Anda dapat menambahkan atau menghapus RAM user dan RAM role dalam kebijakan rahasia untuk mengonfigurasi administrator dan pengguna rahasia tersebut. Topik ini menjelaskan cara mengonfigurasi kebijakan rahasia.
Konfigurasi di konsol
Masuk ke konsol Key Management Service. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih .
-
Di tab Secrets, temukan rahasia yang dituju, lalu klik ID rahasia tersebut atau Details pada kolom Actions.
-
Di area Secret Policy di bagian bawah halaman detail, klik Configure Secret Policy, lengkapi konfigurasi, lalu klik OK.
-
Visual Editor: Dalam mode ini, pilih Principal (RAM user atau RAM role), menggunakan Default policy permissions (Action).
-
Administrator: Dapat melakukan operasi manajemen pada rahasia tetapi tidak dapat mengambil nilai rahasianya. Hanya RAM user dan RAM role dalam akun saat ini yang dapat dipilih.
-
User: Hanya dapat mengambil nilai rahasianya. Hanya RAM user dan RAM role dalam akun saat ini yang dapat dipilih.
-
Cross-account User:
Penting-
Mengotorisasi RAM user atau role dari akun Alibaba Cloud lainnya akan mengonsumsi Access Management Quota dari instans KMS. Kuota ini dihitung berdasarkan jumlah akun Alibaba Cloud. Setelah Anda mencabut otorisasi, kuota akan dikembalikan dalam waktu sekitar 5 menit.
-
Anda juga harus mengonfigurasi izin penggunaan rahasia yang sesuai untuk user atau role tersebut di konsol RAM. Untuk informasi selengkapnya, lihat Custom policies, Manage RAM user permissions, dan Manage permissions for a RAM role.
-
Dapat berupa RAM user atau RAM role dari akun Alibaba Cloud lainnya. Hanya mendukung pengambilan nilai rahasia.
-
Klik Add ARN of Cross-account User dan masukkan ARN principal tersebut. Anda dapat menemukan ARN dengan masuk ke konsol RAM dan melihat halaman detail user atau role.
-
RAM user: Formatnya adalah
acs:ram::<userId akun Alibaba Cloud lain>:user/<ramuser>, contohnyaacs:ram::119285303511****:user/testpolicyuser. -
RAM role: Formatnya adalah
acs:ram::<userId akun Alibaba Cloud lain>:role/<ramrole>, contohnyaacs:ram::119285303511****:role/testpolicyrole.
-
-
-
-
Syntax Editor: Anda dapat langsung memodifikasi atau menambahkan kebijakan izin di editor sintaksis. Berikut ini contoh konfigurasinya.
-
Skenario: Mengonfigurasi kebijakan rahasia untuk rahasia di bawah akun Alibaba Cloud (119285303511****).
-
Berikan akses penuh kepada akun Alibaba Cloud saat ini (119285303511****) terhadap rahasia tersebut, termasuk manajemen dan penggunaan. Jangan ubah pernyataan ini.
CatatanSecara default, pemilik rahasia memiliki semua izin. Aturan ini tidak dapat diubah.
-
Berikan izin kepada RAM user (secret_ramuser1) di bawah akun Alibaba Cloud saat ini (119285303511****) untuk mengelola rahasia tersebut.
-
Berikan izin kepada RAM user (secret_ramuser2) di bawah akun Alibaba Cloud saat ini (119285303511****) dan RAM user (secret_ramuser3) di bawah akun Alibaba Cloud lain (190325303126****) untuk menggunakan rahasia tersebut.
-
-
Contoh sintaksis:
{ "Statement": [ { "Action": [ "kms:*" ], "Effect": "Allow", "Principal": { "RAM": [ "acs:ram::119285303511****:*" ] }, "Resource": [ "*" ], "Sid": "kms default secret policy" }, { "Action": [ "kms:List*", "kms:Describe*", "kms:PutSecretValue", "kms:Update*", "kms:DeleteSecret", "kms:RestoreSecret", "kms:RotateSecret", "kms:TagResource", "kms:UntagResource" ], "Effect": "Allow", "Principal": { "RAM": [ "acs:ram::119285303511****:user/secret_ramuser1" ] }, "Resource": [ "*" ] }, { "Action": [ "kms:List*", "kms:Describe*", "kms:GetSecretValue" ], "Effect": "Allow", "Principal": { "RAM": [ "acs:ram::119285303511****:user/secret_ramuser2", "acs:ram::190325303126****:user/secret_ramuser3" ] }, "Resource": [ "*" ] } ], "Version": "1" }CatatanCatatan: Bidang
Resourcepada contoh di atas diatur ke["*"], yang menargetkan rahasia saat ini. Anda juga dapat mengaturResourceke ARN rahasia tertentu untuk membatasi cakupan kebijakan. Untuk format ARN rahasia, lihat Overview of secret policies.
-
-
Batasan
-
Kebijakan rahasia hanya dapat dikonfigurasi untuk rahasia dalam instans KMS.
Kebijakan rahasia harus dalam format JSON dan ukurannya tidak boleh melebihi 32.768 byte.
-
Operasi berikut dapat ditentukan dalam kebijakan rahasia:
PeringatanJika Anda menentukan operasi yang tidak ada dalam daftar ini, operasi tersebut tidak akan berlaku.
"Action": [ "kms:List*", "kms:Describe*", "kms:PutSecretValue", "kms:Update*", "kms:DeleteSecret", "kms:RestoreSecret", "kms:RotateSecret", "kms:TagResource", "kms:UntagResource" "kms:GetSecretValue" ] -
Otorisasi rahasia lintas akun: Untuk memberikan otorisasi kepada RAM user atau RAM role dari akun Alibaba Cloud lain agar dapat menggunakan rahasia di akun Anda, Anda harus mengonfigurasi otorisasi ganda:
-
Konfigurasikan kebijakan rahasia di konsol KMS untuk memberikan akses kepada akun target. Tambahkan principal Cross-account User dalam kebijakan rahasia.
-
Akun target harus mengonfigurasi izin penggunaan rahasia yang sesuai untuk user atau rolenya di konsol RAM.
-
Default policy permissions (Action)
Administrator
Dapat melakukan operasi manajemen pada rahasia tetapi tidak dapat mengambil nilai rahasianya.
"Action": [
"kms:List*",
"kms:Describe*",
"kms:PutSecretValue",
"kms:Update*",
"kms:DeleteSecret",
"kms:RestoreSecret",
"kms:RotateSecret",
"kms:TagResource",
"kms:UntagResource"
]User / Cross-account user
Hanya dapat mengambil nilai rahasianya.
"Action": [
"kms:List*",
"kms:Describe*",
"kms:GetSecretValue"
]