全部产品
Search

搜索本产品

    Key Management Service:Mengonfigurasi kebijakan kunci

    文档中心

    Key Management Service:Mengonfigurasi kebijakan kunci

    更新时间:Jan 15, 2026

    Anda dapat menambahkan atau menghapus Pengguna Manajemen Akses Sumber Daya (RAM) dan Peran RAM dalam kebijakan kunci untuk menetapkan administrator dan pengguna kunci. Topik ini menjelaskan cara mengonfigurasi kebijakan kunci.

    Perhatian

    • Anda hanya dapat mengonfigurasi kebijakan kunci untuk kunci dalam instance Key Management Service (KMS). Anda dapat mengonfigurasi kebijakan kunci saat membuat kunci atau setelah kunci dibuat. Untuk informasi tentang cara mengonfigurasi kebijakan kunci saat membuat kunci, lihat Buat kunci. Topik ini menjelaskan cara mengonfigurasi kebijakan kunci setelah kunci dibuat.

    • Konten kebijakan kunci tidak boleh melebihi 32.768 byte panjangnya dan harus dalam format JSON.

    • Saat mengonfigurasi kebijakan kunci di konsol KMS, Anda dapat menggunakan kebijakan default atau mengonfigurasi kebijakan kustom. Jika Anda mengonfigurasi kebijakan kustom, Anda dapat menetapkan Pengguna RAM atau Peran sebagai administrator dan pengguna kunci, serta menetapkan pengguna lintas akun. Untuk konfigurasi yang lebih spesifik, seperti membatasi pengguna hanya pada operasi enkripsi atau dekripsi berdasarkan kunci, Anda dapat memanggil Operasi API.

      Daftar berikut menjelaskan operasi yang dapat dikonfigurasi dalam kebijakan kunci. Jika Anda mengonfigurasi operasi yang tidak ada dalam daftar, pengaturan tersebut tidak akan berlaku.

       "Action": [
                "kms:List*",
                "kms:Describe*",
                "kms:Create*",
                "kms:Enable*",
                "kms:Disable*",
                "kms:Get*",
                "kms:Set*",
                "kms:Update*",
                "kms:Delete*",
                "kms:Cancel*",
                "kms:TagResource",
                "kms:UntagResource",
                "kms:ImportKeyMaterial",
                "kms:ScheduleKeyDeletion"
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:GenerateAndExportDataKey",
                "kms:AsymmetricEncrypt",
                "kms:AsymmetricDecrypt",
                "kms:DescribeKey",
                "kms:DescribeKeyVersion",
                "kms:ListKeyVersions",
                "kms:ListAliasesByKeyId",
                "kms:TagResource"
            ]

    • Untuk memberikan akses kepada Pengguna RAM atau Peran RAM dari akun Alibaba Cloud lain agar dapat menggunakan kunci, Anda harus mengonfigurasi kebijakan kunci di konsol KMS dan mengonfigurasi kebijakan izin di konsol RAM. Untuk informasi lebih lanjut, lihat Gunakan RAM untuk mengelola akses ke sumber daya KMS, Berikan izin kepada Pengguna RAM, dan Berikan izin kepada Peran RAM.

    Prasyarat

    Kunci yang dilindungi perangkat lunak atau kunci yang dilindungi perangkat keras telah dibuat di instance KMS. Untuk informasi lebih lanjut, lihat Buat kunci.

    Mengonfigurasi kebijakan kunci di konsol KMS

    1. Masuk ke konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi sebelah kiri, pilih Resource > Keys.

    2. Pada tab Customer Master Keys, temukan kunci yang ingin Anda konfigurasikan kebijakannya. Klik ID kunci atau klik Details di kolom Actions yang sesuai dengan kunci tersebut.

    3. Pada tab Key Policy halaman detail, klik Configure Key Policy. Di panel Key Policy, konfigurasikan kebijakan. Lalu, klik OK.

      Di panel Key Policy, Anda dapat menetapkan Administrator, Pengguna, dan Pengguna Lintas Akun untuk kunci.

      • Seorang administrator dapat mengelola kunci tetapi tidak dapat menggunakan kunci untuk melakukan operasi kriptografi. Anda dapat memilih Pengguna RAM dan Peran RAM di akun Alibaba Cloud saat ini sebagai administrator kunci.

        Tetapkan administrator kunci

        Dalam contoh berikut, Pengguna RAM key_ramuser1 dan Peran RAM key_ramrole1 diizinkan untuk mengelola kunci sebagai administrator.

                {
            "Action": [
                "kms:List*",
                "kms:Describe*",
                "kms:Create*",
                "kms:Enable*",
                "kms:Disable*",
                "kms:Get*",
                "kms:Set*",
                "kms:Update*",
                "kms:Delete*",
                "kms:Cancel*",
                "kms:TagResource",
                "kms:UntagResource",
                "kms:ImportKeyMaterial",
                "kms:ScheduleKeyDeletion"
            ],
            "Effect": "Allow",
            "Principal": {
                "RAM": [
                    "acs:ram::119285303511****:user/key_ramuser1",
                    "acs:ram::119285303511****:role/key_ramrole1"
                ]
            },
            "Resource": [
                "*"
            ]
        }

      • Seorang pengguna hanya dapat menggunakan kunci untuk melakukan operasi kriptografi. Anda dapat memilih Pengguna RAM dan Peran RAM di akun Alibaba Cloud saat ini sebagai pengguna kunci.

        Tetapkan pengguna kunci

        Dalam contoh berikut, Pengguna RAM key_ramuser2 dan Peran RAM key_ramrole2 diizinkan untuk menggunakan kunci untuk melakukan operasi kriptografi.

                {
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:GenerateAndExportDataKey",
                "kms:AsymmetricEncrypt",
                "kms:AsymmetricDecrypt",
                "kms:DescribeKey",
                "kms:DescribeKeyVersion",
                "kms:ListKeyVersions",
                "kms:ListAliasesByKeyId",
                "kms:TagResource"
            ],
            "Effect": "Allow",
            "Principal": {
                "RAM": [
                    "acs:ram::119285303511****:user/key_ramuser2",
                    "acs:ram::119285303511****:role/key_ramrole2"
                ]
            },
            "Resource": [
                "*"
            ]
        }

      • Pengguna lintas akun dapat menggunakan kunci untuk melakukan operasi kriptografi. Pengguna lintas akun bisa menjadi Pengguna RAM atau Peran RAM dari akun Alibaba Cloud lain.

        Penting

        Jika Anda memberikan izin kepada Pengguna RAM atau Peran RAM dari akun Alibaba Cloud lain untuk menggunakan kunci, Access Management Quota dari instance KMS dikonsumsi berdasarkan jumlah akun Alibaba Cloud. Jika Anda membatalkan otorisasi, tunggu sekitar 5 menit lalu periksa kuota. Kuota yang dikonsumsi akan dikembalikan.

        • Pengguna RAM: Nama Pengguna RAM dalam format acs:ram::<userId>:user/<ramuser>. Contoh: acs:ram::119285303511****:user/testpolicyuser.

        • Peran RAM: Nama Peran RAM dalam format acs:ram::<userId>:role/<ramrole>. Contoh: acs:ram::119285303511****:role/testpolicyrole.

        Tetapkan pengguna lintas akun

        Dalam contoh berikut, Pengguna RAM key_ramuser3 dari akun Alibaba Cloud lain (190325303126****) diizinkan untuk menggunakan kunci untuk melakukan operasi kriptografi.

                {
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:GenerateAndExportDataKey",
                "kms:AsymmetricEncrypt",
                "kms:AsymmetricDecrypt",
                "kms:DescribeKey",
                "kms:DescribeKeyVersion",
                "kms:ListKeyVersions",
                "kms:ListAliasesByKeyId",
                "kms:TagResource"
            ],
            "Effect": "Allow",
            "Principal": {
                "RAM": [
                    "acs:ram::190325303126****:user/key_ramuser3"
                ]
            },
            "Resource": [
                "*"
            ]
        }