本文为您介绍专属KMS服务关联角色(AliyunServiceRoleForKMSKeyStore)的应用场景、权限策略、创建及删除操作。

应用场景

创建和使用专属KMS实例时,密钥管理服务KMS需要通过服务关联角色访问加密服务CloudHSM的密码机集群。

关于服务关联角色的更多信息,请参见服务关联角色

权限说明

角色名称:AliyunServiceRoleForKMSKeyStore。

权限策略:AliyunServiceRolePolicyForKMSKeyStore。

权限说明:KMS使用此角色访问加密服务CloudHSM的密码机集群、ECS和VPC等其他云服务相关资源。

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "ecs:CreateNetworkInterfacePermission",
        "ecs:DeleteNetworkInterfacePermission",
        "ecs:CreateNetworkInterface",
        "ecs:DescribeNetworkInterfaces",
        "ecs:DescribeSecurityGroups",
        "ecs:CreateSecurityGroup",
        "ecs:DeleteSecurityGroup",
        "ecs:AuthorizeSecurityGroup",
        "ecs:AuthorizeSecurityGroupEgress",
        "ecs:RevokeSecurityGroup",
        "ecs:RevokeSecurityGroupEgress",
        "ecs:DescribeSecurityGroupAttribute"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "vpc:DescribeVSwitches",
        "vpc:DescribeVpcs"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "yundun-hsm:DescribeInstances",
        "yundun-hsm:DescribeClusters"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "keystore.kms.aliyuncs.com"
        }
      }
    }
  ]
}

创建服务关联角色

当您使用阿里云账号在密钥管理控制台首次创建专属KMS实例时,会自动创建服务关联角色(AliyunServiceRoleForKMSKeyStore)。

当您使用的是RAM用户,需要先授权以下自定义策略,才能在密钥管理控制台首次创建专属KMS时,自动创建服务关联角色(AliyunServiceRoleForKMSKeyStore)。具体操作,请参见为RAM用户授权

{
    "Action": "ram:CreateServiceLinkedRole",
    "Resource": "*",
    "Effect": "Allow",
    "Condition": {
        "StringEquals": {
            "ram:ServiceName": "keystore.kms.aliyuncs.com"
        }
     }
}

删除服务关联角色

删除服务关联角色前,您需要确保当前阿里云账号下的专属KMS实例已经被释放。当专属KMS实例费用到期且没有续费时,KMS会自动释放该专属KMS实例。

您可以在RAM控制台删除服务关联角色。具体操作,请参见删除RAM角色