設定憑據策略以指定憑據的管理員與使用者-Key Management Service-阿里雲

您可以在憑據策略中添加或刪除 RAM 使用者、RAM 角色，以設定憑據的管理員和使用者。本文介紹如何設定憑據策略。

通過控制台設定

登入Key Management Service控制台，在頂部功能表列選擇地區後，在左側導覽列單擊资源 > 凭据管理。
在凭据管理頁簽，定位到您的目標憑據，單擊憑據 ID 或操作列的详情。
在詳情頁面下方的凭据策略地區，單擊设置凭据策略，完成設定後單擊確認。
1. 图形编辑：此模式下授权主体（RAM 使用者或 RAM 角色），使用預設策略許可權（Action）。
  - 管理员：對憑據進行管控類操作，不支援擷取憑據值操作。支援選擇當前主帳號下的 RAM 使用者和 RAM 角色。
  - 使用者：僅支援擷取憑據值操作。支援選擇當前主帳號下的 RAM 使用者和 RAM 角色。
  - 其他账号使用者：
    重要
    如果授權給其他阿里雲帳號下的 RAM 使用者、RAM 角色，將消耗 KMS 執行個體的訪問管理數量配額，按阿里雲帳號個數計算消耗的配額。取消授權後，約 5 分鐘後，返還配額。
    需同時在 RAM 控制台為其使用者/角色配置相應的憑據使用許可權，才能正常使用。具體操作，請參見Key Management Service自訂權限原則參考、管理RAM使用者的許可權、管理RAM角色的許可權。
    - 可以是其他阿里雲帳號的 RAM 使用者或 RAM 角色，僅支援擷取憑據值操作。
    - 單擊添加其他账号使用者ARN，填寫授權主體的 ARN，可登入RAM 控制台，在使用者或角色詳情頁擷取 ARN 資訊。
      - RAM 使用者：格式為acs:ram::<其他阿里雲帳號 userId>:user/<ramuser>，例如acs:ram::119285303511****:user/testpolicyuser。
      - RAM 角色：格式為acs:ram::<其他阿里雲帳號 userId>:role/<ramrole>，例如acs:ram::119285303511****:role/testpolicyrole。
2. 语法编辑：可在文法編輯框中，直接修改或新增權限原則，配置樣本如下。
  - 情境說明：為阿里雲帳號（119285303511****）下的憑據設定憑據策略為例。
    - 允許當前阿里雲帳號（119285303511****）對該憑據的完整存取，即管理和使用憑據，不建議修改。
      說明
      系統預設憑據擁有者擁有全部許可權，不可修改規則。
    - 允許當前阿里雲帳號（119285303511****）下的 RAM 使用者（secret_ramuser1）管理認證。
    - 允許當前阿里雲帳號（119285303511****）下的 RAM 使用者（secret_ramuser2）、其他阿里雲帳號（190325303126****）下的 RAM 使用者（secret_ramuser3）使用憑據。
  - 文法樣本：
```
{
    "Statement": [
        {
            "Action": [
                "kms:*"
            ],
            "Effect": "Allow",
            "Principal": {
                "RAM": [
                    "acs:ram::119285303511****:*"
                ]
            },
            "Resource": [
                "*"
            ],
            "Sid": "kms default secret policy"
        },
        {
            "Action": [
                "kms:List*",
                "kms:Describe*",
                "kms:PutSecretValue",
                "kms:Update*",
                "kms:DeleteSecret",
                "kms:RestoreSecret",
                "kms:RotateSecret",
                "kms:TagResource",
                "kms:UntagResource"
            ],
            "Effect": "Allow",
            "Principal": {
                "RAM": [
                    "acs:ram::119285303511****:user/secret_ramuser1"
                ]
            },
            "Resource": [
                "*"
            ]
        },
        {
            "Action": [
                "kms:List*",
                "kms:Describe*",
                "kms:GetSecretValue"
            ],
            "Effect": "Allow",
            "Principal": {
                "RAM": [
                    "acs:ram::119285303511****:user/secret_ramuser2",
                    "acs:ram::190325303126****:user/secret_ramuser3"
                ]
            },
            "Resource": [
                "*"
            ]
        }
    ],
    "Version": "1"
}
```

使用限制

僅KMS執行個體中的憑據支援設定憑據策略。
憑據策略的內容長度不超過32768個位元組，且為JSON格式。

憑據策略中可以設定的巨集指令清單如下：

警告

如果設定了列表外的操作，設定後也不會生效。

"Action": [
                "kms:List*",
                "kms:Describe*",
                "kms:PutSecretValue",
                "kms:Update*",
                "kms:DeleteSecret",
                "kms:RestoreSecret",
                "kms:RotateSecret",
                "kms:TagResource",
                "kms:UntagResource"
                "kms:GetSecretValue"
            ]

跨帳號憑據授權：若需要授權其他阿里雲帳號下的 RAM 使用者或 RAM 角色使用當前帳號下的 KMS 憑據時，需要進行雙向授權配置：
1. 在 KMS 控制台設定憑據策略，授予目標帳號使用許可權。即需添加授權主體為其他账号使用者的憑據策略。
2. 目標帳號需在 RAM 控制台為其使用者/角色配置相應的憑據使用許可權。

預設策略許可權（Action）

管理員

對憑據進行管控類操作，不支援擷取憑據值操作。

  "Action": [
                "kms:List*",
                "kms:Describe*",
                "kms:PutSecretValue",
                "kms:Update*",
                "kms:DeleteSecret",
                "kms:RestoreSecret",
                "kms:RotateSecret",
                "kms:TagResource",
                "kms:UntagResource"
            ]

使用者/其他帳號使用者

僅支援擷取憑據值操作。

 "Action": [
                "kms:List*",
                "kms:Describe*",
                "kms:GetSecretValue"
            ]