All Products
Search

This Product

    Key Management Service:Konfigurasikan kebijakan kunci

    Document Center

    Key Management Service:Konfigurasikan kebijakan kunci

    Last Updated:Mar 24, 2026

    Anda dapat menambahkan atau menghapus pengguna Resource Access Management (RAM) dan peran RAM dalam kebijakan kunci untuk menetapkan administrator dan pengguna kunci. Topik ini menjelaskan cara mengonfigurasi kebijakan kunci.

    Konfigurasikan kebijakan kunci di Konsol KMS

    1. Masuk ke Konsol Key Management Service. Pilih Wilayah dari bilah menu atas. Di panel navigasi sebelah kiri, klik Resource > Keys.

    2. Pada tab Customer Master Keys, temukan kunci yang ingin Anda konfigurasi kebijakannya. Klik ID kunci tersebut atau klik Details di kolom Actions yang sesuai dengan kunci tersebut.

    3. Di bagian Key Policy di bagian bawah halaman detail, klik Configure Key Policy. Setelah selesai mengonfigurasi, klik OK.

      1. Visual Editor: Dalam mode ini, Anda menetapkan Principal (Pengguna RAM atau Peran RAM) ke peran yang telah ditentukan sebelumnya yang memiliki izin default (Actions).

        • Administrator: Principal dengan peran ini dapat melakukan operasi manajemen pada kunci. Peran ini tidak mencakup izin untuk Operasi Kriptografi. Anda dapat menetapkan peran ini kepada Pengguna RAM dan Peran RAM dalam Akun Alibaba Cloud Anda.

        • User: Principal dengan peran ini hanya dapat menggunakan kunci untuk Operasi Kriptografi. Anda dapat menetapkan peran ini kepada Pengguna RAM dan Peran RAM dalam Akun Alibaba Cloud Anda.

        • Cross-account User:

          Penting

          • Pemberian izin kepada Pengguna RAM atau Peran RAM dari Akun Alibaba Cloud lain akan mengonsumsi Access Management Quota instans KMS Anda. Kuota dikonsumsi berdasarkan jumlah Akun Alibaba Cloud unik yang Anda beri akses. Jika Anda mencabut otorisasi tersebut, kuota akan dilepas setelah sekitar lima menit.

          • Untuk mengizinkan Principal lintas akun menggunakan kunci tersebut, Anda juga harus memberikan izin yang diperlukan kepada pengguna atau peran yang sesuai di Konsol RAM akun target. Untuk informasi selengkapnya, lihat Custom Permission Policies for Key Management Service, Manage permissions for a RAM User, dan Manage permissions for a RAM Role.

          • Ini dapat berupa Pengguna RAM atau Peran RAM dari Akun Alibaba Cloud lain. Pengguna lintas akun hanya dapat menggunakan kunci untuk operasi kriptografi.

          • Klik Add ARN of Cross-account User dan masukkan ARN Principal tersebut. Anda dapat menemukan ARN di halaman detail pengguna atau peran di Konsol RAM.

            • Pengguna RAM: Formatnya adalah acs:ram::<ID Akun Alibaba Cloud Lain>:user/<ramuser>. Contoh: acs:ram::119285303511****:user/testpolicyuser.

            • Peran RAM: Formatnya adalah acs:ram::<ID Akun Alibaba Cloud Lain>:role/<ramrole>. Contoh: acs:ram::119285303511****:role/testpolicyrole.

      2. Syntax Editor: Anda dapat langsung memodifikasi atau menambahkan pernyataan izin di editor kebijakan. Contoh berikut menunjukkan konfigurasi sampel.

        • Skenario: Contoh ini menunjukkan kebijakan kunci untuk kunci yang dimiliki oleh Akun Alibaba Cloud 119285303511****.

          • Pemilik kunci (Akun Alibaba Cloud 119285303511****) memiliki akses penuh untuk mengelola dan menggunakan kunci. Kami menyarankan agar Anda tidak mengubah pernyataan default ini.

            Catatan

            Secara default, pemilik kunci memiliki semua izin. Aturan ini tidak dapat diubah.

          • Pernyataan ini mengizinkan Pengguna RAM key_ramuser1 dalam akun yang sama (119285303511****) untuk mengelola kunci.

          • Pernyataan ini mengizinkan Pengguna RAM key_ramuser2 dalam akun yang sama (119285303511****) dan Pengguna RAM key_ramuser3 dari akun lain (190325303126****) untuk menggunakan kunci.

        • Contoh kebijakan:

          {
    "Statement": [
        {
            "Action": [
                "kms:*"
            ],
            "Effect": "Allow",
            "Principal": {
                "RAM": [
                    "acs:ram::119285303511****:*"
                ]
            },
            "Resource": [
                "*"
            ],
            "Sid": "kms default key policy"
        },
        {
            "Action": [
                "kms:List*",
                "kms:Describe*",
                "kms:Create*",
                "kms:Enable*",
                "kms:Disable*",
                "kms:Get*",
                "kms:Set*",
                "kms:Update*",
                "kms:Delete*",
                "kms:Cancel*",
                "kms:TagResource",
                "kms:UntagResource",
                "kms:ImportKeyMaterial",
                "kms:ScheduleKeyDeletion"
            ],
            "Effect": "Allow",
            "Principal": {
                "RAM": [
                    "acs:ram::119285303511****:user/key_ramuser1"
                ]
            },
            "Resource": [
                "*"
            ]
        },
        {
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:GenerateAndExportDataKey",
                "kms:AsymmetricEncrypt",
                "kms:AsymmetricDecrypt",
                "kms:DescribeKey",
                "kms:DescribeKeyVersion",
                "kms:ListKeyVersions",
                "kms:ListAliasesByKeyId",
                "kms:TagResource"
            ],
            "Effect": "Allow",
            "Principal": {
                "RAM": [
                    "acs:ram::119285303511****:user/key_ramuser2",
                    "acs:ram::190325303126****:user/key_ramuser3"
                ]
            },
            "Resource": [
                "*"
            ]
        }
    ],
    "Version": "1"
}

    Batasan

    • Kebijakan Kunci hanya dapat diterapkan pada Customer Master Keys.

    • Konten kebijakan kunci harus dalam format JSON dan panjangnya tidak boleh melebihi 32.768 byte.

    • Anda dapat menetapkan aksi berikut dalam Kebijakan Kunci:

      Peringatan

      Jika Anda menentukan aksi yang tidak ada dalam daftar ini, izin tersebut tidak akan berlaku.

       "Action": [
                "kms:List*",
                "kms:Describe*",
                "kms:Create*",
                "kms:Enable*",
                "kms:Disable*",
                "kms:Get*",
                "kms:Set*",
                "kms:Update*",
                "kms:Delete*",
                "kms:Cancel*",
                "kms:TagResource",
                "kms:UntagResource",
                "kms:ImportKeyMaterial",
                "kms:ScheduleKeyDeletion"
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:GenerateAndExportDataKey",
                "kms:AsymmetricEncrypt",
                "kms:AsymmetricDecrypt",
                "kms:DescribeKey",
                "kms:DescribeKeyVersion",
                "kms:ListKeyVersions",
                "kms:ListAliasesByKeyId",
                "kms:TagResource"
            ]

    • Otorisasi kunci lintas akun: Untuk memberi otorisasi kepada Pengguna RAM atau Peran RAM lintas akun agar dapat menggunakan kunci, Anda harus mengonfigurasi izin di kedua akun:

      1. Di Konsol KMS, konfigurasikan kebijakan kunci untuk memberikan izin penggunaan kepada akun target. Hal ini dilakukan dengan menambahkan pernyataan kebijakan untuk Cross-account User.

      2. Di akun target, konfigurasikan Kebijakan Izin di Konsol RAM untuk memberikan izin kepada pengguna atau peran yang sesuai agar dapat menggunakan kunci tersebut.

    Izin default (Actions)

    Administrator

    Principal dengan peran ini dapat melakukan operasi manajemen pada kunci. Peran ini tidak mencakup izin untuk Operasi Kriptografi.

      "Action": [
                "kms:List*",
                "kms:Describe*",
                "kms:Create*",
                "kms:Enable*",
                "kms:Disable*",
                "kms:Get*",
                "kms:Set*",
                "kms:Update*",
                "kms:Delete*",
                "kms:Cancel*",
                "kms:TagResource",
                "kms:UntagResource",
                "kms:ImportKeyMaterial",
                "kms:ScheduleKeyDeletion"
            ]

    User/cross-account user

    Principal dengan peran ini hanya dapat menggunakan kunci untuk Operasi Kriptografi.

     "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:GenerateAndExportDataKey",
                "kms:AsymmetricEncrypt",
                "kms:AsymmetricDecrypt",
                "kms:DescribeKey",
                "kms:DescribeKeyVersion",
                "kms:ListKeyVersions",
                "kms:ListAliasesByKeyId",
                "kms:TagResource"
            ]