Tetapkan administrator kunci dan pengguna kunci dengan menambahkan RAM user atau RAM role ke dalam kebijakan kunci.
Konfigurasikan kebijakan kunci di konsol KMS
Masuk ke konsol Key Management Service. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih .
-
Di tab Customer Master Keys, temukan kunci yang ingin Anda konfigurasikan. Klik ID kunci atau Details di kolom Actions.
-
Di halaman detail, gulir ke bagian Key Policy dan klik Configure Key Policy. Konfigurasikan kebijakan kunci, lalu klik OK.
-
Visual Editor: Tetapkan Principal (RAM user atau RAM role) ke peran yang telah ditentukan dengan izin default (Actions).
-
Administrator: Principal yang ditetapkan ke peran ini dapat mengelola kunci tetapi tidak dapat melakukan operasi kriptografi. Tetapkan peran ini ke RAM user dan RAM role dalam Akun Alibaba Cloud Anda.
-
User: Principal yang ditetapkan ke peran ini hanya dapat menggunakan kunci untuk operasi kriptografi. Tetapkan peran ini ke RAM user dan RAM role dalam Akun Alibaba Cloud Anda.
-
Cross-account User:
Penting-
Pemberian izin kepada RAM user atau RAM role dari akun Alibaba Cloud lain akan mengonsumsi Access Management Quota instans KMS Anda. Konsumsi kuota didasarkan pada jumlah akun Alibaba Cloud unik yang Anda beri akses. Jika Anda mencabut otorisasi tersebut, kuota akan dilepas setelah sekitar lima menit.
-
Untuk mengizinkan principal lintas akun menggunakan kunci, Anda juga harus memberikan izin yang diperlukan kepada RAM user atau RAM role terkait di konsol RAM akun target. Untuk informasi selengkapnya, lihat Custom Permission Policies for Key Management Service, Manage permissions for a RAM User, dan Manage permissions for a RAM Role.
-
Ini dapat berupa RAM user atau RAM role dari akun Alibaba Cloud lain. Pengguna lintas akun hanya dapat menggunakan kunci untuk operasi kriptografi.
-
Klik Add ARN of Cross-account User dan masukkan ARN principal tersebut. Anda dapat menemukan ARN di halaman detail pengguna atau peran di konsol RAM.
-
RAM user: Formatnya adalah
acs:ram::<ID Akun Alibaba Cloud Lain>:user/<ramuser>. Contoh:acs:ram::119285303511****:user/testpolicyuser. -
RAM role: Formatnya adalah
acs:ram::<ID Akun Alibaba Cloud Lain>:role/<ramrole>. Contoh:acs:ram::119285303511****:role/testpolicyrole.
-
-
-
-
Syntax Editor: Ubah atau tambahkan langsung pernyataan izin di editor kebijakan. Contoh berikut menunjukkan konfigurasi sampel.
-
Skenario: Contoh ini menunjukkan kebijakan kunci untuk kunci yang dimiliki oleh akun Alibaba Cloud 119285303511****.
-
Pemilik kunci (akun Alibaba Cloud 119285303511****) memiliki akses penuh untuk mengelola dan menggunakan kunci. Jangan ubah pernyataan default ini.
CatatanPemilik kunci secara default memiliki semua izin. Aturan ini tidak dapat diubah.
-
Pernyataan ini mengizinkan RAM user key_ramuser1 dalam akun yang sama (119285303511****) untuk mengelola kunci.
-
Pernyataan ini mengizinkan RAM user key_ramuser2 dalam akun yang sama (119285303511****) dan RAM user key_ramuser3 dari akun lain (190325303126****) untuk menggunakan kunci.
-
-
Contoh kebijakan:
{ "Statement": [ { "Action": [ "kms:*" ], "Effect": "Allow", "Principal": { "RAM": [ "acs:ram::119285303511****:*" ] }, "Resource": [ "*" ], "Sid": "kms default key policy" }, { "Action": [ "kms:List*", "kms:Describe*", "kms:Create*", "kms:Enable*", "kms:Disable*", "kms:Get*", "kms:Set*", "kms:Update*", "kms:Delete*", "kms:Cancel*", "kms:TagResource", "kms:UntagResource", "kms:ImportKeyMaterial", "kms:ScheduleKeyDeletion" ], "Effect": "Allow", "Principal": { "RAM": [ "acs:ram::119285303511****:user/key_ramuser1" ] }, "Resource": [ "*" ] }, { "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateAndExportDataKey", "kms:AsymmetricEncrypt", "kms:AsymmetricDecrypt", "kms:DescribeKey", "kms:DescribeKeyVersion", "kms:ListKeyVersions", "kms:ListAliasesByKeyId", "kms:TagResource" ], "Effect": "Allow", "Principal": { "RAM": [ "acs:ram::119285303511****:user/key_ramuser2", "acs:ram::190325303126****:user/key_ramuser3" ] }, "Resource": [ "*" ] } ], "Version": "1" }
-
-
Batasan
-
Kebijakan kunci hanya dapat diterapkan pada Customer Master Keys.
Kebijakan kunci harus dalam format JSON dan ukurannya tidak boleh melebihi 32.768 byte.
-
Anda dapat menentukan aksi berikut dalam kebijakan kunci:
PeringatanJika Anda menentukan aksi yang tidak ada dalam daftar ini, izin tersebut tidak akan berlaku.
"Action": [ "kms:List*", "kms:Describe*", "kms:Create*", "kms:Enable*", "kms:Disable*", "kms:Get*", "kms:Set*", "kms:Update*", "kms:Delete*", "kms:Cancel*", "kms:TagResource", "kms:UntagResource", "kms:ImportKeyMaterial", "kms:ScheduleKeyDeletion", "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateAndExportDataKey", "kms:AsymmetricEncrypt", "kms:AsymmetricDecrypt", "kms:DescribeKey", "kms:DescribeKeyVersion", "kms:ListKeyVersions", "kms:ListAliasesByKeyId", "kms:TagResource" ] -
Otorisasi kunci lintas akun: Untuk memberi otorisasi kepada RAM user atau RAM role lintas akun agar dapat menggunakan kunci, Anda harus mengonfigurasi izin di kedua akun:
-
Di konsol KMS, tambahkan pernyataan kebijakan untuk Cross-account User guna memberikan izin penggunaan kepada akun target.
-
Di akun target, konfigurasikan kebijakan izin di konsol RAM untuk memberikan izin kepada RAM user atau RAM role terkait agar dapat menggunakan kunci.
-
Izin default (Actions)
Administrator
Principal yang ditetapkan ke peran ini dapat mengelola kunci tetapi tidak dapat melakukan operasi kriptografi.
"Action": [
"kms:List*",
"kms:Describe*",
"kms:Create*",
"kms:Enable*",
"kms:Disable*",
"kms:Get*",
"kms:Set*",
"kms:Update*",
"kms:Delete*",
"kms:Cancel*",
"kms:TagResource",
"kms:UntagResource",
"kms:ImportKeyMaterial",
"kms:ScheduleKeyDeletion"
]User/cross-account user
Principal yang ditetapkan ke peran ini hanya dapat menggunakan kunci untuk operasi kriptografi.
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:GenerateAndExportDataKey",
"kms:AsymmetricEncrypt",
"kms:AsymmetricDecrypt",
"kms:DescribeKey",
"kms:DescribeKeyVersion",
"kms:ListKeyVersions",
"kms:ListAliasesByKeyId",
"kms:TagResource"
]