Kebijakan Rahasia (Secret Policy) menetapkan administrator dan pengguna untuk suatu rahasia dengan memberikan izin kepada Pengguna Resource Access Management (RAM) dan Peran RAM. Topik ini menjelaskan cara mengonfigurasi Kebijakan Rahasia.
Konfigurasikan kebijakan rahasia di konsol KMS
-
Masuk ke Konsol Key Management Service. Pilih Wilayah dari bilah menu atas. Di panel navigasi sebelah kiri, klik .
Pada tab Secrets, temukan rahasia yang dituju, lalu klik ID rahasia tersebut atau Details di kolom Actions.
Di area Secret Policy di bagian bawah halaman detail, klik Configure Secret Policy, lengkapi konfigurasi, lalu klik OK.
Visual Editor: Dalam mode ini, Principal (Pengguna RAM atau Peran RAM) menggunakan izin kebijakan default (Action).
Administrator: Melakukan operasi manajemen pada rahasia. Aksi Get Secret Value tidak didukung. Anda dapat memilih Pengguna RAM dan Peran RAM di bawah Akun Alibaba Cloud saat ini.
User: Hanya mendukung aksi Get Secret Value. Anda dapat memilih Pengguna RAM dan Peran RAM yang termasuk dalam akun primary saat ini.
Cross-account User:
PentingJika Anda memberikan izin kepada Pengguna RAM atau Peran RAM yang termasuk dalam Akun Alibaba Cloud lain, hal ini akan mengonsumsi kuota Access Management instans KMS Anda. Kuota yang dikonsumsi dihitung berdasarkan jumlah Akun Alibaba Cloud. Setelah Anda mencabut izin tersebut, KMS akan melepaskan kuota dalam waktu sekitar 5 menit.
Anda juga harus memberikan izin yang sesuai kepada pengguna atau peran tersebut di Konsol RAM agar mereka dapat menggunakan rahasia tersebut. Untuk informasi selengkapnya, lihat Kebijakan izin kustom untuk KMS, Berikan izin kepada Pengguna RAM, dan Berikan izin kepada Peran RAM.
Dapat berupa Pengguna RAM atau Peran RAM yang termasuk dalam Akun Alibaba Cloud lain. Mereka dapat memanggil operasi
GetSecretValue, serta melihat daftar dan deskripsi rahasia.Klik Add ARN of Cross-account User dan masukkan ARN principal tersebut. Anda dapat masuk ke Konsol RAM untuk memperoleh ARN dari halaman detail pengguna atau peran tersebut.
Pengguna RAM: Formatnya adalah
acs:ram::<anotherAccountUserId>:user/<ramuser>, contohnyaacs:ram::119285303511****:user/testpolicyuser.Peran RAM: Formatnya adalah
acs:ram::<ID of another Alibaba Cloud account>:role/<ramrole>, contohnyaacs:ram::119285303511****:role/testpolicyrole.
Syntax Editor: Anda dapat langsung memodifikasi atau menambahkan kebijakan izin di editor sintaksis. Berikut ini contoh konfigurasinya.
Skenario: Contoh ini menunjukkan cara mengonfigurasi Kebijakan Rahasia untuk rahasia yang dimiliki oleh Akun Alibaba Cloud 119285303511****.
Memberikan akses penuh kepada Akun Alibaba Cloud saat ini (119285303511****) terhadap rahasia tersebut, termasuk izin untuk manajemen dan penggunaan. Kami menyarankan agar Anda tidak mengubah pernyataan ini.
CatatanSecara default, pemilik rahasia memiliki semua izin. Aturan ini tidak dapat diubah.
Mengizinkan Pengguna RAM
secret_ramuser1yang termasuk dalam Akun Alibaba Cloud saat ini (119285303511****) untuk mengelola rahasia tersebut.Mengizinkan Pengguna RAM
secret_ramuser2dari Akun Alibaba Cloud saat ini (119285303511****) dan Pengguna RAMsecret_ramuser3dari Akun Alibaba Cloud lain (190325303126****) untuk menggunakan rahasia tersebut.
Contoh kebijakan:
{ "Statement": [ { "Action": [ "kms:*" ], "Effect": "Allow", "Principal": { "RAM": [ "acs:ram::119285303511****:*" ] }, "Resource": [ "*" ], "Sid": "kms default secret policy" }, { "Action": [ "kms:List*", "kms:Describe*", "kms:PutSecretValue", "kms:Update*", "kms:DeleteSecret", "kms:RestoreSecret", "kms:RotateSecret", "kms:TagResource", "kms:UntagResource" ], "Effect": "Allow", "Principal": { "RAM": [ "acs:ram::119285303511****:user/secret_ramuser1" ] }, "Resource": [ "*" ] }, { "Action": [ "kms:List*", "kms:Describe*", "kms:GetSecretValue" ], "Effect": "Allow", "Principal": { "RAM": [ "acs:ram::119285303511****:user/secret_ramuser2", "acs:ram::190325303126****:user/secret_ramuser3" ] }, "Resource": [ "*" ] } ], "Version": "1" }
Batasan
Kebijakan Rahasia hanya dapat dikonfigurasi untuk rahasia dalam instans Key Management Service (KMS).
Konten kebijakan rahasia tidak boleh melebihi panjang 32.768 byte dan harus dalam format JSON.
Kebijakan Rahasia dapat mencakup operasi-operasi berikut:
PeringatanJika Anda menentukan operasi yang tidak ada dalam daftar ini, operasi tersebut tidak akan berlaku.
"Action": [ "kms:List*", "kms:Describe*", "kms:PutSecretValue", "kms:Update*", "kms:DeleteSecret", "kms:RestoreSecret", "kms:RotateSecret", "kms:TagResource", "kms:UntagResource" "kms:GetSecretValue" ]Otorisasi cross-account: Untuk memberikan izin kepada Pengguna RAM atau Peran RAM dari Akun Alibaba Cloud lain agar dapat menggunakan rahasia KMS di akun Anda, Anda harus mengonfigurasi izin di kedua akun:
Di konsol KMS, atur kebijakan rahasia untuk memberikan izin kepada akun target. Anda harus menambahkan kebijakan rahasia dengan principal berupa Cross-account User.
Pemilik akun target harus memberikan izin yang sesuai kepada Pengguna RAM atau Peran RAM tersebut di Konsol RAM.
Izin kebijakan default (Actions)
Administrator
Memberikan izin kepada principal untuk mengelola rahasia tetapi tidak untuk mengambil nilainya.
"Action": [
"kms:List*",
"kms:Describe*",
"kms:PutSecretValue",
"kms:Update*",
"kms:DeleteSecret",
"kms:RestoreSecret",
"kms:RotateSecret",
"kms:TagResource",
"kms:UntagResource"
]User atau cross-account user
Memberikan izin kepada principal untuk memanggil operasi GetSecretValue, serta melihat daftar dan deskripsi rahasia.
"Action": [
"kms:List*",
"kms:Describe*",
"kms:GetSecretValue"
]