全部产品
Search

搜索本产品

    Key Management Service:Ikhtisar

    文档中心

    Key Management Service:Ikhtisar

    更新时间:Jul 06, 2025

    Kebijakan utama adalah kebijakan berbasis sumber daya untuk kunci Key Management Service (KMS). Kebijakan ini digunakan untuk mengontrol akses ke kunci KMS dan menentukan akun Alibaba Cloud, Pengguna Manajemen Akses Sumber Daya (RAM), serta Peran RAM yang memiliki izin untuk mengelola atau menggunakan kunci KMS. Setiap kunci KMS harus memiliki tepat satu kebijakan utama. Topik ini menjelaskan detail dari kebijakan utama.

    Hubungan antara kebijakan utama dan kebijakan RAM

    Kebijakan utama memungkinkan Anda menentukan pengguna RAM dan peran RAM dalam akun Alibaba Cloud saat ini yang memiliki kunci sebagai administrator atau pengguna kunci. Pengguna RAM dan peran RAM dalam akun Alibaba Cloud lainnya hanya dapat ditentukan sebagai pengguna.

    Anda juga dapat mengonfigurasi kebijakan berbasis identitas di RAM. Kebijakan tersebut menentukan akun Alibaba Cloud, pengguna RAM, dan peran RAM yang dapat mengelola atau menggunakan kunci tertentu. Untuk informasi lebih lanjut, lihat Berikan izin kepada pengguna RAM, Berikan izin kepada peran RAM, dan Kebijakan kustom.

    Saat akun Alibaba Cloud, pengguna RAM, atau peran RAM mengirimkan permintaan untuk mengakses sumber daya KMS melalui CLI Alibaba Cloud, di Konsol Manajemen Alibaba Cloud, atau dengan memanggil operasi API, sistem menentukan apakah akan mengizinkan permintaan tersebut berdasarkan proses evaluasi berbasis kebijakan. Gambar berikut menunjukkan proses tersebut.

    Sistem menentukan hasil akhir berdasarkan prinsip-prinsip berikut:

    • Jika Allow dikembalikan tetapi Explicit Deny tidak dikembalikan di Hasil A atau Hasil B, pengguna RAM atau peran RAM dari akun Alibaba Cloud saat ini dapat mengelola atau menggunakan kunci.

      Catatan

      • Akun Alibaba Cloud saat ini dari sebuah kunci adalah akun Alibaba Cloud yang digunakan untuk membuat kunci. Anda dapat melihat pembuat kunci dengan salah satu metode berikut:

        • Masuk ke Konsol KMS. Pada halaman Keys, buka halaman detail kunci dan lihat nilai dari Created By.

        • Panggil operasi DescribeKey dan lihat nilai dari Creator dalam respons.

      • Untuk informasi lebih lanjut tentang Explicit Deny dan Implicit Deny, lihat Proses evaluasi kebijakan.

    • Jika Allow dikembalikan di kedua Hasil A dan Hasil B, pengguna RAM atau peran RAM dari akun Alibaba Cloud lainnya dapat menggunakan kunci.

    Catat informasi berikut:

    • Jika Anda ingin mengizinkan pengguna RAM atau peran RAM dari akun Alibaba Cloud saat ini untuk mengelola atau menggunakan kunci, Anda hanya perlu mengonfigurasi kebijakan utama di KMS atau kebijakan di RAM untuk mengizinkan pengguna RAM atau peran RAM mengelola atau menggunakan kunci.

    • Jika Anda ingin mengizinkan pengguna RAM dan peran RAM dari akun Alibaba Cloud lainnya untuk menggunakan kunci, Anda harus mengonfigurasi baik kebijakan utama di KMS maupun kebijakan di RAM untuk mengizinkan pengguna RAM atau peran RAM menggunakan kunci.

    Catatan penggunaan

    • Hanya kunci dalam instance KMS yang mendukung kebijakan utama. Anda dapat mengonfigurasi kebijakan utama saat membuat kunci atau memodifikasi kebijakan utama setelah kunci dibuat. Untuk informasi lebih lanjut, lihat Kelola kunci dan Konfigurasikan kebijakan utama.

    • Jika Anda memberikan izin kepada pengguna RAM atau peran RAM dari akun Alibaba Cloud lainnya untuk mengakses instance KMS, Access Management Quota dari instance KMS akan terpakai. Kuota yang terpakai dihitung berdasarkan jumlah akun Alibaba Cloud. Jika Anda mencabut izin dan tidak ada sumber daya dari instance KMS yang dibagikan ke akun Alibaba Cloud lainnya, tunggu sekitar 5 menit lalu periksa kuota. Kuota yang terpakai akan dipulihkan.

    • Kebijakan utama hanya berlaku jika kunci diakses menggunakan titik akhir KMS. Jika Anda menggunakan titik akhir instance KMS untuk mengakses kunci, kebijakan izin yang dikonfigurasi di titik akses aplikasi (AAP) yang terkait dengan instance KMS berlaku.

    • Isi dari kebijakan utama tidak boleh melebihi 32.768 byte panjangnya dan harus dalam format JSON.

    Deskripsi kebijakan utama

    Kebijakan utama berisi konten berikut:

    • Versi: versi kebijakan utama. Atur nilainya menjadi 1.

    • Pernyataan: pernyataan kebijakan utama. Setiap kebijakan utama berisi satu atau lebih pernyataan. Setiap pernyataan berisi parameter berikut.

      • Sid

        Opsional. Pengenal pernyataan dari pernyataan kustom. Nilainya dapat mencapai 128 karakter panjangnya dan dapat berisi huruf, angka, dan karakter khusus berikut: _ / + = . @ -

      • Effect

        Wajib. Menentukan apakah izin dalam pernyataan kebijakan diizinkan atau ditolak. Nilai valid: Allow dan Deny.

      • Principal

        Wajib. Prinsip otorisasi dari kebijakan. Prinsip berikut didukung:

        • Akun Alibaba Cloud saat ini.

        • Pengguna RAM dan peran RAM dari akun Alibaba Cloud saat ini.

        • Pengguna RAM dan peran RAM dari akun Alibaba Cloud lainnya.

          Penting

          Jika Anda memberikan izin kepada pengguna RAM atau peran RAM dari akun Alibaba Cloud lainnya untuk menggunakan kunci, Anda harus menggunakan akun Alibaba Cloud dari pengguna RAM atau peran RAM untuk memberikan izin kepada pengguna RAM atau peran RAM untuk menggunakan kunci di RAM.

          Untuk informasi lebih lanjut, lihat Kebijakan kustom, Berikan izin kepada pengguna RAM, dan Berikan izin kepada peran RAM.

      • Action

        Wajib. Operasi API yang ingin Anda izinkan atau tolak. Nilainya harus dimulai dengan kms:. Berikut ini menjelaskan ruang lingkup izin. Jika Anda menentukan izin di luar ruang lingkup, izin tersebut tidak berlaku.

        Izin

         "Action": [
                "kms:List*",
                "kms:Describe*",
                "kms:Create*",
                "kms:Enable*",
                "kms:Disable*",
                "kms:Get*",
                "kms:Set*",
                "kms:Update*",
                "kms:Delete*",
                "kms:Cancel*",
                "kms:TagResource",
                "kms:UntagResource",
                "kms:ImportKeyMaterial",
                "kms:ScheduleKeyDeletion"
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:GenerateAndExportDataKey",
                "kms:AsymmetricEncrypt",
                "kms:AsymmetricDecrypt",
                "kms:DescribeKey",
                "kms:DescribeKeyVersion",
                "kms:ListKeyVersions",
                "kms:ListAliasesByKeyId",
                "kms:TagResource"
            ]

      • Resource

        Wajib. Atur nilainya menjadi tanda bintang (*), yang menentukan kunci saat ini.

      • Condition

        Opsional. Tentukan kondisi yang diperlukan agar kebijakan berlaku. Elemen Condition dianggap sebagai blok kondisi, yang berisi satu atau lebih kondisi. Setiap kondisi terdiri dari operator kondisi, kunci kondisi, dan nilai kondisi. Untuk informasi lebih lanjut, lihat Elemen dasar kebijakan.

        Format: "Condition": {"condition operator": {"condition key": "condition value"}}.

        • condition operator: Untuk informasi lebih lanjut, lihat Elemen dasar kebijakan.

        • condition key dan condition value: kunci dan nilai kondisi yang didukung oleh kebijakan utama. Untuk informasi lebih lanjut, lihat Kunci kondisi.

    Contoh kebijakan utama

    Konfigurasikan kebijakan utama untuk kunci dalam akun Alibaba Cloud 119285303511****. Contoh:

    • Berikan izin penuh kepada akun Alibaba Cloud saat ini untuk mengelola dan menggunakan kunci.

    • Berikan izin kepada pengguna RAM bernama key_ramuser1 dalam akun Alibaba Cloud saat ini untuk mengelola kunci.

    • Berikan izin kepada pengguna RAM bernama key_ramuser2 dalam akun Alibaba Cloud saat ini dan pengguna RAM bernama key_ramuser3 dalam akun Alibaba Cloud 190325303126**** untuk menggunakan kunci.

    {
    "Statement": [
        {
            "Action": [
                "kms:*"
            ],
            "Effect": "Allow",
            "Principal": {
                "RAM": [
                    "acs:ram::119285303511****:*"
                ]
            },
            "Resource": [
                "*"
            ],
            "Sid": "kms default key policy"
        },
        {
            "Action": [
                "kms:List*",
                "kms:Describe*",
                "kms:Create*",
                "kms:Enable*",
                "kms:Disable*",
                "kms:Get*",
                "kms:Set*",
                "kms:Update*",
                "kms:Delete*",
                "kms:Cancel*",
                "kms:TagResource",
                "kms:UntagResource",
                "kms:ImportKeyMaterial",
                "kms:ScheduleKeyDeletion"
            ],
            "Effect": "Allow",
            "Principal": {
                "RAM": [
                    "acs:ram::119285303511****:user/key_ramuser1"
                ]
            },
            "Resource": [
                "*"
            ]
        },
        {
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:GenerateAndExportDataKey",
                "kms:AsymmetricEncrypt",
                "kms:AsymmetricDecrypt",
                "kms:DescribeKey",
                "kms:DescribeKeyVersion",
                "kms:ListKeyVersions",
                "kms:ListAliasesByKeyId",
                "kms:TagResource"
            ],
            "Effect": "Allow",
            "Principal": {
                "RAM": [
                    "acs:ram::119285303511****:user/key_ramuser2",
                    "acs:ram::190325303126****:user/key_ramuser3"
                ]
            },
            "Resource": [
                "*"
            ]
        }
    ],
    "Version": "1"
}