Kebijakan secret adalah kebijakan berbasis resource yang mengontrol akun Alibaba Cloud, pengguna RAM, dan peran RAM mana yang dapat mengelola atau menggunakan secret KMS. Setiap secret dalam instans KMS harus memiliki tepat satu kebijakan secret. Topik ini menjelaskan kebijakan secret secara detail.
Hubungan antara kebijakan secret dan kebijakan RAM
Kebijakan secret memungkinkan Anda menetapkan pengguna RAM dan peran RAM dalam akun Alibaba Cloud saat ini (akun yang memiliki secret) sebagai administrator atau pengguna. Anda juga dapat menetapkan pengguna RAM dan peran RAM dari akun Alibaba Cloud lain sebagai pengguna.
Selain mengonfigurasi kebijakan secret di KMS, Anda dapat mengonfigurasi kebijakan berbasis identitas di RAM untuk menentukan akun Alibaba Cloud, pengguna RAM, atau peran RAM mana yang dapat mengelola atau menggunakan secret tertentu. Untuk informasi selengkapnya, lihat Mengelola izin pengguna RAM, Mengelola izin untuk peran RAM, dan Kebijakan kustom.
Ketika akun Alibaba Cloud atau identitas RAM (pengguna RAM atau peran RAM) meminta akses ke resource KMS melalui Konsol Alibaba Cloud, OpenAPI, atau CLI, sistem mengevaluasi kebijakan yang berlaku untuk menentukan apakah permintaan tersebut diizinkan atau ditolak. Bagan alir berikut menunjukkan proses evaluasi tersebut.
Hasil evaluasi mengikuti prinsip-prinsip berikut:
Untuk pengguna RAM atau peran RAM di bawah akun Alibaba Cloud saat ini: akses diberikan jika hasil evaluasi A atau hasil evaluasi B berisi Allow dan tidak ada Explicit Deny.
CatatanAkun Alibaba Cloud saat ini adalah akun yang membuat secret tersebut. Anda dapat melihat pembuat secret dengan salah satu metode berikut:
Konsol: Masuk ke Konsol KMS. Pada halaman Secrets, buka halaman detail secret dan lihat bidang Created By.
API: Panggil operasi DescribeSecret. Bidang
Creatordalam respons menunjukkan pembuat secret.
Untuk pengguna RAM atau peran RAM di bawah akun Alibaba Cloud yang berbeda: akses hanya diberikan ketika hasil evaluasi A dan hasil evaluasi B keduanya bernilai Allow.
Berdasarkan proses evaluasi tersebut, Anda dapat menentukan konfigurasi yang diperlukan untuk berbagai skenario:
Untuk mengizinkan pengguna RAM atau peran RAM di bawah akun Alibaba Cloud saat ini mengelola atau menggunakan secret, konfigurasikan salah satu dari kebijakan secret di KMS atau kebijakan RAM untuk memberikan izin yang diperlukan.
Untuk mengizinkan pengguna RAM atau peran RAM di bawah akun Alibaba Cloud yang berbeda menggunakan secret, Anda harus mengonfigurasi baik kebijakan secret di KMS maupun kebijakan RAM untuk memberikan izin.
Catatan penggunaan
Kebijakan secret hanya berlaku untuk secret dalam instans KMS. Anda dapat mengonfigurasi kebijakan secret saat pembuatan secret atau mengubahnya setelahnya. Untuk informasi selengkapnya, lihat Mengelola dan menggunakan secret dan Mengonfigurasi kebijakan secret.
Pemberian otorisasi kepada pengguna atau peran RAM dari akun Alibaba Cloud lain akan mengonsumsi Access Management Quota instans KMS. Kuota dihitung berdasarkan jumlah akun Alibaba Cloud. Jika Anda mencabut otorisasi lintas akun dan instans tersebut tidak lagi berbagi resource dengan akun tersebut, tunggu sekitar 5 menit hingga kuota yang terpakai berkurang secara sesuai.
Kebijakan secret hanya berlaku untuk kontrol akses saat Anda mengakses secret melalui titik akhir layanan KMS. Jika Anda mengakses secret melalui titik akhir instans KMS, akses bergantung pada kebijakan izin yang dikonfigurasi di Application Access Point (AAP).
Kebijakan secret harus dalam format JSON dan ukurannya tidak boleh melebihi 32.768 byte.
Struktur kebijakan secret
Kebijakan secret lengkap berisi elemen-elemen berikut:
Version: Versi kebijakan secret. Hanya versi 1 yang didukung.
Statement: Kebijakan secret berisi satu atau beberapa pernyataan. Setiap pernyataan mencakup parameter berikut:
Sid
Opsional. Pengidentifikasi pernyataan kustom. Pengidentifikasi dapat memiliki panjang hingga 128 karakter dan dapat berisi huruf kapital (A-Z), huruf kecil (a-z), angka (0-9), serta karakter khusus berikut: _ / + = . @ -
Effect
Wajib. Menentukan apakah aksi dalam pernyataan diizinkan atau ditolak. Nilai yang valid:
AllowdanDeny.Principal
Wajib. Identitas yang menjadi sasaran kebijakan. Anda dapat menentukan salah satu dari berikut:
Akun Alibaba Cloud saat ini (akun yang memiliki secret).
Pengguna RAM atau peran RAM di bawah akun Alibaba Cloud saat ini.
Pengguna RAM atau peran RAM di bawah akun Alibaba Cloud yang berbeda.
PentingSetelah Anda memberikan otorisasi kepada pengguna atau peran RAM dari akun Alibaba Cloud lain, Anda juga harus menggunakan akun Alibaba Cloud tersebut untuk memberikan izin kepada pengguna atau peran RAM agar dapat menggunakan secret di RAM. Jika tidak, identitas RAM tersebut tidak dapat menggunakan secret.
Untuk informasi selengkapnya, lihat Referensi kebijakan kustom untuk KMS, Mengelola izin pengguna RAM, dan Mengelola izin untuk peran RAM.
Action
Wajib. Operasi API yang diizinkan atau ditolak. Nilainya harus diawali dengan "kms:". Hanya operasi berikut yang valid. Operasi di luar daftar ini tidak akan berlaku.
Resource
Wajib. Resource target yang menjadi sasaran kebijakan. Tetapkan nilainya ke
*atau ARN secret tersebut. Nilai*menunjukkan secret KMS saat ini. Anda juga dapat menentukan ARN secret tertentu untuk mempersempit cakupan kebijakan.Condition
Opsional. Kondisi yang harus dipenuhi agar kebijakan berlaku. Elemen kondisi, juga disebut blok kondisi, terdiri dari satu atau beberapa klausa kondisi. Setiap klausa berisi operator kondisi, kunci kondisi, dan nilai kondisi. Untuk informasi selengkapnya, lihat Elemen kebijakan izin.
Formatnya adalah
"Condition": {"condition operator": {"condition key": "condition value"}}.condition operator: Untuk informasi selengkapnya, lihat Jenis operator kondisi.condition keydancondition value: Untuk kunci kondisi dan nilai valid yang didukung oleh kebijakan kunci, lihat Kunci kondisi kebijakan.