Key Management Service：設定憑據策略

注意事項

• 僅KMS執行個體中的憑據支援憑據策略。您可在建立憑據時設定憑據策略，也可在建立後進行設定。建立時設定，請參見管理及使用憑據。本文介紹建立後如何設定。

• 憑據策略的內容長度不超過32768個位元組，且為JSON格式。

• 通過控制台設定憑據策略時，可選擇使用預設策略、設定RAM使用者或角色為管理員和使用者、以及設定其他帳號使用者。如果您需要對憑據策略進行更精細化的原則設定，可以通過OpenAPI設定憑據策略。

  憑據策略中可以設定的巨集指令清單如下，如果您設定了列表外的操作，設定後也不會生效。

  "Action": [
                  "kms:List*",
                  "kms:Describe*",
                  "kms:PutSecretValue",
                  "kms:Update*",
                  "kms:DeleteSecret",
                  "kms:RestoreSecret",
                  "kms:RotateSecret",
                  "kms:TagResource",
                  "kms:UntagResource"
                  "kms:GetSecretValue"
              ]

• 如果您想允許其他阿里雲帳號下的RAM使用者、RAM角色使用憑據，不僅需要在KMS側設定憑據策略允許其使用憑據，同時還要在RAM側，使用該RAM使用者、RAM角色的阿里雲帳號設定權限原則允許其使用憑據。具體操作，請參見Key Management Service自訂權限原則參考、管理RAM使用者的許可權、管理RAM角色的許可權。

通過控制台設定

1. 登入Key Management Service控制台，在頂部功能表列選擇地區後，在左側導覽列單擊资源 > 凭据管理。

2. 在凭据管理頁簽，定位到您的目標憑據，單擊憑據ID或操作列的详情。

3. 在詳情頁面下方的凭据策略地區，單擊设置凭据策略，完成設定後單擊確認。

   您可以為憑據設定管理員、使用者、其他帳號使用者。

   • 管理員：對憑據進行管控類操作，不支援使用憑據（即擷取憑據值）。支援選擇當前帳號下的RAM使用者和RAM角色。

     設定憑據管理員

     樣本如下，表示允許RAM使用者（key_ramuser1）、RAM角色（key_ramrole1）作為管理員管理認證。

             {
                 "Action": [
                     "kms:List*",
                     "kms:Describe*",
                     "kms:PutSecretValue",
                     "kms:Update*",
                     "kms:DeleteSecret",
                     "kms:RestoreSecret",
                     "kms:RotateSecret",
                     "kms:TagResource",
                     "kms:UntagResource"
                 ],
                 "Effect": "Allow",
                 "Principal": {
                     "RAM": [
                         "acs:ram::119285303511****:user/key_ramuser1",
                         "acs:ram::119285303511****:role/key_ramrole1"
                     ]
                 },
                 "Resource": [
                     "*"
                 ]
             }

   • 使用者：僅支援使用憑據，即擷取憑據值。支援選擇當前帳號下的RAM使用者和RAM角色。

     設定憑據使用者

     樣本如下，表示允許RAM使用者（key_ramuser2）、RAM角色（key_ramrole2）使用憑據。

             {
                 "Action": [
                     "kms:List*",
                     "kms:Describe*",
                     "kms:GetSecretValue"
                 ],
                 "Effect": "Allow",
                 "Principal": {
                     "RAM": [
                         "acs:ram::119285303511****:user/key_ramuser2",
                         "acs:ram::119285303511****:role/key_ramrole2"
                     ]
                 },
                 "Resource": [
                     "*"
                 ]
             }

   • 其他帳號使用者：僅支援使用憑據，即擷取憑據值。可以是其他阿里雲帳號的RAM使用者或RAM角色。

     • RAM使用者：格式為acs:ram::<userId>:user/<ramuser>，例如acs:ram::119285303511****:user/testpolicyuser。

     • RAM角色：格式為acs:ram::<userId>:role/<ramrole>，例如acs:ram::119285303511****:role/testpolicyrole。

     設定其他帳號使用者

     樣本如下，表示允許其他阿里雲帳號（190325303126****）的RAM使用者（key_ramuser3）使用憑據。

             {
                 "Action": [
                     "kms:List*",
                     "kms:Describe*",
                     "kms:GetSecretValue"
                 ],
                 "Effect": "Allow",
                 "Principal": {
                     "RAM": [
                         "acs:ram::190325303126****:user/key_ramuser3"
                     ]
                 },
                 "Resource": [
                     "*"
                 ]
             }