Kebijakan kunci adalah kebijakan berbasis resource yang mengontrol akun Alibaba Cloud, pengguna RAM (Resource Access Management), dan peran RAM mana yang dapat mengelola atau menggunakan kunci KMS. Setiap kunci dalam instans KMS harus memiliki tepat satu kebijakan kunci. Topik ini menjelaskan kebijakan kunci secara mendetail.
Hubungan antara kebijakan kunci dan kebijakan RAM
Kebijakan kunci memungkinkan Anda menetapkan pengguna RAM dan peran RAM dalam akun Alibaba Cloud saat ini (akun yang memiliki kunci) sebagai administrator atau pengguna kunci. Anda juga dapat menetapkan pengguna RAM dan peran RAM dari akun Alibaba Cloud lain sebagai pengguna kunci.
Selain mengonfigurasi kebijakan kunci di KMS, Anda dapat mengonfigurasi kebijakan berbasis identitas di RAM untuk menentukan akun Alibaba Cloud, pengguna RAM, atau peran RAM mana yang dapat mengelola atau menggunakan kunci tertentu. Untuk informasi selengkapnya, lihat Manage RAM user permissions, Manage permissions for a RAM role, dan Custom policies.
Ketika akun Alibaba Cloud atau identitas RAM (pengguna RAM atau peran RAM) meminta akses ke resource KMS melalui Konsol Alibaba Cloud, OpenAPI, atau CLI, sistem mengevaluasi kebijakan yang berlaku untuk menentukan apakah permintaan tersebut diizinkan atau ditolak. Bagan alir berikut menunjukkan proses evaluasi tersebut.
Hasil evaluasi mengikuti prinsip-prinsip berikut:
Untuk pengguna RAM atau peran RAM di bawah akun Alibaba Cloud saat ini: akses diberikan jika hasil evaluasi A atau hasil evaluasi B berisi Allow dan tidak ada Explicit Deny.
CatatanAkun Alibaba Cloud saat ini adalah akun yang membuat kunci tersebut. Anda dapat melihat pembuat kunci dengan salah satu metode berikut:
Konsol: Masuk ke Konsol KMS. Pada halaman Keys, buka halaman detail kunci dan lihat bidang Created By.
API: Panggil operasi DescribeKey. Bidang
Creatordalam respons menunjukkan pembuat kunci tersebut.
Untuk informasi lebih lanjut mengenai Explicit Deny dan Implicit Deny, lihat Policy evaluation logic.
Untuk pengguna RAM atau peran RAM di bawah akun Alibaba Cloud yang berbeda: akses hanya diberikan ketika hasil evaluasi A dan hasil evaluasi B keduanya bernilai Allow.
Berdasarkan proses evaluasi tersebut, Anda dapat menentukan konfigurasi yang diperlukan untuk berbagai skenario:
Untuk mengizinkan pengguna RAM atau peran RAM di bawah akun Alibaba Cloud saat ini mengelola atau menggunakan kunci, konfigurasikan kebijakan kunci di KMS atau kebijakan RAM untuk memberikan izin yang diperlukan.
Untuk mengizinkan pengguna RAM atau peran RAM di bawah akun Alibaba Cloud yang berbeda menggunakan kunci, Anda harus mengonfigurasi baik kebijakan kunci di KMS maupun kebijakan RAM untuk memberikan izin.
Catatan penggunaan
Kebijakan kunci hanya berlaku untuk kunci dalam instans KMS. Anda dapat mengonfigurasi kebijakan kunci saat pembuatan kunci atau mengubahnya setelahnya. Untuk informasi selengkapnya, lihat Create a key dan Configure a key policy.
Mengotorisasi pengguna atau peran RAM dari akun Alibaba Cloud lain akan mengonsumsi kuota Accounts in Use dari instans KMS. Kuota ini dihitung berdasarkan jumlah akun Alibaba Cloud. Jika Anda mencabut otorisasi cross-account dan instans tersebut tidak lagi berbagi resource dengan akun tersebut, tunggu sekitar 5 menit hingga kuota dikembalikan.
Kebijakan kunci hanya berlaku untuk kontrol akses saat Anda mengakses kunci melalui titik akhir layanan KMS. Jika Anda mengakses kunci melalui titik akhir instans KMS, akses bergantung pada kebijakan izin yang dikonfigurasi di Application Access Point (AAP).
Kebijakan kunci harus dalam format JSON dan ukurannya tidak boleh melebihi 32.768 byte.
Struktur kebijakan kunci
Kebijakan kunci lengkap berisi elemen-elemen berikut:
Version: Versi kebijakan kunci. Hanya versi 1 yang didukung.
Statement: Kebijakan kunci berisi satu atau beberapa pernyataan. Setiap pernyataan mencakup parameter-parameter berikut:
Sid
Opsional. Pengidentifikasi pernyataan kustom. Pengidentifikasi dapat memiliki panjang hingga 128 karakter dan dapat berisi huruf kapital (A–Z), huruf kecil (a–z), angka (0–9), serta karakter khusus berikut: _ / + = . @ -
Effect
Wajib. Menentukan apakah aksi dalam pernyataan diizinkan atau ditolak. Nilai yang valid:
AllowdanDeny.Principal
Wajib. Identitas yang menjadi sasaran kebijakan. Anda dapat menentukan salah satu dari berikut:
Akun Alibaba Cloud saat ini (akun yang memiliki kunci).
Pengguna RAM atau peran RAM di bawah akun Alibaba Cloud saat ini.
Pengguna RAM atau peran RAM di bawah akun Alibaba Cloud yang berbeda.
PentingSetelah Anda mengotorisasi pengguna atau peran RAM dari akun Alibaba Cloud lain, Anda juga harus menggunakan akun Alibaba Cloud yang mengelola identitas RAM tersebut untuk memberikan izin kepada mereka agar dapat menggunakan kunci di RAM. Jika tidak, identitas RAM tersebut tidak dapat menggunakan kunci tersebut.
Untuk informasi selengkapnya, lihat Custom policies, Manage RAM user permissions, dan Manage permissions for a RAM role.
Action
Wajib. Operasi API yang diizinkan atau ditolak. Nilainya harus diawali dengan "kms:". Hanya operasi-operasi berikut yang valid. Operasi di luar daftar ini tidak akan berlaku.
Resource
Wajib. Resource target yang menjadi sasaran kebijakan. Tetapkan nilainya ke
*atau ARN kunci tersebut. Nilai*menunjukkan kunci KMS saat ini. Anda juga dapat menentukan ARN kunci tertentu untuk mempersempit cakupan kebijakan.Condition
Opsional. Kondisi yang harus dipenuhi agar kebijakan berlaku. Elemen kondisi, juga disebut blok kondisi, terdiri dari satu atau beberapa klausa kondisi. Setiap klausa berisi operator kondisi, kunci kondisi, dan nilai kondisi. Untuk informasi selengkapnya, lihat Permission policy elements.
Formatnya adalah
"Condition": {"condition operator": {"condition key": "condition value"}}.condition operator: Untuk informasi selengkapnya, lihat Condition operator types.condition keydancondition value: Untuk kunci kondisi dan nilai valid yang didukung oleh kebijakan kunci, lihat Policy condition keys.