全部产品
Search

搜索本产品

    Key Management Service:Kunci kondisi kebijakan

    文档中心

    Key Management Service:Kunci kondisi kebijakan

    更新时间:Feb 10, 2026

    Kondisi menentukan batasan penerapan otorisasi. Anda dapat menggunakan kunci kondisi dalam kebijakan kunci, kebijakan kredensial, dan kebijakan kustom Resource Access Management (RAM) untuk mengontrol akses ke Key Management Service (KMS). Topik ini menjelaskan kunci kondisi universal Alibaba Cloud serta kunci kondisi spesifik KMS.

    Catatan

    Bidang Principal dalam contoh wajib digunakan untuk kebijakan kunci dan kebijakan kredensial. Jika Anda menggunakan kebijakan kustom RAM, bidang ini tidak perlu diatur.

    Kunci kondisi universal Alibaba Cloud

    acs:SourceIp

    Kunci kondisi

    Deskripsi

    Jenis operator kondisi

    Operasi API

    Rentang nilai

    Jenis kebijakan

    acs:SourceIp

    Alamat IP publik dari client yang mengirim permintaan.

    String

    Semua operasi OpenAPI KMS. Untuk daftar operasi, lihat Ikhtisar API.

    Alamat IP. Contoh:

    • "126.34.XX.XX"

    • "2001:0db8:85a3:0000:0000:8a2e:XXXX:XXXX"

    • Kebijakan kustom RAM

    • Kebijakan kunci

    • Kebijakan kredensial

    Contoh kebijakan RAM

    Anda hanya dapat menghasilkan kunci data jika permintaan berasal dari rentang alamat IP 116.62.XX.XX/24.

    {
    "Statement": [
        {
            "Action": "kms:GenerateDataKey",
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "acs:SourceIp": "116.62.XX.XX/24"
                }
            }
        }
    ],
    "Version": "1"
}

    Contoh kebijakan Kunci/Kredensial

    Akses hanya diizinkan untuk Pengguna Resource Access Management (RAM) ramuser1 dari alamat IP 203.0.XX.XX.

    {
	"Version":"1",
	"Statement":[
		{
			"Sid":"kms policy",
			"Effect":"Allow",
			"Action":"kms:*",
			"Principal":{
				"RAM":[
					"acs:ram::1192853035****:user/ramuser1"
				]
			},
			"Resource":"*",
			"Condition":{
				"IpAddress":{
					"acs:SourceIp":[
						"203.0.XX.XX"
					]
				}
			}
		}
	]
}

    acs:SourceVpc

    Kunci kondisi

    Deskripsi

    Jenis operator kondisi

    Operasi API

    Rentang nilai

    Jenis kebijakan

    acs:SourceVpc

    VPC tempat client pengirim permintaan berada. Kunci kondisi ini hanya berlaku jika permintaan dikirim dari VPC Alibaba Cloud.

    String

    Semua operasi OpenAPI KMS. Untuk daftar operasi, lihat Ikhtisar API.

    ID VPC. Contoh: vpc-bp1717bgs34gj****.

    • Kebijakan kustom RAM

    • Kebijakan kunci

    • Kebijakan kredensial

    Batasan:

    • Semua aksi dalam bidang Statement kebijakan harus dimulai dengan kms:, seperti "Action":"kms:*" dan "Action":"kms:GenerateDataKey". "Action":"*" dan "Action":"k*" tidak valid.

    • Kunci kondisi ini hanya didukung di beberapa wilayah.

      Wilayah yang mendukung acs:SourceVpc

      Cloud publik

      Klasifikasi wilayah

      Wilayah yang didukung

      China

      China (Hangzhou), China (Shanghai), China (Shenzhen), China (Heyuan), China (Guangzhou), China (Qingdao), China (Beijing), China (Zhangjiakou), China (Hohhot), China (Ulanqab), China (Chengdu), China (Hong Kong)

      Negara dan wilayah lainnya

      Malaysia (Kuala Lumpur), Jepang (Tokyo), Jerman (Frankfurt), AS (Virginia), AS (Silicon Valley), Indonesia (Jakarta), Inggris (London), Filipina (Manila), Singapura, Korea Selatan (Seoul), Thailand (Bangkok)

    Contoh kebijakan Kunci/Kredensial: Akses hanya diizinkan untuk pengguna RAM ramuser1 dari vpc-bp1l8j1t3l3j5****.

    {
    "Version": "1",
    "Statement": [
        {
            "Sid": "kms policy",
            "Effect": "Allow",
            "Action": "kms:*",
            "Principal": {
                "RAM": [
                    "acs:ram::1192853035****:user/ramuser1"
                ]
            },
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "acs:SourceVpc": [
                        "vpc-bp1l8j1t3l3j5****"
                    ]
                }
            }
        }
    ]
}

    acs:VpcSourceIp

    Kunci kondisi

    Deskripsi

    Jenis operator kondisi

    Operasi API

    Rentang nilai

    Jenis kebijakan

    acs:VpcSourceIp

    Alamat IP dari client yang mengirim permintaan. Kunci kondisi ini hanya berlaku jika permintaan dikirim dari VPC Alibaba Cloud.

    String

    Semua operasi OpenAPI KMS. Untuk daftar operasi, lihat Ikhtisar API.

    Alamat IP dalam VPC. Contoh:

    • "126.34.XX.XX"

    • "2001:0db8:85a3:0000:0000:8a2e:XXXX:XXXX"

    • Kebijakan kustom RAM

    • Kebijakan kunci

    • Kebijakan kredensial

    Batasan: Kunci kondisi ini hanya didukung di beberapa wilayah.

    Wilayah yang mendukung acs:VpcSourceIp

    Cloud publik

    Klasifikasi wilayah

    Wilayah yang didukung

    China

    China (Hangzhou), China (Shanghai), China (Shenzhen), China (Heyuan), China (Guangzhou), China (Qingdao), China (Beijing), China (Zhangjiakou), China (Hohhot), China (Ulanqab), China (Chengdu), China (Hong Kong)

    Negara dan wilayah lainnya

    Malaysia (Kuala Lumpur), Jepang (Tokyo), Jerman (Frankfurt), AS (Virginia), AS (Silicon Valley), Indonesia (Jakarta), Inggris (London), Filipina (Manila), Singapura, Korea Selatan (Seoul), Thailand (Bangkok)

    Contoh kebijakan RAM

    Permintaan hanya diizinkan dari blok CIDR 172.168.XX.XX/24 di vpc-bp1717bghfnkqg5wn****.

    {
    "Statement": [
        {
            "Action": "kms:GenerateDataKey",
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "acs:SourceVpc": "vpc-bp1717bghfnkqg5wn****"
                },
                "IpAddress": {
                    "acs:VpcSourceIp": "172.168.**.**/24"
                }
            }
        }
    ],
    "Version": "1"
}

    Contoh kebijakan Kunci/Kredensial

    Akses hanya diizinkan untuk pengguna RAM ramuser1 dari alamat IP VPC 192.168.XX.XX.

    {
    "Version": "1",
    "Statement": [
        {
            "Sid": "kms policy",
            "Effect": "Allow",
            "Action": "kms:*",
            "Principal": {
                "RAM": [
                    "acs:ram::1192853035****:user/ramuser1"
                ]
            },
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "acs:VpcSourceIp": [
                        "192.168.XX.XX"
                    ]
                }
            }
        }
    ]
}

    acs:SecureTransport

    Kunci kondisi

    Deskripsi

    Jenis operator kondisi

    Operasi API

    Rentang nilai

    Jenis kebijakan

    acs:SecureTransport

    Menunjukkan apakah permintaan dikirim melalui saluran aman (HTTPS).

    Boolean

    Semua operasi OpenAPI KMS. Untuk daftar operasi, lihat Ikhtisar API.

    • true

    • false

    • Kebijakan kustom RAM

    • Kebijakan kunci

    • Kebijakan kredensial

    Contoh kebijakan RAM

    Anda dapat melakukan operasi apa pun pada semua resource KMS, asalkan permintaan dikirim melalui HTTPS.

           {
         "Version": "1",
         "Statement": [
           {
             "Effect": "Allow",
             "Action": "kms:*",
             "Resource": "*",
             "Condition": {
               "Bool": {
                 "acs:SecureTransport": "true"
               }
             }
           }
         ]
       }

    Contoh kebijakan Kunci/Kredensial

    Akses hanya diizinkan untuk pengguna RAM ramuser1 melalui saluran aman HTTPS.

    {
    "Version": "1",
    "Statement": [
        {
            "Sid": "kms policy",
            "Effect": "Allow",
            "Action": "kms:*",
            "Principal": {
                "RAM": [
                    "acs:ram::1192853035****:user/ramuser1"
                ]
            },
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "acs:SecureTransport": "true"
                }
            }
        }
    ]
}

    acs:CurrentTime

    Kunci kondisi

    Deskripsi

    Jenis operator kondisi

    Operasi API

    Rentang nilai

    Jenis kebijakan

    acs:CurrentTime

    Waktu saat server menerima permintaan.

    Tanggal dan waktu

    Semua operasi OpenAPI KMS. Untuk daftar operasi, lihat Ikhtisar API.

    Waktu dalam UTC dan harus mengikuti standar ISO 8601.

    Misalnya, pukul 20:00:00 pada 10 Januari 2024 (UTC+8) dinyatakan sebagai 2024-01-10T20:00:00+08:00 atau 2024-01-10T12:00:00Z.

    • Kebijakan kustom RAM

    • Kebijakan kunci

    • Kebijakan kredensial

    Contoh kebijakan Kunci/Kredensial: Akses hanya diizinkan untuk pengguna RAM ramuser1 sebelum 2099-12-31T12:00:00Z.

    {
    "Version": "1",
    "Statement": [
        {
            "Sid": "kms policy",
            "Effect": "Allow",
            "Action": "kms:*",
            "Principal": {
                "RAM": [
                    "acs:ram::1192853035****:user/ramuser1"
                ]
            },
            "Resource": "*",
            "Condition": {
                "DateLessThan": {
                    "acs:CurrentTime": "2099-12-31T12:00:00Z"
                }
            }
        }
    ]
}

    acs:MFAPresent

    Kunci kondisi

    Deskripsi

    Jenis operator kondisi

    Operasi API

    Rentang nilai

    Jenis kebijakan

    acs:MFAPresent

    Menunjukkan apakah autentikasi multi-faktor (MFA) digunakan saat login.

    Boolean

    Semua operasi OpenAPI KMS. Untuk daftar operasi, lihat Ikhtisar API.

    • true

    • false

    • Kebijakan kustom RAM

    • Kebijakan kunci

    • Kebijakan kredensial

    Contoh kebijakan Kunci/Kredensial: Akses hanya diizinkan untuk pengguna RAM ramuser1 jika MFA diaktifkan.

    {
    "Version": "1",
    "Statement": [
        {
            "Sid": "kms policy",
            "Effect": "Allow",
            "Action": "kms:*",
            "Principal": {
                "RAM": [
                    "acs:ram::1192853035****:user/ramuser1"
                ]
            },
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "acs:MFAPresent": [
                        "true"
                    ]
                }
            }
        }
    ]
}

    Kunci kondisi produk KMS (terkait kunci)

    kms:tag

    Kunci kondisi

    Deskripsi

    Jenis operator kondisi

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:tag

    Memfilter akses ke operasi API berdasarkan tag kunci.

    String

    • Encrypt

    • Decrypt

    • ReEncrypt

    • ExportDataKey

    • GenerateDataKey

    • GenerateDataKeyWithoutPlaintext

    • GenerateAndExportDataKey

    • AsymmetricDecrypt

    • AsymmetricEncrypt

    • AsymmetricSign

    • AsymmetricVerify

    • GetPublicKey

    • DescribeKey

    • UpdateKeyDescription

    • EnableKey

    • DisableKey

    • CancelKeyDeletion

    • ScheduleKeyDeletion

    • ImportKeyMaterial

    • GetParametersForImport

    • DeleteKeyMaterial

    • CreateKeyVersion

    • DescribeKeyVersion

    • ListKeyVersions

    • UpdateRotationPolicy

    • SetDeletionProtection

    Tag kunci kustom.

    • Kebijakan kustom RAM

    • Kebijakan kunci

    • Kebijakan kredensial

    kms:EncryptionAlgorithm

    Kunci kondisi

    Deskripsi

    Jenis operator kondisi

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:EncryptionAlgorithm

    Memfilter akses ke operasi enkripsi berdasarkan algoritma enkripsi dalam permintaan.

    String

    • Decrypt

    • Encrypt

    • GenerateDataKey

    • GenerateDataKeyWithoutPlaintext

    • ReEncrypt

    • AsymmetricDecrypt

    • AsymmetricEncrypt

    • ExportDataKey

    • GenerateAndExportDataKey

    Algoritma enkripsi, seperti SYMMETRIC_DEFAULT, RSAES_OAEP_SHA_256, atau ECIES_DH_SHA_1_XOR_HMAC.

    Untuk informasi lebih lanjut tentang algoritma enkripsi yang didukung KMS, lihat Jenis manajemen kunci dan spesifikasi kunci.

    • Kebijakan kustom RAM

    • Kebijakan kunci

    Sebagai contoh, contoh ini menunjukkan bahwa hanya Pengguna Resource Access Management (RAM) key_ramuser1 yang dapat melakukan enkripsi, dekripsi, atau enkripsi ulang dengan algoritma RSAES-OAEP-SHA-256. Hal ini meningkatkan keamanan dan kepatuhan penggunaan kunci enkripsi, memastikan hanya algoritma enkripsi tertentu yang digunakan, serta mencegah penyalahgunaan algoritma enkripsi yang tidak sesuai atau tidak aman.

    {
  "Sid": "Allow only one encryption algorithm with this asymmetric KMS key",
  "Effect": "Deny",
  "Principal": {
          "RAM": [
                    "acs:ram::119285303511****:user/key_ramuser1"
                ]
  },
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt"
  ],
  "Resource": "*",
  "Condition": {
    "StringNotEquals": {
      "kms:EncryptionAlgorithm": "SYMMETRIC_DEFAULT"
    }
  }
}

    kms:EncryptionContext:${EncryptionContextKey}

    Kunci kondisi

    Deskripsi

    Jenis operator kondisi

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:EncryptionContext:${EncryptionContextKey}

    Memfilter akses ke kunci simetris KMS berdasarkan konteks enkripsi dalam operasi enkripsi.

    Kondisi ini mengevaluasi kunci dan nilai dalam setiap pasangan kunci-nilai konteks enkripsi.

    String

    • Decrypt

    • Encrypt

    • GenerateDataKey

    • GenerateDataKeyWithoutPlaintext

    • ExportDataKey

    • GenerateAndExportDataKey

    Konteks enkripsi kustom.

    • Kebijakan kustom RAM

    • Kebijakan kunci

    Contoh berikut mengizinkan semua pengguna RAM di bawah Akun Alibaba Cloud 119285303511**** untuk melakukan operasi kms:GenerateDataKey ketika nilai Project dalam kms:EncryptionContext adalah ProjectA.

    {
 "Effect": "Allow",
 "Principal": {
	 "RAM": [
	 "acs:ram::119285303511****:*"
	 ]
	},
 "Action": "kms:GenerateDataKey",
 "Resource": "*",
 "Condition": {
 "StringEquals": {
 "kms:EncryptionContext:Project": "ProjectA"
 }
 }
}

    kms:EncryptionContextKeys

    Kunci kondisi

    Deskripsi

    Jenis operator kondisi

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:EncryptionContextKeys

    Memfilter akses ke kunci simetris KMS berdasarkan konteks enkripsi dalam operasi enkripsi.

    Hanya memfilter kunci dalam pasangan kunci-nilai konteks enkripsi.

    Array string

    • Decrypt

    • Encrypt

    • GenerateDataKey

    • GenerateDataKeyWithoutPlaintext

    • ExportDataKey

    • GenerateAndExportDataKey

    Kunci kustom dari pasangan kunci-nilai konteks enkripsi.

    Kebijakan kunci

    Contoh berikut mengizinkan semua pengguna RAM di bawah Akun Alibaba Cloud 119285303511**** untuk melakukan operasi kms:GenerateDataKey ketika konteks enkripsi berisi kunci bernama Project.

    {
 "Effect": "Allow",
 "Principal": {
	 "RAM": [
	 "acs:ram::119285303511****:*"
	 ]
	},
 "Action": "kms:GenerateDataKey",
 "Resource": "*",
 "Condition": {
 "StringEquals": {
 "kms:EncryptionContextKeys": "Project"
 }
 }
}

    kms:ExpirationModel

    Kunci kondisi

    Deskripsi

    Jenis operator kondisi

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:ExpirationModel

    Memfilter akses ke operasi ImportKeyMaterial berdasarkan nilai parameter ExpirationModel dalam permintaan.

    String

    ImportKeyMaterial

    • KEY_MATERIAL_DOES_NOT_EXPIRE: Bahan kunci tidak kedaluwarsa.

    • KEY_MATERIAL_EXPIRES: Bahan kunci kedaluwarsa.

    • Kebijakan kustom RAM

    • Kebijakan kunci

    Contoh berikut mengizinkan semua pengguna RAM di bawah Akun Alibaba Cloud 119285303511**** untuk melakukan operasi kms:ImportKeyMaterial hanya jika model kedaluwarsa bahan kunci adalah KEY_MATERIAL_DOES_NOT_EXPIRE.

    {
  "Effect": "Allow",
  "Principal": {
    "RAM": "acs:ram::119285303511****:*"
  },
  "Action": "kms:ImportKeyMaterial",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ExpirationModel": "KEY_MATERIAL_DOES_NOT_EXPIRE"
    }
  }
}

    kms:ValidTo

    Kunci kondisi

    Deskripsi

    Jenis operator kondisi

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:ValidTo

    Memfilter akses ke operasi ImportKeyMaterial berdasarkan nilai parameter ValidTo dalam permintaan.

    Anda dapat menggunakan kunci kondisi ini untuk mengizinkan pengguna mengimpor bahan kunci hanya jika bahan tersebut kedaluwarsa pada tanggal tertentu.

    Tanggal

    ImportKeyMaterial

    Format stempel waktu UNIX

    • Kebijakan kustom RAM

    • Kebijakan kunci

    Contoh berikut mengizinkan semua pengguna RAM di bawah Akun Alibaba Cloud 119285303511**** untuk mengimpor bahan kunci hanya sebelum 20 Juni 2024.

    {
  "Effect": "Allow",
  "Principal": {
    "RAM": "acs:ram::119285303511****:*"
  },
  "Action": "kms:ImportKeyMaterial",
  "Resource": "*",
  "Condition": {
    "NumericLessThanEquals": {
      "kms:ValidTo": "1718841600"
    }
  }
}

    kms:KeyOrigin

    Kunci kondisi

    Deskripsi

    Jenis operator kondisi

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:KeyOrigin

    Memfilter akses ke operasi API berdasarkan properti Origin dari kunci KMS yang dibuat atau digunakan dalam operasi tersebut.

    Anda dapat menggunakannya untuk membatasi otorisasi untuk operasi CreateKey atau operasi apa pun yang memberikan otorisasi untuk resource kunci KMS.

    String

    Semua operasi OpenAPI terkait kunci. Untuk daftar operasi, lihat Ikhtisar API.

    • Aliyun_KMS

    • EXTERNAL

    • KmsInstance

    • Kebijakan kustom RAM

    • Kebijakan kunci

    kms:KeySpec

    Kunci kondisi

    Deskripsi

    Jenis operator kondisi

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:KeySpec

    Memfilter akses ke operasi API berdasarkan properti KeySpec dari kunci KMS yang dibuat atau digunakan dalam operasi tersebut.

    String

    Semua operasi OpenAPI terkait kunci. Untuk daftar operasi, lihat Ikhtisar API.

    Spesifikasi kunci, seperti Aliyun_AES_256 atau RSA_2048.

    Untuk informasi lebih lanjut tentang spesifikasi kunci yang didukung KMS, lihat Jenis manajemen kunci dan spesifikasi kunci.

    • Kebijakan kustom RAM

    • Kebijakan kunci

    Contoh berikut mengizinkan semua pengguna dan peran RAM di bawah Akun Alibaba Cloud 119285303511**** untuk melakukan operasi kms:CreateKey, tetapi hanya untuk membuat kunci RSA.

    {
  "Effect": "Allow",
  "Action": "kms:CreateKey",
  "Principal": {
    "RAM": "acs:ram::119285303511****:*"
  },
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:KeySpec": "RSA_*"
    }
  }
}

    kms:KeyUsage

    Kunci kondisi

    Deskripsi

    Jenis operator kondisi

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:KeyUsage

    Memfilter akses ke operasi API berdasarkan properti KeyUsage dari kunci KMS yang dibuat atau digunakan dalam operasi tersebut.

    String

    Semua operasi OpenAPI terkait kunci. Untuk daftar operasi, lihat Ikhtisar API.

    • ENCRYPT_DECRYPT: enkripsi dan dekripsi

    • SIGN_VERIFY: penandatanganan dan verifikasi tanda tangan

    • Kebijakan kustom RAM

    • Kebijakan kunci

    Contoh berikut mengizinkan operasi kms:CreateKey, tetapi hanya untuk membuat kunci dengan tujuan ENCRYPT_DECRYPT.

    {
  "Effect": "Allow",
  "Action": "kms:CreateKey",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:KeyUsage": "ENCRYPT_DECRYPT"
    }
  }
}

    kms:ScheduleKeyDeletionPendingWindowInDays

    Kunci kondisi

    Deskripsi

    Jenis operator kondisi

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:ScheduleKeyDeletionPendingWindowInDays

    Memfilter akses ke operasi ScheduleKeyDeletion berdasarkan nilai parameter PendingWindowInDays dalam permintaan.

    Nomor

    ScheduleKeyDeletion

    Periode penghapusan terjadwal kunci, dalam hari.

    • Kebijakan kustom RAM

    • Kebijakan kunci

    Contoh berikut menolak izin semua pengguna dan peran untuk melakukan operasi kms:ScheduleKeyDeletion jika periode penghapusan terjadwal kurang dari atau sama dengan 21 hari.

    {
  "Effect": "Deny",
  "Action": "kms:ScheduleKeyDeletion",
  "Principal": "*",
  "Resource": "*",
  "Condition": {
    "NumericLessThanEquals": {
      "kms:ScheduleKeyDeletionPendingWindowInDays": "21"
    }
  }
}

    kms:SigningAlgorithm

    Kunci kondisi

    Deskripsi

    Jenis operator kondisi

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:SigningAlgorithm

    Memfilter akses ke operasi Sign dan Verify berdasarkan algoritma tanda tangan dalam permintaan.

    String

    • AsymmetricSign

    • AsymmetricVerify

    Algoritma tanda tangan, seperti RSA_PSS_SHA_256 atau ECDSA_SHA_256.

    Untuk daftar algoritma tanda tangan yang didukung, lihat Jenis manajemen kunci dan spesifikasi kunci.

    • Kebijakan kustom RAM

    • Kebijakan kunci

    kms:WrappingAlgorithm

    Kunci kondisi

    Deskripsi

    Jenis operator kondisi

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:WrappingAlgorithm

    Memfilter akses ke operasi GetParametersForImport berdasarkan nilai parameter WrappingAlgorithm dalam permintaan.

    String

    GetParametersForImport

    Algoritma pembungkus.

    Untuk informasi lebih lanjut tentang algoritma pembungkus yang didukung KMS, lihat Impor bahan kunci simetris dan Impor bahan kunci asimetris.

    • Kebijakan kustom RAM

    • Kebijakan kunci

    kms:WrappingKeySpec

    Kunci kondisi

    Deskripsi

    Jenis operator kondisi

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:WrappingKeySpec

    Memfilter akses ke operasi GetParametersForImport berdasarkan nilai parameter WrappingKeySpec dalam permintaan.

    String

    GetParametersForImport

    Jenis kunci publik pembungkus.

    Untuk informasi lebih lanjut tentang jenis kunci publik pembungkus yang didukung KMS, lihat Impor bahan kunci simetris dan Impor bahan kunci asimetris.

    • Kebijakan kustom RAM

    • Kebijakan kunci

    kms:KmsInstanceId

    Kunci kondisi

    Deskripsi

    Jenis operator kondisi

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:KmsInstanceId

    Mengontrol izin akses berdasarkan ID instans KMS yang terkait dengan permintaan.

    String

    Operasi kriptografi:

    • ReEncrypt

    • Encrypt

    • Decrypt

    • GenerateDatakey

    • AsymmetricDecrypt

    • AsymmetricSign

    • AsymmetricEncrypt

    • AsymmetricVerify

    • GetPublicKey

    API manajemen:

    • CreateKey

    • updateKeyDescription

    • EnableKey

    • DisableKey

    • scheduleKeyDeletion

    • createAlias

    • updateAlias

    • deleteAlias

    • listAliasByKeyId

    • getParametersForImport

    • importKeyMaterial

    • deleteKeyMaterial

    • createKeyVersion

    • describeKeyVersion

    • listKeyVersions

    API tag:

    • TagResource

    • UnTagResource

    • ListResourceTags

    Instance ID

    • Kebijakan kustom RAM

    • Kebijakan kunci

    Contoh:

    Kebijakan kustom RAM

    {
  "Effect": "Allow",
  "Action": "kms:CreateKey",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:KmsInstanceId": "kst-**"
    }
  }
}

    Kebijakan kunci

    {
  "Effect": "Allow",
  "Principal": {
    "RAM": "acs:ram::119285303511****:*"
  },
  "Action": "kms:Decrypt",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:KmsInstanceId": "kst-**"
    }
  }
}

    kms:RecipientAttestation

    Kunci kondisi

    Deskripsi

    Jenis operator kondisi

    Operasi API

    kms:RecipientAttestation:PCR8

    Ukuran file citra runtime enclave.

    String

    Otorisasi berlaku hanya jika semua kondisi berikut terpenuhi:

    kms:RecipientAttestation:PCR9

    Ukuran kernel dan bootloader.

    kms:RecipientAttestation:PCR11

    Metrik aplikasi.

    Contoh:

    Kebijakan kustom RAM

    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "acs:kms:cn-hangzhou:119******460:key/key-hzz******sg5",
      "Condition": {
        "StringEquals": {
          "kms:RecipientAttestation:PCR8": "300705e44da926d8ec85bb7e840******710f303e22de0869a",
          "kms:RecipientAttestation:PCR9": "b5753ad8242e1c3b8150caf7098f******440bef5401e02575",
          "kms:RecipientAttestation:PCR11": "f9189a4331f1d4ba93d77672401******04a19be1b4d4a5de"
        }
      }
    }
  ]
}

    Kebijakan kunci

    {
    "Statement": [
        {
            "Action": [
                "kms:*"
            ],
            "Effect": "Allow",
            "Principal": {
                "RAM": [
                    "acs:ram::119*******460:*"
                ]
            },
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "kms:RecipientAttestation:PCR8": "f193c1e72c226a2212d4d8865964239******ca6f02f79ea85e91af"
                }
            },
            "Sid": "kms default key policy"
        }
    ],
    "Version": "1"
}

    Kunci kondisi produk KMS (terkait kredensial)

    kms:tag

    Kunci kondisi

    Deskripsi

    Jenis operator kondisi

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:tag

    Memfilter akses ke operasi API berdasarkan tag kredensial.

    String

    • DescribeSecret

    • GetSecretValue

    • PutSecretValue

    • UpdateSecret

    • UpdateSecretVersionStage

    • RestoreSecret

    • ListSecretVersionIds

    • RotateSecret

    • UpdateSecretRotationPolicy

    • DeleteSecret

    Tag kredensial kustom.

    • Kebijakan kustom RAM

    • Kebijakan kredensial

    • Kebijakan kunci

    kms:SecretName

    Kunci kondisi

    Deskripsi

    Jenis operator kondisi

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:SecretName

    Memfilter akses ke operasi API berdasarkan nilai SecretName dalam permintaan.

    String

    Semua operasi OpenAPI terkait kredensial. Untuk daftar operasi, lihat Ikhtisar API.

    Nama kredensial kustom.

    • Kebijakan kustom RAM

    • Kebijakan kredensial

    kms:EncryptionKeyId

    Kunci kondisi

    Deskripsi

    Jenis operator kondisi

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:EncryptionKeyId

    Memfilter akses ke operasi API berdasarkan ID kunci enkripsi dalam permintaan akses kredensial.

    String

    • CreateSecret

    • GetSecretValue

    • PutSecretValue

    ID Kunci.

    • Kebijakan kustom RAM

    • Kebijakan kredensial

    kms:SecretVersionId

    Kunci kondisi

    Deskripsi

    Jenis operator kondisi

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:SecretVersionId

    Memfilter akses ke operasi API berdasarkan pengidentifikasi unik versi kredensial dalam permintaan.

    String

    • GetSecretValue

    • PutSecretValue

    Nomor versi kredensial.

    • Kebijakan kustom RAM

    • Kebijakan kredensial

    kms:SecretVersionStage

    Kunci kondisi

    Deskripsi

    Jenis operator kondisi

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:SecretVersionStage

    Memfilter akses ke operasi API berdasarkan tahapan versi kredensial dalam permintaan.

    String

    • GetSecretValue

    • UpdateSecretVersionStage

    • ACSCurrent

    • ACSPrevious

    • Status versi kredensial kustom Anda

    • Kebijakan kustom RAM

    • Kebijakan kredensial

    kms:SecretType

    Kunci kondisi

    Deskripsi

    Jenis operator kondisi

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:SecretType

    Memfilter akses ke operasi API berdasarkan jenis kredensial dalam permintaan.

    String

    Semua operasi OpenAPI terkait kredensial. Untuk daftar operasi, lihat Ikhtisar API.

    • Generic: rahasia generik.

    • Rds: kredensial RDS.

    • RAMCredentials: kredensial RAM.

    • ECS: kredensial ECS.

    • Redis: kredensial Redis.

    • Kebijakan kustom RAM

    • Kebijakan kredensial

    kms:ForceDeleteWithoutRecovery

    Kunci kondisi

    Deskripsi

    Jenis operator kondisi

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:ForceDeleteWithoutRecovery

    Menunjukkan apakah akan menghapus paksa kredensial tanpa memungkinkan pemulihan.

    Nilai Boolean

    DeleteSecret

    • true

    • false

    • Kebijakan kustom RAM

    • Kebijakan kredensial

    kms:RecoveryWindowInDays

    Kunci kondisi

    Deskripsi

    Jenis operator kondisi

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:RecoveryWindowInDays

    Menghapus kredensial secara dapat dipulihkan dan menentukan jendela pemulihan dalam hari.

    Nomor

    DeleteSecret

    Jumlah hari.

    • Kebijakan kustom RAM

    • Kebijakan kredensial

    Contoh berikut menolak izin semua pengguna dan peran untuk melakukan operasi kms:DeleteSecret jika jendela pemulihan yang ditentukan kurang dari atau sama dengan 10 hari.

    {
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "kms:DeleteSecret",
      "Principal": "*",
      "Resource": "*",
      "Condition": {
        "NumericLessThanEquals": {
          "kms:RecoveryWindowInDays": "10"
        }
      }
    }
  ]
}

    kms:KmsInstanceId

    Kunci kondisi

    Deskripsi

    Jenis operator kondisi

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:KmsInstanceId

    Mengontrol izin akses berdasarkan ID instans KMS yang terkait dengan permintaan.

    String

    • CreateSecret

    • DescribeSecret

    • UpdateSecret

    • ListSecretsVersionIds

    • RestoreSecret

    • rotateSecret

    • updateSecretRotationPolicy

    • GetSecertValue

    • PutSecretValue

    • UpdateSecretVersionStage

    • DeleteSecret

    ID Instans

    • Kebijakan kustom RAM

    • Kebijakan kunci

    Contoh:

    Kebijakan kustom RAM

    {
  "Effect": "Allow",
  "Action": "kms:CreateSecret",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:KmsInstanceId": "kst-**"
    }
  }
}

    Kebijakan kunci

    {
  "Effect": "Allow",
  "Principal": {
    "RAM": "acs:ram::119285303511****:*"
  },
  "Action": "kms:CreateSecret",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:KmsInstanceId": "kst-**"
    }
  }
}

    Kunci kondisi produk KMS (lainnya)

    kms:TlsVersion

    Kunci kondisi

    Deskripsi

    Jenis operator kondisi

    Operasi API

    Rentang nilai

    Jenis kebijakan

    kms:TlsVersion

    Memfilter akses ke operasi API berdasarkan versi TLS dalam permintaan.

    String

    Semua operasi OpenAPI yang memerlukan autentikasi.

    Catatan

    Operasi yang tidak memerlukan autentikasi, seperti DescribeRegions.

    1.2

    • Kebijakan kustom RAM

    • Kebijakan kunci

    • Kebijakan kredensial

    Contoh berikut menolak operasi apa pun pada kunci yang ditentukan jika versi TLS dalam permintaan lebih awal dari 1.2.

    {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "kms:*",
            "Resource": "acs:kms:*:*:key/key-hzz653f1f8fybn5qa****",
            "Condition": {
                "NumericLessThan": {
                    "kms:TlsVersion": [
                        "1.2"
                    ]
                }
            }
        }
    ]
}

    Lampiran 1: Jenis operator kondisi

    Operator kondisional dapat diklasifikasikan ke dalam kategori berikut: string, angka, tanggal dan waktu, Boolean, dan alamat IP. Untuk informasi lebih lanjut, lihat Operator kondisional.

    Jenis operasi kondisional

    Jenis yang didukung

    String

    • StringEquals

    • StringNotEquals

    • StringEqualsIgnoreCase

    • StringNotEqualsIgnoreCase

    • StringLike

    • StringNotLike

    Jenis numerik

    • NumericEquals

    • NumericNotEquals

    • NumericLessThan

    • NumericLessThanEquals

    • NumericGreaterThan

    • NumericGreaterThanEquals

    Tanggal dan waktu

    • DateEquals

    • DateNotEquals

    • DateLessThan

    • DateLessThanEquals

    • DateGreaterThan

    • DateGreaterThanEquals

    Boolean

    Bool

    Jenis alamat IP

    • IpAddress

    • NotIpAddress