全部产品
Search
文档中心

云服务器 ECS:通过RAM角色授予访问KMS密钥的权限

更新时间:Aug 02, 2024

当您需要使用KMS加密ECS资源(例如云盘、快照或镜像)时,需要通过RAM角色授予ECS访问KMS的权限;或共享加密快照、加密镜像给其他阿里云账号时,需先授予被共享账号有访问KMS密钥的权限。本文主要介绍在ECS上使用KMS加密的场景及所需的RAM角色和权限。

关于RAM角色的更多介绍,请参见身份管理

加密ECS资源权限

  • 权限说明

    您首次使用KMS的主密钥来加密ECS资源时,需要授予ECS访问KMS密钥的权限。

    说明

    首次在一个地域加密ECS资源时,系统会自动在当前地域KMS中创建一个专为ECS使用的服务密钥Default Service CMK(别名为alias/acs/ecs),使用服务密钥加密时不需要授权。

  • RAM角色

    AliyunECSDiskEncryptDefaultRole

  • 配置方式

    1. 开通KMS密钥管理服务。具体操作,请参见购买和启用KMS实例

    2. 首次选择KMS的主密钥加密ECS资源时,例如创建加密云盘,界面会提示先授权。您需要根据页面引导完成授权,系统会自动创建AliyunECSDiskEncryptDefaultRole角色并授予权限。

      image

    授权完成后,即可在ECS中正常使用您创建的主密钥进行加密。

跨账号访问加密资源权限

  • 权限说明:如果您需要将加密快照或者加密镜像共享给其他阿里云账号,除了授予ECS访问KMS密钥(通过AliyunECSDiskEncryptDefaultRole角色)权限以外,您还需手动创建RAM角色授予被共享账号访问KMS密钥的权限,才可以共享加密快照或镜像给其他阿里云账号使用。

  • 角色名称

    • 共享加密快照:AliyunECSShareEncryptSnapshotDefaultRole

    • 共享加密镜像:AliyunECSShareEncryptImageDefaultRole

  • 配置方式