企業有多個阿里雲帳號時,您可以將帳號加入資來源目錄統一管理,然後通過資源共用實現多個阿里雲帳號使用同一個KMS執行個體。本文介紹企業如何配置多帳號共用KMS執行個體。
功能介紹
應用情境
KMS執行個體的所有者帳號(資源所有者)可以將KMS執行個體共用給其他阿里雲帳號(資源使用者),資源使用者可以在KMS執行個體中建立密鑰和憑據,然後使用密鑰進行雲產品服務端加密或自建應用加密,使用憑據規避在代碼中寫入程式碼敏感資訊帶來的泄露風險。
當前KMS執行個體僅支援在資來源目錄內共用。關於資來源目錄和資源共用的詳細資料,請參見資來源目錄概述和資源共用概述。
使用限制
功能限制
僅支援共用軟體密鑰管理執行個體和硬體密鑰管理執行個體(執行個體狀態必須為已启用),不支援共用預設密鑰。
僅支援資來源目錄內共用,且資源所有者和資源使用者是同一個企業實名認證主體。
資源使用者的自建應用,通過KMS執行個體Endpoint跨VPC存取金鑰或憑據時,請資源所有者在KMS執行個體中綁定該應用的VPC。具體操作,請參見同地區多VPC訪問KMS執行個體。
說明您可以使用
ping {KMS執行個體網域名稱}驗證自建應用是否能訪問KMS執行個體。例如:ping kst-hzz62****.cryptoservice.kms.aliyuncs.com。您也可以通過KMS服務Endpoint訪問憑據,該方式不限制應用VPC和KMS執行個體的VPC網路是否互連。但需要注意的是密鑰不支援通過KMS服務Endpoint訪問。
解除KMS執行個體的共用關係前,需要資源使用者刪除自己建立的密鑰和憑據。
資源使用者如果需要建立RAM、RDS、ECS憑據,請通過工單聯絡技術支援人員升級KMS執行個體。
地區限制
資源使用者不支援跨地區使用KMS執行個體。例如,KMS執行個體在新加坡地區,資源使用者建立的密鑰只能用於新加坡地區的雲產品服務端加密。
配額限制
共用KMS執行個體會消耗KMS執行個體的訪問管理數量配額,資源使用者包含幾個阿里雲帳號,就消耗幾個配額。配額不足時請及時升配,具體操作,請參見升級KMS執行個體。
訪問管理數量配額包含共用KMS執行個體時資源使用者的數量,以及配置多VPC訪問時VPC的數量。例如,您需要將KMS執行個體共用給2個資源使用者(消耗2個配額),還需要關聯3個VPC(消耗3個配額),那麼訪問管理數量配額最少為5才能滿足業務需求。
資源使用者的許可權
共用KMS執行個體時,您需要為共用單元設定AliyunRSDefaultPermissionKMSInstance許可權。許可權詳情,請在資源共用控制台上的許可權庫中查看。
AliyunRSDefaultPermissionKMSInstance有兩個版本(v1、v2),新建立的許可權預設為v2。關於如何查看許可權版本,請參見查看許可權詳情。
AliyunRSPermissionKMSInstanceReadWrite已廢棄,如果您之前使用的是這個許可權,依舊可以正常使用。
功能對比
√表示支援該功能項,×表示不支援該功能項。
功能項 | 子項 | 資源所有者 | 資源使用者 |
執行個體管理 | 查看KMS執行個體詳情 | √ | × |
配置多VPC訪問KMS執行個體 | √ | × | |
升級執行個體 | √ | × | |
續約執行個體 | √ | × | |
解除共用關聯 | √ | × | |
密鑰管理 | 建立密鑰 | √ | √ |
| √ 支援所有密鑰,包含資源使用者建立的密鑰 | √ 僅支援資源使用者建立的密鑰 | |
密碼運算 | - | √ 支援使用所有密鑰,用於雲產品服務端加密,或用於自建應用加密。 | √ 僅支援使用資源使用者建立的密鑰,用於雲產品服務端加密,或用於自建應用加密。 |
憑據管理 | 建立憑據 | √ | √ |
| √ 支援所有憑據,包含資源使用者建立的憑據 | √ 僅支援資源使用者建立的憑據 | |
擷取憑據值 | - | √ 支援所有憑據,包含資源使用者建立的憑據 | √ 僅支援資源使用者建立的憑據 |
備份管理 | - | √ 支援備份所有密鑰和憑據,包含資源使用者建立的密鑰和憑據 | × |
應用管理 | 建立應用存取點 | √ | √ |
情境樣本
企業的部門A購買了KMS執行個體,如果部門B也希望使用KMS執行個體,企業可以通過資來源目錄集中管理阿里雲帳號,然後通過資源共用來共用KMS執行個體。架構圖如下所示:
步驟一:開通資來源目錄並搭建多帳號組織圖
請使用阿里雲帳號M開通資來源目錄,阿里雲帳號M即為資來源目錄的管理帳號。然後建立部門A、部門B兩個資源夾,並將阿里雲帳號A1加入資源夾部門A中,阿里雲帳號B1、阿里雲帳號B2加入資源夾部門B中。
步驟二:啟用資來源目錄組織共用
請使用資來源目錄的管理帳號(即阿里雲帳號M)啟用資來源目錄組織共用功能。啟用後,資源所有者(管理帳號或成員)可以在資來源目錄內,將資源共用給整個資來源目錄及其下的資源夾或成員。更多資訊,請參見啟用資來源目錄組織共用。
使用阿里雲帳號M登入資源共用控制台,在左側導覽列,選擇。
單擊啟用,然後在資源共用服務關聯角色對話方塊,單擊確定。
系統會自動建立一個名為AliyunServiceRoleForResourceSharing的服務關聯角色,用於擷取資來源目錄的組織資訊。更多資訊,請參見資源共用服務關聯角色。
步驟三:資源所有者共用KMS執行個體
將KMS執行個體共用給其他阿里雲帳號時,建議單獨建立共用單元以控制資源使用者範圍,避免將該共用單元授權給過多的資源使用者。
要共用的KMS執行個體必須是已启用狀態。
共用KMS執行個體支援在Key Management Service控制台操作,也支援在資源共用控制台操作。
在Key Management Service控制台操作
使用阿里雲帳號A1登入Key Management Service控制台,在頂部功能表列選擇地區資訊後,在左側導覽列單擊实例管理。
在实例管理頁面,單擊對應的執行個體頁簽。
定位到目標KMS執行個體,單擊操作列的资源共享。
在添加到共用單元面板中單擊建立,建立完成後單擊確定。
配置項
說明
共用單元名稱
自訂共用單元的名稱。格式為中文字元、英文大小寫字元、數字及特殊字元(“.”、“_”或“-”),最長不允許超過50個字元。
關聯許可權
資源使用者的許可權。具體的許可權詳情,請在資源共用控制台上的許可權庫中查看。
AliyunRSDefaultPermissionKMSInstance(推薦)
AliyunRSPermissionKMSInstanceReadWrite(已廢棄):如果您之前使用該許可權,可以繼續正常使用。
添加資源使用者
重要將KMS執行個體共用給資源使用者,會扣除KMS執行個體的訪問管理數量額度,因此在建立共用單元時,建議您將資源使用者的類型選擇為阿里雲帳號或資源夾(組織單元),避免共用給資來源目錄組織。
支援如下三種類型:
阿里雲帳號:輸入使用者ID(即阿里雲帳號UID),單擊添加。將KMS執行個體共用給該阿里雲帳號。本文樣本採用該方式。
資來源目錄組織:將KMS執行個體共用給該資來源目錄下的所有成員帳號。如果該資來源目錄後續新增了成員帳號,該KMS執行個體會自動共用給新的成員帳號。
資源夾(組織單元):輸入資源夾ID(以fd開頭,例如fd-gLh1HJ****),將KMS執行個體共用給該資源夾下的所有成員帳號。如果該資源夾後續新增了成員帳號,該KMS執行個體會自動共用給新的成員帳號。
如果您在建立共用單元時未指定資源使用者,也可以在修改共用單元時指定。
KMS執行個體共用成功後,在KMS執行個體ID下方會顯示共享中。資源使用者登入Key Management Service控制台,可以查看到該KMS執行個體,在KMS執行個體ID下方會顯示来自共享。
在資源共用控制台操作
具體操作,請參見僅在資來源目錄內共用資源。
步驟五:資源使用者使用KMS執行個體
使用密鑰
建立密鑰。具體操作,請參見建立密鑰。
使用密鑰進行密碼運算操作。
雲產品服務端加密:詳細內容,請參見雲產品整合KMS加密概述和支援整合KMS加密的雲產品。
自建應用加密:詳細內容,請參見SDK參考。
使用憑據
更多操作
在共用單元中添加或移除資源使用者
在Key Management Service控制台操作
登入Key Management Service控制台,在頂部功能表列選擇地區資訊後,在左側導覽列單擊实例管理。
在实例管理頁面,根據您的KMS執行個體類型,單擊软件密钥管理頁簽或硬件密钥管理頁簽。
定位到目標KMS執行個體,單擊操作的资源共享。
在添加到共用單元面板選擇共用單元,單擊資源使用者的編輯添加或移除資源使用者,然後單擊確定。
在資源共用控制台操作
具體操作,請參見修改共用單元。
解除KMS執行個體的共用關係
解除共用關係前,資源使用者需要刪除自己建立的所有密鑰和憑據,請確認密鑰或憑據已不再使用,否則會導致您的業務不可用。
僅支援在資源共用控制台操作。具體操作,請參見刪除共用單元。