ECS中的跨帳號密鑰共用
如果您希望將使用者主要金鑰共用至其他阿里雲主帳號,並確保被共用的密鑰能夠在ECS加密情境中正常使用,請參考本文檔。本文詳細介紹了共用方如何共用使用者主要金鑰,以及被共用方如何在ECS情境中使用共用密鑰的步驟。
使用情境
-
多部門統一密鑰管理,滿足合規需求
在企業組織架構中,由於行業監管政策或內部安全性原則的要求,某些部門需要對敏感性資料的加密金鑰進行集中控制,共用密鑰可以保證密鑰許可權集中在一個帳號中,以便於密鑰的審計、追溯和統一管理。
-
密鑰共用,最佳化成本
在實際業務中,為了降低成本,企業可以選擇在一個阿里雲主帳號中集中購買KMS執行個體,建立密鑰,並將密鑰共用給企業內其他不同團隊或專案的阿里雲主帳號。其他主帳號無需購買執行個體,即可實現加密資源的建立及使用。
使用流程
在跨帳號密鑰共用機制中,共用方通過將密鑰共用給其他阿里雲主帳號下的 RAM 角色,實現密鑰的跨帳號共用。不同使用情境需要授權的RAM角色不同,經過共用祕密金鑰加密的快照和鏡像依舊可以共用。
前提條件
|
角色 |
前提條件 |
|
共用方 |
|
|
被共用方 |
被共用方需要根據不同使用需求,建立不同RAM角色。
|
共用方配置跨帳號密鑰共用
登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊。
-
在密鑰管理頁面,選擇用户主密钥頁簽,單擊密鑰ID,進入密鑰詳情頁。
-
在密鑰詳情頁,單擊密钥策略,選擇设置密钥策略。
-
單擊添加其他账号使用者ARN,輸入授權主體ARN,單擊確定。
acs:ram::<被共用方阿里雲主帳號UID>:role/<ramrole>以將密鑰共用至阿里雲主帳號UID119285303511**下的AliyunECSDiskEncryptDefaultRole為例,授權主體ARN應填寫為:
acs:ram::119285303511**:role/AliyunECSDiskEncryptDefaultRole
被共用方使用共用密鑰
以單獨建立加密雲端硬碟為例,加密複製快照或複製鏡像時選擇密鑰的操作步驟與此類似。
在建立的加密資源詳情頁中,受到共用方給予的許可權限制,僅可查看所使用的KMS密鑰ID,不會展示KMS的ARN 或別名資訊。該顯示限制不會影響加密資源的正常使用。
控制台
本步驟僅描述建立雲端硬碟時如何配置加密選項,其餘配置說明,請參見建立空資料盤。
-
在頁面左側頂部,選擇目標資源所在的資源群組和地區。
-
單擊建立雲端硬碟。在雲端硬碟的設定中勾選加密,下拉選擇指定自訂KMS密鑰 後手動輸入共用密鑰ID。
API
您可通過調用API介面CreateDisk 建立資料盤時,設定Encrypted值和KMSKeyId值,加密資料盤。