan (Seoul), dan Thailand (Bangkok)

    Contoh kebijakan kunci atau rahasia: Kebijakan ini hanya mengizinkan pengguna RAM ramuser1 mengirim permintaan dari vpc-bp1l8j1t3l3j5****.

    {
    "Version": "1",
    "Statement": [
        {
            "Sid": "kms policy",
            "Effect": "Allow",
            "Action": "kms:*",
            "Principal": {
                "RAM": [
                    "acs:ram::1192853035****:user/ramuser1"
                ]
            },
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "acs:SourceVpc": [
                        "vpc-bp1l8j1t3l3j5****"
                    ]
                }
            }
        }
    ]
}

    acs:VpcSourceIp

    Kunci kondisi

    Deskripsi

    Jenis operator kondisional

    Operasi API

    Rentang nilai

    Jenis kebijakan

    acs:VpcSourceIp

    Alamat IP client yang mengirim permintaan. Kunci kondisi ini hanya berlaku jika permintaan dikirim dari VPC Alibaba Cloud.

    String

    Semua operasi OpenAPI KMS. Untuk daftar operasi, lihat Ikhtisar API.

    Alamat IP dalam VPC. Contoh:

    • "126.34.XX.XX"

    • "2001:0db8:85a3:0000:0000:8a2e:XXXX:XXXX"

    • Kebijakan kustom RAM

    • Kebijakan kunci

    • Credential Policy

    Batasan: Kunci kondisi ini hanya didukung di wilayah tertentu.

    Wilayah yang mendukung acs:VpcSourceIp

    Cloud publik

    Kategori wilayah

    Wilayah yang didukung

    Tiongkok

    Tiongkok (Hangzhou), Tiongkok (Shanghai), Tiongkok (Shenzhen), Tiongkok (Heyuan), Tiongkok (Guangzhou), Tiongkok (Qingdao), Tiongkok (Beijing), Tiongkok (Zhangjiakou), Tiongkok (Hohhot), Tiongkok (Ulanqab), Tiongkok (Chengdu), dan Tiongkok (Hong Kong)

    Negara dan wilayah lain

    Malaysia (Kuala Lumpur), Jepang (Tokyo), Jerman (Frankfurt), AS (Virginia), AS (Silicon Valley), Indonesia (Jakarta), Inggris (London), Filipina (Manila), Singapura, Korea Selatan (Seoul), dan Thailand (Bangkok)

    Contoh kebijakan RAM

    Kebijakan ini hanya mengizinkan permintaan dari rentang alamat 172.168.XX.XX/24 di vpc-bp1717bghfnkqg5wn****.

    {
    "Statement": [
        {
            "Action": "kms:GenerateDataKey",
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "acs:SourceVpc": "vpc-bp1717bghfnkqg5wn****"
                },
                "IpAddress": {
                    "acs:VpcSourceIp": "172.168.**.**/24"
                }
            }
        }
    ],
    "Version": "1"
}

    Contoh kebijakan kunci atau rahasia

    Kebijakan ini hanya mengizinkan pengguna RAM ramuser1 mengirim permintaan dari alamat IP VPC 192.168.XX.XX.

    {
    "Version": "1",
    "Statement": [
        {
            "Sid": "kms policy",
            "Effect": "Allow",
            "Action": "kms:*",
            "Principal": {
                "RAM": [
                    "acs:ram::1192853035****:user/ramuser1"
                ]
            },
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "acs:VpcSourceIp": [
                        "192.168.XX.XX"
                    ]
                }
            }
        }
    ]
}

    acs:SecureTransport

    Kunci kondisi

    Deskripsi

    Jenis operator kondisional

    Operasi API

    Nilai valid

    Jenis kebijakan

    acs:SecureTransport

    Menunjukkan apakah permintaan dikirim melalui saluran aman (HTTPS).

    Boolean

    Semua operasi OpenAPI KMS. Untuk daftar operasi, lihat Ikhtisar API.

    • true

    • false

    • Kebijakan kustom RAM

    • Kebijakan kunci

    • Credential Policy

    Contoh kebijakan RAM

    Kebijakan ini mengizinkan pengguna melakukan operasi apa pun pada semua resource KMS, asalkan permintaan dikirim melalui HTTPS.

           {
         "Version": "1",
         "Statement": [
           {
             "Effect": "Allow",
             "Action": "kms:*",
             "Resource": "*",
             "Condition": {
               "Bool": {
                 "acs:SecureTransport": "true"
               }
             }
           }
         ]
       }

    Contoh kebijakan kunci atau rahasia

    Kebijakan ini hanya mengizinkan pengguna RAM ramuser1 mengirim permintaan melalui saluran aman HTTPS.

    {
    "Version": "1",
    "Statement": [
        {
            "Sid": "kms policy",
            "Effect": "Allow",
            "Action": "kms:*",
            "Principal": {
                "RAM": [
                    "acs:ram::1192853035****:user/ramuser1"
                ]
            },
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "acs:SecureTransport": "true"
                }
            }
        }
    ]
}

    acs:CurrentTime

    Kunci kondisi

    Deskripsi

    Jenis operator kondisional

    Operasi API

    Rentang nilai

    Jenis kebijakan

    acs:CurrentTime

    Waktu saat server menerima permintaan.

    Tanggal dan waktu

    Semua operasi OpenAPI KMS. Untuk daftar operasi, lihat Ikhtisar API.

    Waktu dalam UTC dan harus mengikuti standar ISO 8601. 

    Misalnya, pukul 20:00:00 pada 10 Januari 2024 (UTC+8) direpresentasikan sebagai 2024-01-10T20:00:00+08:00 atau 2024-01-10T12:00:00Z.

    • Kebijakan kustom RAM

    • Kebijakan kunci

    • Credential Policy

    Contoh kebijakan kunci atau rahasia: Kebijakan ini hanya mengizinkan pengguna RAM ramuser1 mengirim permintaan sebelum 2099-12-31T12:00:00Z.

    {
    "Version": "1",
    "Statement": [
        {
            "Sid": "kms policy",
            "Effect": "Allow",
            "Action": "kms:*",
            "Principal": {
                "RAM": [
                    "acs:ram::1192853035****:user/ramuser1"
                ]
            },
            "Resource": "*",
            "Condition": {
                "DateLessThan": {
                    "acs:CurrentTime": "2099-12-31T12:00:00Z"
                }
            }
        }
    ]
}

    acs:MFAPresent

    Kunci kondisi

    Deskripsi

    Jenis operator kondisional

    Operasi API

    Rentang nilai

    Jenis kebijakan

    acs:MFAPresent

    Menunjukkan apakah autentikasi multi-faktor (MFA) digunakan untuk login.

    Boolean

    Semua operasi OpenAPI KMS. Untuk daftar operasi, lihat Ikhtisar API.

    • true

    • false

    • Kebijakan kustom RAM

    • Kebijakan kunci

    • Credential Policy

    Contoh kebijakan kunci atau rahasia: Kebijakan ini hanya mengizinkan pengguna RAM ramuser1 yang telah mengaktifkan autentikasi multi-faktor (MFA) untuk mengirim permintaan.

    {
    "Version": "1",
    "Statement": [
        {
            "Sid": "kms policy",
            "Effect": "Allow",
            "Action": "kms:*",
            "Principal": {
                "RAM": [
                    "acs:ram::1192853035****:user/ramuser1"
                ]
            },
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "acs:MFAPresent": [
                        "true"
                    ]
                }
            }
        }
    ]
}

    Kunci kondisi produk KMS (terkait kunci)

    kms:tag

    Kunci kondisi

    Deskripsi

    Jenis operator kondisional

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:tag

    Memfilter akses ke operasi API berdasarkan tag kunci.

    String

    • Encrypt

    • Decrypt

    • ReEncrypt

    • ExportDataKey

    • GenerateDataKey

    • GenerateDataKeyWithoutPlaintext

    • GenerateAndExportDataKey

    • AsymmetricDecrypt

    • AsymmetricEncrypt

    • AsymmetricSign

    • AsymmetricVerify

    • GetPublicKey

    • DescribeKey

    • UpdateKeyDescription

    • EnableKey

    • DisableKey

    • CancelKeyDeletion

    • ScheduleKeyDeletion

    • ImportKeyMaterial

    • GetParametersForImport

    • DeleteKeyMaterial

    • CreateKeyVersion

    • DescribeKeyVersion

    • ListKeyVersions

    • UpdateRotationPolicy

    • SetDeletionProtection

    Tag kunci kustom.

    • Kebijakan kustom RAM

    • Kebijakan kunci

    • Credential Policy

    kms:EncryptionAlgorithm

    Kunci kondisi

    Deskripsi

    Jenis operator kondisional

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:EncryptionAlgorithm

    Memfilter akses ke operasi kriptografi berdasarkan nilai algoritma enkripsi dalam permintaan.

    String

    • Decrypt

    • Encrypt

    • GenerateDataKey

    • GenerateDataKeyWithoutPlaintext

    • ReEncrypt

    • AsymmetricDecrypt

    • AsymmetricEncrypt

    • ExportDataKey

    • GenerateAndExportDataKey

    Algoritma enkripsi, seperti SYMMETRIC_DEFAULT, RSAES_OAEP_SHA_256, atau ECIES_DH_SHA_1_XOR_HMAC.

    Untuk informasi lebih lanjut tentang algoritma enkripsi yang didukung KMS, lihat Jenis dan spesifikasi kunci.

    • Kebijakan kustom RAM

    • Kebijakan kunci

    Misalnya, kebijakan ini hanya mengizinkan pengguna RAM key_ramuser1 melakukan operasi enkripsi, dekripsi, atau enkripsi ulang menggunakan algoritma RSAES_OAEP_SHA_256. Hal ini meningkatkan keamanan dan kepatuhan penggunaan kunci dengan memastikan hanya algoritma enkripsi tertentu yang digunakan, serta mencegah penggunaan algoritma yang tidak sesuai atau tidak aman.

    {
  "Sid": "Allow only one encryption algorithm with this asymmetric KMS key",
  "Effect": "Deny",
  "Principal": {
          "RAM": [
                    "acs:ram::119285303511****:user/key_ramuser1"
                ]
  },
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt"
  ],
  "Resource": "*",
  "Condition": {
    "StringNotEquals": {
      "kms:EncryptionAlgorithm": "SYMMETRIC_DEFAULT"
    }
  }
}

    kms:EncryptionContext:${EncryptionContextKey}

    Kunci kondisi

    Deskripsi

    Jenis operator kondisional

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:EncryptionContext:${EncryptionContextKey}

    Memfilter akses ke kunci simetris KMS berdasarkan konteks enkripsi dalam operasi kriptografi.

    Kondisi ini mengevaluasi kunci dan nilai dalam setiap pasangan kunci-nilai dari konteks enkripsi.

    String

    • Decrypt

    • Encrypt

    • GenerateDataKey

    • GenerateDataKeyWithoutPlaintext

    • ExportDataKey

    • GenerateAndExportDataKey

    EncryptionContext yang Anda atur.

    • Kebijakan kustom RAM

    • Kebijakan kunci

    Misalnya, kebijakan ini mengizinkan semua pengguna RAM dalam Akun Alibaba Cloud 119285303511**** melakukan operasi kms:GenerateDataKey ketika nilai Project dalam kms:EncryptionContext adalah ProjectA.

    {
 "Effect": "Allow",
 "Principal": {
	 "RAM": [
	 "acs:ram::119285303511****:*"
	 ]
	},
 "Action": "kms:GenerateDataKey",
 "Resource": "*",
 "Condition": {
 "StringEquals": {
 "kms:EncryptionContext:Project": "ProjectA"
 }
 }
}

    kms:EncryptionContextKeys

    Kunci kondisi

    Deskripsi

    Jenis operator kondisional

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:EncryptionContextKeys

    Memfilter akses ke kunci simetris KMS berdasarkan konteks enkripsi dalam operasi kriptografi.

    Kondisi ini hanya mengevaluasi kunci dalam pasangan kunci-nilai dari konteks enkripsi.

    Array string

    • Decrypt

    • Encrypt

    • GenerateDataKey

    • GenerateDataKeyWithoutPlaintext

    • ExportDataKey

    • GenerateAndExportDataKey

    Nilai ini harus berupa kunci dari EncryptionContext.

    Kebijakan kunci

    Misalnya, kebijakan ini mengizinkan semua pengguna RAM dalam Akun Alibaba Cloud 119285303511**** melakukan operasi kms:GenerateDataKey jika kunci Project disertakan dalam konteks enkripsi (EncryptionContext).

    {
 "Effect": "Allow",
 "Principal": {
	 "RAM": [
	 "acs:ram::119285303511****:*"
	 ]
	},
 "Action": "kms:GenerateDataKey",
 "Resource": "*",
 "Condition": {
 "StringEquals": {
 "kms:EncryptionContextKeys": "Project"
 }
 }
}

    kms:ExpirationModel

    Kunci kondisi

    Deskripsi

    Jenis operator kondisional

    Operasi API

    Nilai valid

    Jenis kebijakan

    kms:ExpirationModel

    Memfilter akses ke operasi ImportKeyMaterial berdasarkan nilai parameter ExpirationModel dalam permintaan.

    String

    ImportKeyMaterial

    • KEY_MATERIAL_DOES_NOT_EXPIRE: Bahan kunci tidak kedaluwarsa.

    • KEY_MATERIAL_EXPIRES: Bahan kunci kedaluwarsa.

    • Kebijakan kustom RAM

    • Kebijakan kunci

    Misalnya, kebijakan ini mengizinkan semua pengguna RAM dalam Akun Alibaba Cloud 119285303511**** melakukan operasi kms:ImportKeyMaterial hanya jika model kedaluwarsa bahan kunci adalah KEY_MATERIAL_DOES_NOT_EXPIRE.

    {
  "Effect": "Allow",
  "Principal": {
    "RAM": "acs:ram::119285303511****:*"
  },
  "Action": "kms:ImportKeyMaterial",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ExpirationModel": "KEY_MATERIAL_DOES_NOT_EXPIRE"
    }
  }
}

    kms:ValidTo

    Kunci kondisi

    Deskripsi

    Jenis operator kondisional

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:ValidTo

    Memfilter akses ke operasi ImportKeyMaterial berdasarkan nilai parameter ValidTo dalam permintaan.

    Anda dapat menggunakan kunci kondisi ini untuk mengizinkan pengguna mengimpor bahan kunci hanya jika kedaluwarsa pada tanggal tertentu.

    Tanggal

    ImportKeyMaterial

    Format stempel waktu UNIX

    • Kebijakan kustom RAM

    • Kebijakan kunci

    Misalnya, kebijakan ini mengizinkan semua pengguna RAM dalam Akun Alibaba Cloud 119285303511**** mengimpor bahan kunci hanya sebelum 20 Juni 2024.

    {
  "Effect": "Allow",
  "Principal": {
    "RAM": "acs:ram::119285303511****:*"
  },
  "Action": "kms:ImportKeyMaterial",
  "Resource": "*",
  "Condition": {
    "NumericLessThanEquals": {
      "kms:ValidTo": "1718841600"
    }
  }
}

    kms:KeyOrigin

    Kunci kondisi

    Deskripsi

    Jenis operator kondisional

    Operasi API

    Nilai valid

    Jenis kebijakan

    kms:KeyOrigin

    Memfilter akses ke operasi API berdasarkan properti Origin dari kunci KMS yang dibuat atau digunakan dalam operasi tersebut.

    Gunakan kondisi ini untuk membatasi izin untuk operasi CreateKey atau operasi apa pun yang memberikan izin pada resource kunci KMS.

    String

    Semua operasi OpenAPI terkait kunci. Untuk daftar operasi, lihat Ikhtisar API.

    • Aliyun_KMS

    • EXTERNAL

    • KmsInstance

    • Kebijakan kustom RAM

    • Kebijakan kunci

    kms:KeySpec

    Kunci kondisi

    Deskripsi

    Jenis operator kondisional

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:KeySpec

    Memfilter akses ke operasi API berdasarkan properti KeySpec dari kunci KMS yang dibuat atau digunakan dalam operasi tersebut.

    String

    Semua operasi OpenAPI terkait kunci. Untuk daftar operasi, lihat Ikhtisar API.

    Spesifikasi kunci, seperti Aliyun_AES_256 atau RSA_2048.

    Untuk informasi lebih lanjut tentang spesifikasi kunci yang didukung KMS, lihat Jenis dan spesifikasi kunci.

    • Kebijakan kustom RAM

    • Kebijakan kunci

    Misalnya, kebijakan ini mengizinkan semua pengguna dan peran RAM dalam Akun Alibaba Cloud 119285303511**** melakukan operasi kms:CreateKey, tetapi hanya untuk membuat kunci RSA.

    {
  "Effect": "Allow",
  "Action": "kms:CreateKey",
  "Principal": {
    "RAM": "acs:ram::119285303511****:*"
  },
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:KeySpec": "RSA_*"
    }
  }
}

    kms:KeyUsage

    Kunci kondisi

    Deskripsi

    Jenis operator kondisional

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:KeyUsage

    Memfilter akses ke operasi API berdasarkan properti KeyUsage dari kunci KMS yang dibuat atau digunakan dalam operasi tersebut.

    String

    Semua operasi OpenAPI terkait kunci. Untuk daftar operasi, lihat Ikhtisar API.

    • ENCRYPT_DECRYPT: enkripsi dan dekripsi

    • SIGN_VERIFY: penandatanganan dan verifikasi tanda tangan

    • Kebijakan kustom RAM

    • Kebijakan kunci

    Misalnya, kebijakan ini mengizinkan operasi kms:CreateKey, tetapi hanya untuk membuat kunci yang digunakan untuk tujuan ENCRYPT_DECRYPT.

    {
  "Effect": "Allow",
  "Action": "kms:CreateKey",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:KeyUsage": "ENCRYPT_DECRYPT"
    }
  }
}

    kms:ScheduleKeyDeletionPendingWindowInDays

    Kunci kondisi

    Deskripsi

    Jenis operator kondisional

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:ScheduleKeyDeletionPendingWindowInDays

    Memfilter akses ke operasi ScheduleKeyDeletion berdasarkan nilai parameter PendingWindowInDays dalam permintaan.

    Angka

    ScheduleKeyDeletion

    Periode penghapusan terjadwal kunci, dalam hari.

    • Kebijakan kustom RAM

    • Kebijakan kunci

    Misalnya, kebijakan ini menolak semua pengguna dan peran dari melakukan operasi kms:ScheduleKeyDeletion jika periode penghapusan terjadwal kurang dari atau sama dengan 21 hari.

    {
  "Effect": "Deny",
  "Action": "kms:ScheduleKeyDeletion",
  "Principal": "*",
  "Resource": "*",
  "Condition": {
    "NumericLessThanEquals": {
      "kms:ScheduleKeyDeletionPendingWindowInDays": "21"
    }
  }
}

    kms:SigningAlgorithm

    Kunci kondisi

    Deskripsi

    Jenis operator kondisional

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:SigningAlgorithm

    Memfilter akses ke operasi Sign dan Verify berdasarkan algoritma tanda tangan dalam permintaan.

    String

    • AsymmetricSign

    • AsymmetricVerify

    Algoritma tanda tangan, seperti RSA_PSS_SHA_256 atau ECDSA_SHA_256.

    Untuk daftar algoritma tanda tangan yang didukung, lihat Jenis dan spesifikasi kunci.

    • Kebijakan kustom RAM

    • Kebijakan kunci

    kms:WrappingAlgorithm

    Kunci kondisi

    Deskripsi

    Jenis operator kondisional

    Operasi API

    Nilai valid

    Jenis kebijakan

    kms:WrappingAlgorithm

    Memfilter akses ke operasi GetParametersForImport berdasarkan nilai parameter WrappingAlgorithm dalam permintaan.

    String

    GetParametersForImport

    Algoritma pembungkus.

    Untuk informasi lebih lanjut tentang algoritma pembungkus yang didukung KMS, lihat Impor bahan kunci untuk kunci simetris dan Impor bahan kunci untuk kunci asimetris.

    • Kebijakan kustom RAM

    • Kebijakan kunci

    kms:WrappingKeySpec

    Kunci kondisi

    Deskripsi

    Jenis operator kondisional

    Operasi API

    Rentang valid

    Jenis kebijakan

    kms:WrappingKeySpec

    Memfilter akses ke operasi GetParametersForImport berdasarkan nilai parameter WrappingKeySpec dalam permintaan.

    String

    GetParametersForImport

    Jenis kunci publik pembungkus.

    Untuk informasi lebih lanjut tentang jenis kunci publik pembungkus yang didukung KMS, lihat Impor bahan kunci untuk kunci simetris dan Impor bahan kunci untuk kunci asimetris.

    • Kebijakan kustom RAM

    • Kebijakan kunci

    kms:KmsInstanceId

    Kunci kondisi

    Deskripsi

    Jenis operator kondisional

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:KmsInstanceId

    Mengontrol izin akses berdasarkan ID instans KMS yang terkait dengan permintaan akses.

    String

    Operasi kriptografi:

    • ReEncrypt

    • Encrypt

    • Decrypt

    • GenerateDataKey

    • AsymmetricDecrypt

    • AsymmetricSign

    • AsymmetricEncrypt

    • AsymmetricVerify

    • GetPublicKey

    API kontrol:

    • CreateKey

    • updateKeyDescription

    • EnableKey

    • DisableKey

    • scheduleKeyDeletion

    • createAlias

    • updateAlias

    • DeleteAlias

    • listAliasByKeyId

    • GetParametersForImport

    • ImportKeyMaterial

    • DeleteKeyMaterial

    • CreateKeyVersion

    • DescribeKeyVersion

    • ListKeyVersions

    API tag:

    • TagResource

    • UnTagResource

    • ListResourceTags

    Instance ID

    • Kebijakan kustom RAM

    • Kebijakan kunci

    Contoh:

    Kebijakan RAM kustom

    {
  "Effect": "Allow",
  "Action": "kms:CreateKey",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:KmsInstanceId": "kst-**"
    }
  }
}

    Kebijakan kunci

    {
  "Effect": "Allow",
  "Principal": {
    "RAM": "acs:ram::119285303511****:*"
  },
  "Action": "kms:Decrypt",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:KmsInstanceId": "kst-**"
    }
  }
}

    kms:RecipientAttestation

    Kunci kondisi

    Deskripsi

    Jenis operator kondisional

    Operasi API

    kms:RecipientAttestation:PCR8

    Ukuran file citra runtime enclave.

    String

    Otorisasi hanya berlaku jika semua kondisi berikut terpenuhi:

    kms:RecipientAttestation:PCR9

    Ukuran kernel dan bootloader.

    kms:RecipientAttestation:PCR11

    Ukuran aplikasi.

    Contoh:

    Kebijakan kustom RAM

    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "acs:kms:pre-hangzhou:1192853035118460:key/key-phzz69686998ld2hk9dsg5",
      "Condition": {
        "StringEquals": {
          "kms:RecipientAttestation:PCR8": "300705e44da926d8ec85bb7e840a09d3539862ab3b5eba6710f303e22de0869a",
          "kms:RecipientAttestation:PCR9": "b5753ad8242e1c3b8150caf7098f0aea082f64bcc49f04ae440bef5401e02575",
          "kms:RecipientAttestation:PCR11": "f9189a4331f1d4ba93d7767240168cd622113bc19f0fd16404a19be1b4d4a5de"
        }
      }
    }
  ]
}

    Kebijakan kunci

    {
    "Statement": [
        {
            "Action": [
                "kms:*"
            ],
            "Effect": "Allow",
            "Principal": {
                "RAM": [
                    "acs:ram::1192853035118460:*"
                ]
            },
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "kms:RecipientAttestation:PCR8": "f193c1e72c226a2212d4d8865964239a87483dd8786863ca6f02f79ea85e91af"
                }
            },
            "Sid": "kms default key policy"
        }
    ],
    "Version": "1"
}

    Kunci kondisi produk KMS (terkait rahasia)

    kms:tag

    Kunci kondisi

    Deskripsi

    Jenis operator kondisional

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:tag

    Memfilter akses ke operasi API berdasarkan tag rahasia.

    String

    • DescribeSecret

    • GetSecretValue

    • PutSecretValue

    • UpdateSecret

    • UpdateSecretVersionStage

    • RestoreSecret

    • ListSecretVersionIds

    • RotateSecret

    • UpdateSecretRotationPolicy

    • DeleteSecret

    Tag rahasia kustom.

    • Kebijakan kustom RAM

    • Credential Policy

    • Kebijakan kunci

    kms:SecretName

    Kunci kondisi

    Deskripsi

    Jenis operator kondisional

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:SecretName

    Memfilter akses ke operasi API berdasarkan nilai parameter SecretName dalam permintaan.

    String

    Semua operasi OpenAPI terkait rahasia. Untuk daftar operasi, lihat Ikhtisar API.

    Nama rahasia kustom.

    • Kebijakan kustom RAM

    • Credential Policy

    kms:EncryptionKeyId

    Kunci kondisi

    Deskripsi

    Jenis operator kondisional

    Operasi API

    Nilai valid

    Jenis kebijakan

    kms:EncryptionKeyId

    Memfilter akses ke operasi API berdasarkan ID kunci enkripsi dalam permintaan akses rahasia.

    String

    • CreateSecret

    • GetSecretValue

    • PutSecretValue

    ID kunci.

    • Kebijakan kustom RAM

    • Credential policy

    kms:SecretVersionId

    Kunci kondisi

    Deskripsi

    Jenis operator kondisional

    Operasi API

    Nilai valid

    Jenis kebijakan

    kms:SecretVersionId

    Memfilter akses ke operasi API berdasarkan pengidentifikasi unik versi rahasia dalam permintaan.

    String

    • GetSecretValue

    • PutSecretValue

    Nomor versi kredensial.

    • Kebijakan kustom RAM

    • Credential Policy

    kms:SecretVersionStage

    Kunci kondisi

    Deskripsi

    Jenis operator kondisional

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:SecretVersionStage

    Memfilter akses ke operasi API berdasarkan daftar tahapan versi rahasia dalam permintaan.

    String

    • GetSecretValue

    • UpdateSecretVersionStage

    • ACSCurrent

    • ACSPrevious

    • Status versi kredensial kustom Anda

    • Kebijakan kustom RAM

    • Credential Policy

    kms:SecretType

    Kunci kondisi

    Deskripsi

    Jenis operator kondisional

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:SecretType

    Memfilter akses ke operasi API berdasarkan jenis rahasia dalam permintaan.

    String

    Semua operasi OpenAPI terkait rahasia. Untuk daftar operasi, lihat Ikhtisar API.

    • Generic: rahasia generik.

    • Rds: rahasia ApsaraDB RDS.

    • RAMCredentials: kredensial RAM.

    • ECS: kredensial ECS.

    • Redis: kredensial Redis.

    • Kebijakan kustom RAM

    • Credential Policy

    kms:ForceDeleteWithoutRecovery

    Kunci kondisi

    Deskripsi

    Jenis operator kondisional

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:ForceDeleteWithoutRecovery

    Menentukan apakah akan menghapus paksa rahasia. Rahasia yang dihapus paksa tidak dapat dipulihkan.

    Nilai Boolean

    DeleteSecret

    • true

    • false

    • Kebijakan kustom RAM

    • Credential policy

    kms:RecoveryWindowInDays

    Kunci kondisi

    Deskripsi

    Jenis operator kondisional

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:RecoveryWindowInDays

    Menghapus rahasia secara dapat dipulihkan dan menentukan jendela pemulihan dalam hari.

    Angka

    DeleteSecret

    Jumlah hari.

    • Kebijakan kustom RAM

    • Credential policy

    Misalnya, kebijakan ini menolak semua pengguna dan peran dari melakukan operasi kms:DeleteSecret jika jendela pemulihan yang ditentukan kurang dari atau sama dengan 10 hari.

    {
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "kms:DeleteSecret",
      "Principal": "*",
      "Resource": "*",
      "Condition": {
        "NumericLessThanEquals": {
          "kms:RecoveryWindowInDays": "10"
        }
      }
    }
  ]
}

    kms:KmsInstanceId

    Kunci kondisi

    Deskripsi

    Jenis operator kondisional

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:KmsInstanceId

    Mengontrol izin akses berdasarkan ID instans KMS yang terkait dengan permintaan akses.

    String

    • CreateSecret

    • DescribeSecret

    • UpdateSecret

    • ListSecretVersionIds

    • RestoreSecret

    • RotateSecret

    • UpdateSecretRotationPolicy

    • GetSecretValue

    • PutSecretValue

    • UpdateSecretVersionStage

    • DeleteSecret

    ID instans

    • Kebijakan kustom RAM

    • Kebijakan kunci

    Contoh:

    Kebijakan RAM kustom

    {
  "Effect": "Allow",
  "Action": "kms:CreateSecret",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:KmsInstanceId": "kst-**"
    }
  }
}

    Kebijakan kunci

    {
  "Effect": "Allow",
  "Principal": {
    "RAM": "acs:ram::119285303511****:*"
  },
  "Action": "kms:CreateSecret",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:KmsInstanceId": "kst-**"
    }
  }
}

    Kunci kondisi produk KMS lainnya

    kms:TlsVersion

    Kunci kondisi

    Deskripsi

    Jenis operator kondisional

    Operasi API

    Nilai valid

    Jenis kebijakan

    kms:TlsVersion

    Memfilter akses ke operasi API berdasarkan versi TLS dalam permintaan.

    String

    Semua operasi OpenAPI yang memerlukan autentikasi.

    Catatan

    Operasi yang tidak memerlukan autentikasi, seperti DescribeRegions.

    1.2

    • Kebijakan kustom RAM

    • Kebijakan kunci

    • Credential policy

    Misalnya, kebijakan ini menolak operasi apa pun pada kunci yang ditentukan jika versi Transport Layer Security (TLS) dalam permintaan lebih awal dari 1.2.

    {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "kms:*",
            "Resource": "acs:kms:*:*:key/key-hzz653f1f8fybn5qa****",
            "Condition": {
                "NumericLessThan": {
                    "kms:TlsVersion": [
                        "1.2"
                    ]
                }
            }
        }
    ]
}

    Lampiran 1: Jenis operator kondisional

    Operator kondisional dapat diklasifikasikan ke dalam kategori berikut: string, angka, tanggal dan waktu, Boolean, serta alamat IP. Untuk informasi lebih lanjut, lihat Operator kondisional.

    Jenis operator kondisional

    Jenis yang Didukung

    String

    • StringEquals

    • StringNotEquals

    • StringEqualsIgnoreCase

    • StringNotEqualsIgnoreCase

    • StringLike

    • StringNotLike

    Angka

    • NumericEquals

    • NumericNotEquals

    • NumericLessThan

    • NumericLessThanEquals

    • NumericGreaterThan

    • NumericGreaterThanEquals

    Tanggal dan waktu

    • DateEquals

    • DateNotEquals

    • DateLessThan

    • DateLessThanEquals

    • DateGreaterThan

    • DateGreaterThanEquals

    Boolean

    Bool

    Jenis alamat IP

    • IpAddress

    • NotIpAddress