Detail kebijakan secret - Key Management Service

Kebijakan secret adalah kebijakan berbasis resource untuk secret Key Management Service (KMS). Kebijakan ini digunakan untuk mengontrol akses ke secret KMS serta menentukan akun Alibaba Cloud, pengguna Resource Access Management (RAM), dan peran RAM mana yang memiliki izin untuk mengelola atau menggunakan secret tersebut. Setiap secret KMS harus memiliki tepat satu kebijakan secret. Topik ini menjelaskan detail kebijakan secret.

Hubungan antara kebijakan secret dan kebijakan RAM

Kebijakan secret memungkinkan Anda menentukan pengguna Resource Access Management (RAM) dan peran RAM dalam akun Alibaba Cloud saat ini—tempat secret tersebut berada—sebagai administrator atau pengguna secret tersebut. Pengguna RAM dan peran RAM dari akun Alibaba Cloud lain hanya dapat ditentukan sebagai pengguna.

Anda juga dapat mengonfigurasi kebijakan berbasis identitas di RAM yang menentukan akun Alibaba Cloud, pengguna RAM, dan peran RAM mana yang dapat mengelola atau menggunakan secret tertentu. Untuk informasi selengkapnya, lihat Memberikan izin kepada pengguna RAM, Memberikan izin kepada peran RAM, dan Menggunakan RAM untuk mengelola akses ke resource KMS.

Saat akun Alibaba Cloud, pengguna RAM, atau peran RAM mengirim permintaan untuk mengakses resource KMS melalui Alibaba Cloud CLI, Konsol Manajemen Alibaba Cloud, atau dengan memanggil operasi API, sistem menentukan apakah permintaan tersebut diizinkan berdasarkan proses evaluasi berbasis kebijakan. Gambar berikut menunjukkan proses tersebut.

Sistem menentukan hasil akhir berdasarkan prinsip-prinsip berikut:

Jika Allow dikembalikan tetapi Explicit Deny tidak dikembalikan dalam Hasil A atau Hasil B, pengguna RAM atau peran RAM dari akun Alibaba Cloud saat ini dapat mengelola atau menggunakan secret tersebut.
Catatan
Akun Alibaba Cloud saat ini dari sebuah secret adalah akun Alibaba Cloud yang digunakan untuk membuat secret tersebut. Anda dapat melihat pembuat secret dengan salah satu metode berikut:
- Masuk ke Konsol KMS. Pada halaman Secrets, buka halaman detail secret dan lihat nilai Created By.
- Melalui operasi API: Panggil operasi DescribeSecret. Pembuatnya adalah nilai parameter Creator dalam respons.
Jika Allow dikembalikan dalam kedua Hasil A dan Hasil B, pengguna RAM atau peran RAM dari akun Alibaba Cloud lain dapat menggunakan secret tersebut.

Perhatikan informasi berikut:

Jika Anda ingin mengizinkan pengguna RAM atau peran RAM dari akun Alibaba Cloud saat ini untuk mengelola atau menggunakan secret, cukup konfigurasikan kebijakan secret di KMS atau kebijakan di RAM agar mengizinkan pengguna atau peran tersebut mengelola atau menggunakan secret.
Jika Anda ingin mengizinkan pengguna RAM dan peran RAM dari akun Alibaba Cloud lain untuk menggunakan secret, Anda harus mengonfigurasi baik kebijakan secret di KMS maupun kebijakan di RAM agar mengizinkan pengguna atau peran tersebut menggunakan secret.

Catatan penggunaan

Hanya secret dalam instans KMS yang mendukung kebijakan secret. Anda dapat mengonfigurasi kebijakan secret saat membuat secret atau memodifikasi kebijakan tersebut setelah secret dibuat. Untuk informasi selengkapnya, lihat Mengelola dan menggunakan secret generik dan Mengonfigurasi kebijakan secret.
Saat memberikan izin kepada pengguna Resource Access Management (RAM) atau peran Resource Access Management (RAM) dari akun Alibaba Cloud lain, kuota Access Management Quota instans KMS Anda akan dikonsumsi. Jumlah kuota yang dikonsumsi didasarkan pada jumlah akun Alibaba Cloud eksternal. Jika Anda kemudian mencabut akses lintas akun ini dan tidak ada resource lain dari instans tersebut yang dibagikan ke akun tersebut, kuota yang dikonsumsi akan dilepas kembali setelah sekitar 5 menit.
Kebijakan secret hanya berlaku jika secret diakses melalui titik akhir KMS. Jika Anda menggunakan titik akhir instans KMS untuk mengakses secret, kebijakan izin yang dikonfigurasi dalam application access points (AAP) yang terkait dengan instans KMS tersebut yang berlaku.
Konten kebijakan secret tidak boleh melebihi panjang 32.768 byte dan harus dalam format JSON.

Deskripsi Kebijakan Rahasia

Kebijakan secret berisi komponen berikut:

Version: versi kebijakan secret. Tetapkan nilainya ke 1.
Statement: pernyataan kebijakan secret. Setiap kebijakan secret berisi satu atau beberapa pernyataan. Setiap pernyataan mencakup parameter berikut.
- Sid
  Opsional. Identifier pernyataan untuk pernyataan kustom. Nilainya dapat mencapai panjang 128 karakter dan dapat berisi huruf, angka, serta karakter khusus berikut: _ / + = . @ -
- Effect
  Wajib. Menentukan apakah izin dalam pernyataan diizinkan atau ditolak. Nilai yang valid adalah Allow dan Deny.
- Principal
  Wajib. Pihak yang berwenang dalam kebijakan. Principal berikut didukung:
  - Akun Alibaba Cloud saat ini.
  - Pengguna RAM dan peran RAM dari akun Alibaba Cloud saat ini.
  - Pengguna RAM dan peran RAM dari akun Alibaba Cloud lain.
    Penting
    Jika Anda memberikan izin kepada pengguna RAM atau peran RAM dari akun Alibaba Cloud lain untuk menggunakan secret, Anda harus menggunakan akun Alibaba Cloud dari pengguna atau peran tersebut untuk memberikan izin tersebut dalam RAM.
    Untuk informasi selengkapnya, lihat Menggunakan RAM untuk mengelola akses ke resource KMS, Memberikan izin kepada pengguna RAM, dan Memberikan izin kepada peran RAM.
- Action
  Wajib. Operasi API yang ingin Anda izinkan atau tolak. Nilainya harus diawali dengan kms:. Konten berikut menjelaskan cakupan izin. Jika Anda menentukan izin di luar cakupan ini, izin tersebut tidak berlaku.
  Izin
```
"Action": [
                "kms:List*",
                "kms:Describe*",
                "kms:PutSecretValue",
                "kms:Update*",
                "kms:DeleteSecret",
                "kms:RestoreSecret",
                "kms:RotateSecret",
                "kms:TagResource",
                "kms:UntagResource",
                "kms:GetSecretValue"
            ]
```
- Resource
  Wajib. Nilainya harus *, yang merepresentasikan secret saat ini.
- Condition
  Opsional. Menentukan kondisi di mana kebijakan berlaku. Elemen Condition adalah blok kondisi yang berisi satu atau beberapa kondisi. Setiap kondisi terdiri dari operator kondisi, kunci kondisi, dan nilai kondisi. Untuk informasi selengkapnya, lihat Elemen kebijakan.
  Formatnya adalah "Condition": {"condition operator": {"condition key": "condition value"}}.
  - condition operator: Untuk informasi selengkapnya, lihat Jenis Operator Kondisi.
  - condition key dan condition value: Kunci dan nilai kondisi yang didukung oleh kebijakan kunci. Untuk informasi selengkapnya, lihat Kunci Kondisi Kebijakan.