全部產品
Search
文件中心

Key Management Service:服務關聯角色

更新時間:Jul 06, 2024

本文為您介紹專屬KMS標準版服務關聯角色(AliyunServiceRoleForKMSKeyStore)的應用情境、權限原則、建立及刪除操作。

應用情境

建立和使用專屬KMS標準版執行個體時,Key Management Service需要通過服務關聯角色訪問Data Encryption ServiceCloudHSM的密碼機叢集。

關於服務關聯角色的更多資訊,請參見服務關聯角色

許可權說明

角色名稱:AliyunServiceRoleForKMSKeyStore。

權限原則:AliyunServiceRolePolicyForKMSKeyStore。

許可權說明:KMS使用此角色訪問Data Encryption ServiceCloudHSM的密碼機叢集、ECS和VPC等其他雲端服務相關資源。

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "ecs:CreateNetworkInterfacePermission",
        "ecs:DeleteNetworkInterfacePermission",
        "ecs:CreateNetworkInterface",
        "ecs:DescribeNetworkInterfaces",
        "ecs:DescribeSecurityGroups",
        "ecs:CreateSecurityGroup",
        "ecs:DeleteSecurityGroup",
        "ecs:AuthorizeSecurityGroup",
        "ecs:AuthorizeSecurityGroupEgress",
        "ecs:RevokeSecurityGroup",
        "ecs:RevokeSecurityGroupEgress",
        "ecs:DescribeSecurityGroupAttribute"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "vpc:DescribeVSwitches",
        "vpc:DescribeVpcs"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "yundun-hsm:DescribeInstances",
        "yundun-hsm:DescribeClusters"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "keystore.kms.aliyuncs.com"
        }
      }
    }
  ]
}

建立服務關聯角色

當您使用阿里雲帳號在密鑰管理主控台首次建立專屬KMS標準版執行個體時,專屬KMS會自動建立服務關聯角色(AliyunServiceRoleForKMSKeyStore)。

當您使用的是RAM使用者,需要先授權以下自訂策略,才能在密鑰管理主控台首次建立專屬KMS標準版執行個體時,自動建立服務關聯角色(AliyunServiceRoleForKMSKeyStore)。具體操作,請參見為RAM使用者授權

{
    "Action": "ram:CreateServiceLinkedRole",
    "Resource": "*",
    "Effect": "Allow",
    "Condition": {
        "StringEquals": {
            "ram:ServiceName": "keystore.kms.aliyuncs.com"
        }
     }
}

刪除服務關聯角色

刪除服務關聯角色前,您需要確保當前阿里雲帳號下的專屬KMS標準版執行個體已經被釋放。當專屬KMS標準版執行個體費用到期且沒有續約時,KMS會自動釋放該專屬KMS標準版執行個體。

您可以在RAM控制台刪除服務關聯角色。具體操作,請參見刪除RAM角色