Topik ini menjelaskan skenario dan izin peran terkait layanan AliyunServiceRoleForKMSKeyStore untuk Dedicated Key Management Service (KMS) edisi Standar, serta cara membuat dan menghapus peran tersebut.
Skenario
Saat membuat dan menggunakan instance KMS Dedicated edisi Standar, KMS menggunakan peran terkait layanan untuk mengakses kluster modul keamanan perangkat keras (HSM) di Data Encryption Service.
Untuk informasi lebih lanjut, lihat Peran Terkait Layanan.
Izin
Nama Peran: AliyunServiceRoleForKMSKeyStore.
Kebijakan: AliyunServiceRolePolicyForKMSKeyStore.
Izin: KMS menggunakan peran terkait layanan AliyunServiceRoleForKMSKeyStore untuk mengakses kluster HSM di Data Encryption Service dan sumber daya di layanan cloud seperti Elastic Compute Service (ECS) dan Virtual Private Cloud (VPC).
{
"Version": "1",
"Statement": [
{
"Action": [
"ecs:CreateNetworkInterfacePermission",
"ecs:DeleteNetworkInterfacePermission",
"ecs:CreateNetworkInterface",
"ecs:DescribeNetworkInterfaces",
"ecs:DescribeSecurityGroups",
"ecs:CreateSecurityGroup",
"ecs:DeleteSecurityGroup",
"ecs:AuthorizeSecurityGroup",
"ecs:AuthorizeSecurityGroupEgress",
"ecs:RevokeSecurityGroup",
"ecs:RevokeSecurityGroupEgress",
"ecs:DescribeSecurityGroupAttribute"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"vpc:DescribeVSwitches",
"vpc:DescribeVpcs"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"yundun-hsm:DescribeInstances",
"yundun-hsm:DescribeClusters"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "keystore.kms.aliyuncs.com"
}
}
}
]
}Buat peran terkait layanan
Saat membuat instance KMS Dedicated edisi Standar di konsol KMS menggunakan akun Alibaba Cloud, peran terkait layanan AliyunServiceRoleForKMSKeyStore akan dibuat secara otomatis.
Jika Anda membuat instance KMS Dedicated edisi Standar menggunakan pengguna RAM, Anda harus melampirkan kebijakan kustom berikut ke pengguna RAM tersebut agar peran terkait layanan AliyunServiceRoleForKMSKeyStore dibuat secara otomatis saat membuat instance KMS Dedicated di konsol KMS. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM.
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "keystore.kms.aliyuncs.com"
}
}
}Hapus peran terkait layanan
Sebelum menghapus peran terkait layanan AliyunServiceRoleForKMSKeyStore, Anda harus melepaskan instance KMS Dedicated edisi Standar di akun Alibaba Cloud Anda. Jika Anda tidak memperpanjang instance setelah masa kedaluwarsa, instance tersebut akan dilepaskan secara otomatis.
Anda dapat menghapus peran terkait layanan AliyunServiceRoleForKMSKeyStore di konsol RAM. Untuk informasi lebih lanjut, lihat Hapus Peran RAM.