全部产品
Search

搜索本产品

    Key Management Service:Mengonfigurasi kebijakan rahasia

    文档中心

    Key Management Service:Mengonfigurasi kebijakan rahasia

    更新时间:Jun 28, 2025

    Anda dapat menambahkan atau menghapus Pengguna Manajemen Akses Sumber Daya (RAM) dan Peran RAM dari kebijakan rahasia untuk menetapkan administrator dan pengguna rahasia. Topik ini menjelaskan cara mengonfigurasi kebijakan rahasia.

    Peringatan

    • Anda hanya dapat mengonfigurasi kebijakan rahasia untuk rahasia dalam instance Key Management Service (KMS). Anda dapat mengonfigurasi kebijakan rahasia saat membuat rahasia atau setelah rahasia dibuat. Untuk informasi tentang cara mengonfigurasi kebijakan rahasia saat membuat rahasia, lihat Mengelola dan menggunakan rahasia generik. Topik ini menjelaskan cara mengonfigurasi kebijakan rahasia setelah rahasia dibuat.

    • Isi kebijakan rahasia tidak boleh melebihi 32.768 byte panjangnya dan harus dalam format JSON.

    • Saat mengonfigurasi kebijakan rahasia di konsol KMS, Anda dapat menggunakan kebijakan default atau mengonfigurasi kebijakan kustom. Jika Anda mengonfigurasi kebijakan kustom, Anda dapat menetapkan Pengguna RAM atau Peran sebagai administrator dan pengguna rahasia, serta menetapkan pengguna lintas akun. Jika ingin mengonfigurasi kebijakan rahasia yang lebih rinci, Anda dapat memanggil operasi API.

      Daftar berikut menggambarkan operasi yang dapat dikonfigurasi dalam kebijakan rahasia. Jika Anda mengonfigurasi operasi yang tidak ada dalam daftar, pengaturan tersebut tidak akan berlaku.

      "Action": [
                "kms:List*",
                "kms:Describe*",
                "kms:PutSecretValue",
                "kms:Update*",
                "kms:DeleteSecret",
                "kms:RestoreSecret",
                "kms:RotateSecret",
                "kms:TagResource",
                "kms:UntagResource"
                "kms:GetSecretValue"
            ]

    • Jika Anda ingin mengizinkan Pengguna RAM atau Peran RAM di akun Alibaba Cloud lain untuk menggunakan rahasia, Anda harus mengonfigurasi kebijakan rahasia di konsol KMS dan mengonfigurasi kebijakan izin di konsol RAM. Untuk informasi lebih lanjut, lihat Gunakan RAM untuk mengelola akses ke sumber daya KMS, Memberikan izin kepada Pengguna RAM, dan Memberikan izin kepada Peran RAM.

    Mengonfigurasi kebijakan rahasia di konsol KMS

    1. Masuk ke konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi di sebelah kiri, pilih Resource > Secrets.

    2. Di halaman Secrets, temukan rahasia yang ingin Anda konfigurasikan kebijakannya, klik nama rahasia atau klik Details di kolom Actions yang sesuai dengan rahasia.

    3. Di tab Secret Policy pada halaman detail, klik Configure Secret Policy. Di panel Secret Policy, konfigurasikan kebijakan. Lalu, klik OK.

      Di panel Secret Policy, Anda dapat menetapkan Administrator, Pengguna, dan Pengguna Lintas Akun untuk rahasia.

      • Seorang administrator dapat mengelola rahasia tetapi tidak dapat mengambil nilai rahasia. Anda dapat memilih Pengguna RAM dan Peran RAM di akun Alibaba Cloud saat ini sebagai administrator rahasia.

        Tetapkan administrator rahasia

        Dalam contoh berikut, Pengguna RAM key_ramuser1 dan Peran RAM key_ramrole1 diizinkan untuk mengelola rahasia sebagai administrator.

                {
            "Action": [
                "kms:List*",
                "kms:Describe*",
                "kms:PutSecretValue",
                "kms:Update*",
                "kms:DeleteSecret",
                "kms:RestoreSecret",
                "kms:RotateSecret",
                "kms:TagResource",
                "kms:UntagResource"
            ],
            "Effect": "Allow",
            "Principal": {
                "RAM": [
                    "acs:ram::119285303511****:user/key_ramuser1",
                    "acs:ram::119285303511****:role/key_ramrole1"
                ]
            },
            "Resource": [
                "*"
            ]
        }

      • Seorang pengguna hanya dapat mengambil nilai rahasia. Anda dapat memilih Pengguna RAM dan Peran RAM di akun Alibaba Cloud saat ini sebagai pengguna rahasia.

        Tetapkan pengguna rahasia

        Dalam contoh berikut, Pengguna RAM key_ramuser2 dan Peran RAM key_ramrole2 diizinkan untuk mengambil nilai rahasia.

                {
            "Action": [
                "kms:List*",
                "kms:Describe*",
                "kms:GetSecretValue"
            ],
            "Effect": "Allow",
            "Principal": {
                "RAM": [
                    "acs:ram::119285303511****:user/key_ramuser2",
                    "acs:ram::119285303511****:role/key_ramrole2"
                ]
            },
            "Resource": [
                "*"
            ]
        }

      • Pengguna lintas akun dapat mengambil nilai rahasia. Pengguna lintas akun bisa menjadi Pengguna RAM atau Peran RAM dari akun Alibaba Cloud lain.

        • Pengguna RAM: Nama Pengguna RAM dalam format acs:ram::<userId>:user/<ramuser>. Contoh: acs:ram::119285303511****:user/testpolicyuser.

        • Peran RAM: Nama Peran RAM dalam format acs:ram::<userId>:role/<ramrole>. Contoh: acs:ram::119285303511****:role/testpolicyrole.

        Tetapkan pengguna lintas akun

        Dalam contoh berikut, Pengguna RAM key_ramuser3 dari akun Alibaba Cloud lain (190325303126****) diizinkan untuk mengambil nilai rahasia.

                {
            "Action": [
                "kms:List*",
                "kms:Describe*",
                "kms:GetSecretValue"
            ],
            "Effect": "Allow",
            "Principal": {
                "RAM": [
                    "acs:ram::190325303126****:user/key_ramuser3"
                ]
            },
            "Resource": [
                "*"
            ]
        }