本文為您介紹專屬KMS標準版服務關聯角色(AliyunServiceRoleForKMSKeyStore)的應用情境、權限原則、建立及刪除操作。
應用情境
建立和使用專屬KMS標準版執行個體時,Key Management Service需要通過服務關聯角色訪問Data Encryption ServiceCloudHSM的密碼機叢集。
關於服務關聯角色的更多資訊,請參見服務關聯角色。
許可權說明
角色名稱:AliyunServiceRoleForKMSKeyStore。
權限原則:AliyunServiceRolePolicyForKMSKeyStore。
許可權說明:KMS使用此角色訪問Data Encryption ServiceCloudHSM的密碼機叢集、ECS和VPC等其他雲端服務相關資源。
{
"Version": "1",
"Statement": [
{
"Action": [
"ecs:CreateNetworkInterfacePermission",
"ecs:DeleteNetworkInterfacePermission",
"ecs:CreateNetworkInterface",
"ecs:DescribeNetworkInterfaces",
"ecs:DescribeSecurityGroups",
"ecs:CreateSecurityGroup",
"ecs:DeleteSecurityGroup",
"ecs:AuthorizeSecurityGroup",
"ecs:AuthorizeSecurityGroupEgress",
"ecs:RevokeSecurityGroup",
"ecs:RevokeSecurityGroupEgress",
"ecs:DescribeSecurityGroupAttribute"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"vpc:DescribeVSwitches",
"vpc:DescribeVpcs"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"yundun-hsm:DescribeInstances",
"yundun-hsm:DescribeClusters"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "keystore.kms.aliyuncs.com"
}
}
}
]
}
建立服務關聯角色
當您使用阿里雲帳號在密鑰管理主控台首次建立專屬KMS標準版執行個體時,專屬KMS會自動建立服務關聯角色(AliyunServiceRoleForKMSKeyStore)。
當您使用的是RAM使用者,需要先授權以下自訂策略,才能在密鑰管理主控台首次建立專屬KMS標準版執行個體時,自動建立服務關聯角色(AliyunServiceRoleForKMSKeyStore)。具體操作,請參見為RAM使用者授權。
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "keystore.kms.aliyuncs.com"
}
}
}
刪除服務關聯角色
刪除服務關聯角色前,您需要確保當前阿里雲帳號下的專屬KMS標準版執行個體已經被釋放。當專屬KMS標準版執行個體費用到期且沒有續約時,KMS會自動釋放該專屬KMS標準版執行個體。
您可以在RAM控制台刪除服務關聯角色。具體操作,請參見刪除RAM角色。