Key Management Service：Ikhtisar

Hubungan antara kebijakan rahasia dan kebijakan RAM

Kebijakan rahasia memungkinkan Anda menentukan Pengguna Manajemen Akses Sumber Daya (RAM) dan Peran RAM dalam akun Alibaba Cloud saat ini sebagai administrator atau pengguna rahasia. Pengguna RAM dan Peran RAM dari akun Alibaba Cloud lainnya hanya dapat ditentukan sebagai pengguna.

Anda juga dapat mengonfigurasi kebijakan berbasis identitas di RAM. Kebijakan tersebut menentukan akun Alibaba Cloud, Pengguna RAM, dan Peran RAM yang dapat mengelola atau menggunakan rahasia tertentu. Untuk informasi lebih lanjut, lihat Memberikan izin kepada pengguna RAM, Memberikan izin kepada peran RAM, dan Gunakan RAM untuk mengelola akses ke sumber daya KMS.

Saat akun Alibaba Cloud, Pengguna RAM, atau Peran RAM mengirimkan permintaan untuk mengakses sumber daya KMS melalui CLI Alibaba Cloud, di Konsol Manajemen Alibaba Cloud, atau dengan memanggil operasi API, sistem menentukan apakah permintaan diizinkan berdasarkan proses evaluasi berbasis kebijakan. Gambar berikut menunjukkan proses tersebut.

Sistem menentukan hasil akhir berdasarkan prinsip-prinsip berikut:

• Jika Allow dikembalikan tetapi Explicit Deny tidak dikembalikan di Hasil A atau Hasil B, Pengguna RAM atau Peran RAM dari akun Alibaba Cloud saat ini dapat mengelola atau menggunakan rahasia.

  Catatan

  Akun Alibaba Cloud saat ini dari rahasia adalah akun yang digunakan untuk membuat rahasia. Anda dapat melihat pembuat rahasia dengan salah satu metode berikut:

  • Masuk ke Konsol KMS. Di halaman Secrets, buka halaman detail rahasia dan lihat nilai dari Created By.

  • Panggil operasi DescribeSecret dan lihat nilai dari Creator dalam respons.

• Jika Allow dikembalikan di kedua Hasil A dan Hasil B, Pengguna RAM atau Peran RAM dari akun Alibaba Cloud lainnya dapat menggunakan rahasia.

Catat informasi berikut:

• Untuk mengizinkan Pengguna RAM atau Peran RAM dari akun Alibaba Cloud saat ini mengelola atau menggunakan rahasia, cukup konfigurasikan kebijakan rahasia di KMS atau kebijakan di RAM agar mereka dapat mengelola atau menggunakan rahasia.

• Untuk mengizinkan Pengguna RAM dan Peran RAM dari akun Alibaba Cloud lainnya menggunakan rahasia, Anda harus mengonfigurasi baik kebijakan rahasia di KMS maupun kebijakan di RAM agar mereka dapat menggunakan rahasia.

Catatan penggunaan

• Hanya rahasia dalam instance KMS yang mendukung kebijakan rahasia. Anda dapat mengonfigurasi kebijakan rahasia saat membuat rahasia atau memodifikasinya setelah dibuat. Untuk informasi lebih lanjut, lihat Kelola dan gunakan rahasia generik dan Konfigurasikan kebijakan rahasia.

• Jika Anda memberikan izin kepada Pengguna RAM atau Peran RAM dari akun Alibaba Cloud lainnya untuk mengakses instance KMS, kuota Access Management Quota dari instance KMS akan dikonsumsi. Kuota yang dikonsumsi dihitung berdasarkan jumlah akun Alibaba Cloud. Jika Anda mencabut izin dan tidak ada sumber daya dari instance KMS yang dibagikan ke akun Alibaba Cloud lainnya, tunggu sekitar 5 menit lalu kueri kuota. Kuota yang dikonsumsi akan dipulihkan.

• Kebijakan rahasia hanya berlaku jika rahasia diakses menggunakan titik akhir KMS. Jika Anda menggunakan titik akhir instance KMS untuk mengakses rahasia, kebijakan izin yang dikonfigurasi di titik akses aplikasi (AAP) terkait dengan instance KMS berlaku.

• Isi kebijakan rahasia tidak boleh melebihi 32.768 byte panjangnya dan harus dalam format JSON.

Deskripsi kebijakan rahasia

Kebijakan rahasia mencakup konten berikut:

• Versi: versi kebijakan rahasia. Atur nilainya menjadi 1.

• Statement: pernyataan kebijakan rahasia. Setiap kebijakan rahasia berisi satu atau lebih pernyataan. Setiap pernyataan mencakup parameter berikut:

  • Sid

    Opsional. Pengenal pernyataan dari pernyataan kustom. Nilainya dapat mencapai 128 karakter panjangnya dan dapat berisi huruf, angka, serta karakter khusus berikut: _ / + = . @ -

  • Effect

    Wajib. Menentukan apakah izin dalam pernyataan kebijakan diizinkan atau ditolak. Nilai valid: Allow dan Deny.

  • Principal

    Wajib. Prinsip otorisasi dari kebijakan. Prinsip berikut didukung:

    • Akun Alibaba Cloud saat ini.

    • Pengguna RAM dan Peran RAM dari akun Alibaba Cloud saat ini.

    • Pengguna RAM dan Peran RAM dari akun Alibaba Cloud lainnya.

      Penting

      Jika Anda memberikan izin kepada Pengguna RAM atau Peran RAM dari akun Alibaba Cloud lainnya untuk menggunakan rahasia, Anda harus menggunakan akun Alibaba Cloud dari Pengguna RAM atau Peran RAM untuk memberikan izin kepada mereka di RAM.

      Untuk informasi lebih lanjut, lihat Gunakan RAM untuk mengelola akses ke sumber daya KMS, Berikan izin kepada pengguna RAM, dan Berikan izin kepada peran RAM.

  • Action

    Wajib. Operasi API yang ingin Anda izinkan atau tolak. Nilainya harus dimulai dengan kms:. Berikut ini menjelaskan ruang lingkup izin. Jika Anda menentukan izin di luar ruang lingkup, izin tersebut tidak akan berlaku.

    Izin

    "Action": [
                    "kms:List*",
                    "kms:Describe*",
                    "kms:PutSecretValue",
                    "kms:Update*",
                    "kms:DeleteSecret",
                    "kms:RestoreSecret",
                    "kms:RotateSecret",
                    "kms:TagResource",
                    "kms:UntagResource"
                    "kms:GetSecretValue"
                ]

  • Resource

    Wajib. Atur nilainya menjadi tanda bintang (*), yang menentukan rahasia saat ini.

  • Condition

    Opsional. Tentukan kondisi yang diperlukan agar kebijakan berlaku. Elemen Condition dianggap sebagai blok kondisi, yang berisi satu atau lebih kondisi. Setiap kondisi terdiri dari operator kondisi, kunci kondisi, dan nilai kondisi. Untuk informasi lebih lanjut, lihat Elemen dasar kebijakan.

    Format: "Condition": {"condition operator": {"condition key": "condition value"}}.

    • condition operator: Untuk informasi lebih lanjut, lihat Elemen dasar kebijakan.

    • condition key dan condition value: kunci dan nilai kondisi yang didukung oleh kebijakan kunci. Untuk informasi lebih lanjut, lihat Kunci kondisi.

Contoh kebijakan rahasia

Konfigurasikan kebijakan rahasia untuk rahasia dalam akun Alibaba Cloud 119285303511****. Contoh:

• Berikan akun Alibaba Cloud saat ini izin penuh untuk mengelola dan menggunakan rahasia.

• Berikan izin kepada Pengguna RAM bernama secret_ramuser1 dalam akun Alibaba Cloud saat ini untuk mengelola rahasia.

• Berikan izin kepada Pengguna RAM bernama secret_ramuser2 dalam akun Alibaba Cloud saat ini dan Pengguna RAM secret_ramuser3 dalam akun Alibaba Cloud 190325303126**** untuk menggunakan rahasia.

{
    "Statement": [
        {
            "Action": [
                "kms:*"
            ],
            "Effect": "Allow",
            "Principal": {
                "RAM": [
                    "acs:ram::119285303511****:*"
                ]
            },
            "Resource": [
                "*"
            ],
            "Sid": "kms default secret policy"
        },
        {
            "Action": [
                "kms:List*",
                "kms:Describe*",
                "kms:PutSecretValue",
                "kms:Update*",
                "kms:DeleteSecret",
                "kms:RestoreSecret",
                "kms:RotateSecret",
                "kms:TagResource",
                "kms:UntagResource"
            ],
            "Effect": "Allow",
            "Principal": {
                "RAM": [
                    "acs:ram::119285303511****:user/secret_ramuser1"
                ]
            },
            "Resource": [
                "*"
            ]
        },
        {
            "Action": [
                "kms:List*",
                "kms:Describe*",
                "kms:GetSecretValue"
            ],
            "Effect": "Allow",
            "Principal": {
                "RAM": [
                    "acs:ram::119285303511****:user/secret_ramuser2",
                    "acs:ram::190325303126****:user/secret_ramuser3"
                ]
            },
            "Resource": [
                "*"
            ]
        }
    ],
    "Version": "1"
}