Key Management Service：CreateSecret - 建立憑據

憑據名稱。 憑據名稱在當前地區下唯一。 長度不超過 192 個字元，可包含英文字母、數字、底線（_）、正斜線（/）、加號（+）、等號（=）、半形句號（.）、短劃線（-）和字元（@）。不同類型的憑據名稱要求如下：

• 當 SecretType 取值為 Generic（通用憑據）、Rds（RDS 憑據）、Redis（Redis/Tair 憑據）時，不能以acs/開頭。

• 當 SecretType 取值為 RAMCredentials（RAM 憑據）時，使用固定值$Auto。此時 KMS 自動產生憑據名稱，以acs/ram/user/開頭，包含 RAM 使用者顯示名稱。

• 當 SecretType 取值為 ECS（ECS 憑據）時，必須以acs/ecs/開頭。

初始版本的版本號碼，版本號碼在該憑據內唯一。 長度不超過 64 個字元。

用於加密憑據值的金鑰識別碼。

憑據值。長度不超過 30720 位元組（30KB）。KMS 使用指定的金鑰組其加密後，存入初始版本中。

• 當 SecretType 取值為 Generic（通用憑據）時，您可以自訂憑據值。

• 當 SecretType 取值為 Rds（RDS 憑據）時，憑據值格式為：{"Accounts":[{"AccountName":"","AccountPassword":""}]}。其中，AccountName為 RDS 執行個體的帳號名稱，AccountPassword為 RDS 執行個體的帳號口令。

• 當 SecretType 取值為 Redis（Redis 憑據）時，參數傳值為 $Auto 。

• 當 SecretType 取值為 RAMCredentials（RAM 憑據）時，憑據值格式為：{"AccessKeys":[{"AccessKeyId":"","AccessKeySecret":""}]}。其中，AccessKeyId是存取金鑰 ID，AccessKeySecret是存取金鑰內容。您需要指定 RAM 使用者的所有 AccessKey。

• 當 SecretType 取值為 PolarDB 時，參數傳值為 $Auto 。

• 當 SecretType 取值為 ECS（ECS 憑據）時，憑據值格式為：

  • 當 ExtendedConfig 參數中 SecretSubType 取值為 Password 時：{"UserName":"","Password": ""}。其中，UserName為登入 ECS 執行個體的使用者名稱，Password為登入 ECS 執行個體的密碼。

  • 當 ExtendedConfig 參數中 SecretSubType 取值為 SSHKey 時：{"UserName":"","PublicKey": "", "PrivateKey": ""}。其中，PublicKey為登入 ECS 執行個體的 SSH 格式公開金鑰，PrivateKey為登入 ECS 執行個體的私密金鑰。

憑據實值型別。取值：

• text（預設值）：文本類型

• binary：二進位類型

憑據的描述資訊。

憑據的標籤。每個標籤由一個索引值對（Key:Value）組成，包含標籤鍵（Key）、標籤值（Value）。

標籤建和標籤值的格式：最多支援 128 個字元，可以包含英文大小寫字母、數字、正斜線（/）、反斜線（\）、底線（_）、短劃線（-）、半形句號（.）、加號（+）、等號（=）、半形冒號（:）、字元 at（@）。

• 標籤鍵不能以 aliyun 或 acs:開頭。

• 每個憑據最多可以設定 20 個標籤索引值對。

憑據類型。取值：

• Generic（預設值）：通用憑據。

• Rds：RDS 憑據。

• Redis：Redis 憑據。

• RAMCredentials：RAM 憑據。

• ECS：ECS 憑據。

• PolarDB：PolarDB 憑據。

憑據的拓展配置，用於指定特定憑據類型的屬性。長度不超過 1024 個字元。

• 當 SecretType 取值為 Generic（通用憑據）時，忽略該參數。

• 當 SecretType 取值為 Rds（RDS 憑據）時，需要指定 ExtendedConfig 的如下參數：

  • SecretSubType（必填）：憑據子類型。取值：

    • SingleUser：指定憑據管家以單帳號模式 RDS 憑據。憑據輪轉時，指定帳號的口令會被重設為新的隨機口令。

    • DoubleUsers：指定憑據管家以雙帳號模式 RDS 憑據，ACSCurrent 和 ACSPrevious 分別引用其中一個帳號。憑據輪轉時，ACSPrevious 引用帳號的口令會被重設為新的隨機口令，隨後憑據管家交換 ACSCurrent 和 ACSPrevious 對 RDS 帳號的引用。

  • DBInstanceId（必填）：指定 RDS 帳號所在的 RDS 執行個體 ID。

  • CustomData（可選）：自訂資料。取值為 JSON 格式的索引值對，最多不超過 10 個索引值對，多個索引值對用半形逗號（,）間隔。取值樣本：{"Key1": "v1", "fds":"fdsf"}。預設值為空白{}。

• 當 SecretType 取值為 Redis（Redis 憑據）時，需要指定 ExtendedConfig 的如下參數：

  • SecretSubType（必填）：憑據子類型。取值：

    • DoubleUsers：指定憑據管家以雙帳號模式 Redis 憑據，ACSCurrent 和 ACSPrevious 分別引用其中一個帳號。憑據輪轉時，ACSPrevious 引用帳號的口令會被重設為新的隨機口令，隨後憑據管家交換 ACSCurrent 和 ACSPrevious 對 Redis 帳號的引用。

  • AccountName（必填）：資料庫使用者名稱。

  • CloneAccountName（必填）：資料庫使用者名稱，為 AccountName 加上尾碼_clone。

  • AccountPrivilege（必填）：訪問資料庫的許可權。

  • InstanceId（必填）：Redis 執行個體 ID。

  • RegionId（必填）：Redis 執行個體所在地區 ID。

  • CustomData（可選）：自訂資料。取值為 JSON 格式的索引值對，最多不超過 10 個索引值對，多個索引值對用半形逗號（,）間隔。取值樣本：{"Key1": "v1", "fds":"fdsf"}。預設值為空白{}。

• 當 SecretType 取值為 RAMCredentials（RAM 憑據）時，需要指定 ExtendedConfig 的如下參數：

  • SecretSubType（必填）：憑據子類型。取值： RamUserAccessKey。

  • UserName（必填）：RAM 使用者名稱稱。

  • CustomData（可選）：自訂資料。取值為 JSON 格式的索引值對，最多不超過 10 個索引值對，多個索引值對用半形逗號（,）間隔。預設值為空白{}。

• 當 SecretType 取值為 ECS（ECS 憑據）時，需要指定 ExtendedConfig 的如下參數：

  • SecretSubType（必填）：憑據子類型。取值：

    • Password：ECS 口令。

    • SSHKey：ECS SSH 公私密金鑰。

  • RegionId（必填）：ECS 執行個體所在地區 ID。

  • InstanceId（必填）：ECS 執行個體 ID。

  • CustomData（可選）：自訂資料。取值為 JSON 格式的索引值對，最多不超過 10 個索引值對，多個索引值對用半形逗號（,）間隔。預設值為空白{}。

• 當 SecretType 取值為 PolarDB 時，需要指定 ExtendedConfig 的如下參數：

  • SecretSubType（必填）：DoubleUsers（固定值）

  • RegionId（必填）： 地區

  • DBClusterId（必填）：PolarDB 執行個體 ID

  • DBType（必填）： MySQL、PostgreSQL

  • AccountName（必填）： 帳號名字

  • CloneAccountName：AccountName_clone

  • AccountType：帳號類型僅支援 Normal

  • AccountPrivilege: 僅 MySQL 可以填

  • DBName：僅 MySQL 可以填

  • CustomData（可選）：自訂資料。取值為 JSON 格式的索引值對，最多不超過 10 個索引值對，多個索引值對用半形逗號（,）間隔。取值樣本：{"Key1": "v1", "fds":"fdsf"}。預設值為空白{}。

是否開啟自動輪轉，取值：

• true：開啟自動輪轉。

• false（預設值）：不開啟自動輪轉。

自動輪轉的周期。取值範圍：6 小時~8,760 小時（365 天）。
格式為integer[unit]，其中integer表示時間長度，unit表示時間單位。
unit 取值：d（天）、h（小時）、m（分鐘）、s（秒）。例如：7d 或者 604,800s 均表示 7 天的周期。

KMS 執行個體的執行個體 ID。

憑據策略的具體內容，JSON 格式。最大長度為 32768 個位元組。

關於憑據策略的詳細介紹，請參見憑據策略概述。不輸入該參數時，使用預設憑據策略。

憑據策略內容包含：

• Version：憑據策略的版本，目前版本僅支援設定為 1。

• Statement：憑據策略的語句，每個憑據策略包含一個或多個語句。

憑據策略格式為：

{
    "Version": "1",
    "Statement": [
        {
            "Sid": "Enable RAM User Permissions",
            "Effect": "Allow",
            "Principal": {
              "RAM": ["acs:ram::12345678****:*"]
            },
            "Action": [
                "kms:*"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Statement 詳細介紹：

• Sid：可選，表示自訂的語句標識符。內容長度小於等於 128 字元，支援的字元為：大寫英文字母（A-Z）、小寫英文字母（a-z）、數字（0-9），特殊字元（ _/+=.@-）。

• Effect：必選，表示是允許還是拒絕該策略語句中的許可權。取值為：Allow 或 Deny。

• Principal：必選，表示權限原則的授權主體，支援設定為當前阿里雲帳號（即憑據所屬的阿里雲帳號），當前阿里雲帳號下的 RAM 使用者、RAM 角色，其他阿里雲帳號下的 RAM 使用者、RAM 角色。

• Action：必選，表示要允許或拒絕的 API 操作，內容必須以"kms:"開頭。操作許可權列表的範圍，請參見憑據策略概述。如果您設定了列表外的操作，設定後也不會生效。

• Resource：必選，取值只能是*，表示本 KMS 憑據。

• Condition：可選，表示授權生效的限制條件。通過使用條件可以評估 API 請求的上下文，以確定策略語句是否適用。格式為"Condition": {"condition operator": {"condition key": "condition value"}}。詳細介紹，請參見憑據策略概述。