在企業環境中,各帳號分別獨立管理密鑰會導致管理成本增加,並且安全性原則難以統一。KMS 執行個體的多帳號共用功能允許企業將單一 KMS 執行個體在組織範圍內安全地分配給多個成員帳號,實現統一的密鑰管理和成本最佳化。
工作流程
KMS執行個體共用功能雲端式服務商的資來源目錄和資源共用服務構建。具體流程如下:
組織構建:通過資來源目錄服務,將企業內的所有相關雲帳號作為成員,統一管理在一個組織中。
資源共用:執行個體擁有者通過資源共用服務建立“共用單元”,將KMS執行個體作為“共用資源”加入,並指定資來源目錄中的其他成員為“資源使用者”。
許可權授予:
權限原則:執行個體擁有者在建立共用時,配置預定義的權限原則(
AliyunRSDefaultPermissionKMSInstance),資源共用服務將此策略應用於指定的資源使用者。共用模式:支援“独立所有权”和“联合所有权”兩種方式,用於劃分KMS執行個體內資源(密鑰和憑據)的使用許可權。
RAM使用者:資源使用者需對其 RAM 身份(RAM 使用者或角色)配置具備特定操作許可權的 RAM 策略(如
kms:Encrypt,kms:Decrypt等)。
業務情境樣本:企業的部門A購買了KMS執行個體,如果部門B也希望使用KMS執行個體,企業可以通過資來源目錄集中管理阿里雲帳號,然後通過資源共用服務實現KMS執行個體的共用。架構圖如下所示:
適用範圍
執行個體要求:
已啟用的軟體密鑰管理執行個體、硬體密鑰管理執行個體。
帳號與組織要求:
執行個體擁有者和執行個體使用者必須在同一企業實名認證下。
執行個體擁有者和執行個體使用者必須屬於同一個資來源目錄。
共用模式選擇指南
特性 | 獨立所有權 | 聯合所有權 |
適用情境 | 存在跨帳號同名憑據,或需要進行許可權隔離。 | 需要由中心化團隊(如IT、安全部門)對所有密鑰和憑據進行統一管理和審計的內部協作情境。 |
核心特性 | 資料主權獨立:執行個體擁有者無權管理或使用執行個體使用者建立的密鑰和憑據。 | 資料主權共用:執行個體擁有者可以管理和使用執行個體使用者建立的密鑰和憑據。 |
跨帳號同名 | 允許。執行個體使用者和執行個體擁有者可以在執行個體內建立同名的憑據。 | 不允許。執行個體內所有密鑰/憑據名稱必須唯一。 |
模式變更 | 無法變更為联合所有权。 | 可變更為独立所有权。 |
如需瞭解兩種模式下詳細的許可權差異,請參見附錄:共用模式功能許可權詳情。
操作指南
配置共用(執行個體擁有者)
步驟一:準備資來源目錄並開通組織內共用
啟用資來源目錄:
登入控制台
使用管理帳號登入資源管理主控台。
開通資來源目錄
在左側導覽列,選擇。單擊開通資來源目錄。具體操作,請參見開通資來源目錄。
建立資源夾
在頁面右上方單擊資源群組織視圖。在左側的資來源目錄樹中,單擊目標資源夾,然後在成員頁簽單擊建立資源夾,填寫資源夾名稱,然後單擊確定。具體操作,請參見建立資源夾。
配置成員
在成員頁簽單擊建立成員或邀請成員,並參照建立成員、邀請阿里雲帳號加入資來源目錄和移動成員完成帳號名稱、帳號UID、結算帳號等資訊的配置。
邀請成員
參數
描述
邀請的帳號UID或帳號登入郵箱
帳號UID:擷取方式,請參見如何查看阿里雲帳號ID?。
帳號登入郵箱:該郵箱為註冊帳號時填寫的登入郵箱。沒有登入郵箱的,請填寫帳號UID。
支援一次性輸入多個進行批量邀請,多個帳號之間用英文逗號(,)分隔。
備忘
填寫邀請備忘,方便被邀請方確認邀請行為的可信性,從而使流程快速完成。
標籤
為成員綁定標籤,方便基於標籤的成員管理。
歸屬資源夾
預設邀請的帳號歸屬在Root資源夾下,您可以單擊修改,按需將成員歸屬到目標資源夾下。該項在成員邀請成功後也支援調整。
建立成員
參數
描述
阿里雲帳號名稱
阿里雲帳號名稱是成員的唯一標識,在資來源目錄內必須唯一。
阿里雲帳號名稱長度為2~50個字元,允許輸入英文字母、數字和特殊字元
_.-,必須以英文字母或數字開頭和結尾,且不能輸入連續的特殊字元_.-。
顯示名稱
顯示名稱長度為2~50個字元或漢字,允許輸入漢字、英文字母、數字和特殊字元
_.-。結算帳號
設定新建立成員的費用承擔者。
使用管理帳號為新成員付款:指定資來源目錄的管理帳號作為託管結算帳號。
使用已有成員為新成員付款:指定資來源目錄的已有成員作為託管結算帳號。您需要在指定一個成員面板中,從資來源目錄的分類樹中選擇一個成員。
說明若成員不具備付款能力則無法被選中。關於如何判斷成員是否具備付款能力,請參見財務託管。
新成員自主付款:指定當前成員作為結算帳號。
標籤
為成員綁定標籤,方便基於標籤的成員管理。
歸屬資源夾
預設邀請的帳號歸屬在Root資源夾下,您可以單擊修改,按需將成員歸屬到目標資源夾下。該項在成員邀請成功後也支援調整。
開通資源共用
開通後,資源所有者(管理帳號或成員)可以在資來源目錄內,將資源共用給整個資來源目錄及其下的資源夾或成員。更多資訊,可參見啟用資來源目錄組織共用。
使用資來源目錄的管理帳號登入資源共用控制台,在左側導覽列,選擇。
單擊啟用,然後在資源共用服務關聯角色對話方塊,單擊確定。
說明系統會自動建立一個名為AliyunServiceRoleForResourceSharing的服務關聯角色,用於擷取資來源目錄的組織資訊。更多資訊,可參見資源共用服務關聯角色。
步驟二:配置共用KMS執行個體
本步驟指導執行個體擁有者如何將KMS執行個體共用給一個或多個使用者。
登入控制台
使用執行個體擁有者登入Key Management Service控制台,在頂部功能表列選擇地區資訊後,在左側導覽列單擊实例管理。
選擇共用模式
在实例管理頁面,定位到目標KMS執行個體,單擊操作列的资源共享。在RD多账号共享设置面板,首先根據共用模式選擇指南選擇共享模式。
配置共用單元
在添加到共用單元地區,選擇或新增共用單元。
對比項
新增共用單元(推薦)
從已有中選擇
適用情境
首次共用或需要許可權隔離時。
需要將當前執行個體添入已有共用單元,並複用其使用者和許可權時。
特點
許可權隔離:只包含當前 KMS 執行個體,許可權獨立。
控制範圍:僅新添加的帳號可使用共用執行個體。
許可權共用:
原共用單元的所有使用者將自動獲得新執行個體的訪問權,消耗執行個體的訪問管理配額。
對該共用單元的任何許可權變動,將同時影響該單元內所有已加入的資源。
控制範圍:原共用單元的資源使用者以及新添加的帳號均可使用共用執行個體。
警告可能導致非預期的許可權提升和配額消耗,請謹慎操作。
配置共用參數
根據所選方式,完成以下配置後,單擊確認。
新增共用單元(推薦)
共用單元名稱
支援中文字元、英文大小寫字元、數字及特殊字元(“.”、“_”或“-”),最長不超過50個字元。
資源使用者(執行個體使用者)
指定可以使用此KMS執行個體的帳號。
重要建議按“資源夾”或“雲帳號”添加,以實現精細化控制。每次添加都會消耗執行個體的“訪問管理數量”配額。
若在已有的共用單元中增加或刪除使用者,該變更將對單元內所有資源生效。
支援添加以下三種類型:
阿里雲帳號:資源僅共用給指定的阿里雲帳號(UID)。
資來源目錄組織:將資源共用給整個資來源目錄下的所有成員帳號,包括後續新增的成員。
資源夾(組織單元):輸入資源夾 ID,將資源共用給該資源夾下的所有成員,包括後續新增的成員。資源夾ID格式:fd-字串,如何查看資源夾資訊,請參見查看資源夾基本資料。
關聯許可權
配置資源使用者(執行個體使用者)的許可權。具體的許可權詳情,請在資源共用控制台上的許可權庫中查看。
AliyunRSDefaultPermissionKMSInstance(推薦):有兩個版本(v1、v2),新建立的許可權預設為v2。關於如何查看許可權版本,可參見查看許可權詳情。
AliyunRSPermissionKMSInstanceReadWrite(已廢棄):若之前使用該許可權,可以繼續正常使用。
從已有中選擇
選擇共用單元
系統會同步當前帳號下的所有共用單元。更多內容參見建立共用單元。
共用資源列表
此列表自動展示所選共用單元中已有的資源(不可修改)。本次操作完成後,當前KMS執行個體將被添加至該共用單元。
資源使用者(執行個體使用者)
指定可以使用此KMS執行個體的帳號.
重要建議按“資源夾”或“雲帳號”添加,以實現精細化控制。每次添加都會消耗執行個體的“訪問管理數量”配額。
若在已有的共用單元中增加或刪除使用者,該變更將對單元內所有資源生效。
支援添加以下三種類型:
阿里雲帳號:資源僅共用給指定的阿里雲帳號(UID)。
資來源目錄組織:將資源共用給整個資來源目錄下的所有成員帳號,包括後續新增的成員。
資源夾(組織單元):輸入資源夾 ID,將資源共用給該資源夾下的所有成員,包括後續新增的成員。資源夾ID格式:fd-字串,如何查看資源夾資訊,請參見查看資源夾基本資料。
關聯許可權
配置資源使用者(執行個體使用者)的許可權。具體的許可權詳情,請在資源共用控制台上的許可權庫中查看。
AliyunRSDefaultPermissionKMSInstance(推薦):有兩個版本(v1、v2),新建立的許可權預設為v2。關於如何查看許可權版本,可參見查看許可權詳情。
AliyunRSPermissionKMSInstanceReadWrite(已廢棄):若之前使用該許可權,可以繼續正常使用。
使用共用執行個體(執行個體使用者)
驗證共用是否成功,並在共用執行個體中建立和使用密鑰/憑據。
登入控制台
執行個體使用者登入Key Management Service控制台,在实例管理頁面,將看到一個帶有共享中標籤的 KMS 執行個體。
建立密鑰和憑據
在密钥管理或凭据管理頁簽,單擊建立密鑰或创建凭据。其中KMS实例選擇共用執行個體,其餘配置資訊可參見建立密鑰、建立憑據。
為RAM使用者賦權:
資源使用者需要為其 RAM 身份(使用者或角色)配置 RAM 策略,授予調用具體 KMS API 的許可權(例如
kms:Encrypt,kms:Decrypt),具體操作參考使用RAM進行存取控制。使用密鑰和憑據
成功建立密鑰和憑據後,即可在雲產品或自建應用中使用它們。具體方法請參考以下文檔:
雲產品服務端加密:雲產品整合KMS加密概述、支援整合KMS加密的雲產品。
雲產品整合憑據:雲產品整合KMS憑據。
自建應用整合KMS(密鑰和憑據):自建應用整合KMS。
管理與維護
修改共用單元的資源使用者(執行個體使用者)
在Key Management Service控制台操作
執行個體擁有者登入Key Management Service控制台,在頂部功能表列選擇地區資訊後,在左側導覽列單擊实例管理。
在实例管理頁面,根據KMS執行個體類型,單擊软件密钥管理頁簽或硬件密钥管理頁簽。
定位到目標KMS執行個體,單擊操作的资源共享。
在添加到共用單元面板選擇共用單元,單擊資源使用者的編輯添加或移除資源使用者,然後單擊確定。
在資源共用控制台操作
具體操作,可參見修改共用單元。
解除KMS執行個體的共用關係
撤銷共用前,執行個體使用者必須主動刪除自己建立的所有密鑰和憑據,否則將導致撤銷失敗。請確保關聯資源已不再使用,避免業務中斷。
僅支援在資源共用控制台操作。
使用管理帳號登入資源共用控制台。
在左側導覽列,選擇。在共用單元列表中,單擊目標共用單元ID。
在頁面右上方,單擊刪除共用單元。在刪除共用單元對話方塊,單擊確定。
應用於生產環境
在生產環境中部署和使用共用執行個體時,請遵循以下內容,以確保系統的穩定性、安全性和合規性。
網路連通性
如果執行個體使用者的自建應用部署在VPC內,且需要通過私網網關訪問KMS,執行個體擁有者需將執行個體使用者所屬的 VPC 綁定至共用 KMS執行個體,以實現私網訪問。具體操作,可參見同地區多VPC訪問KMS執行個體。
審計與合規
執行個體擁有者:必須在其帳號下開啟Action Trail,以記錄對共用執行個體的所有管理操作以及使用者執行的關鍵操作。
執行個體使用者:建議開啟Action Trail,以記錄自身帳號內的所有API調用活動。
變更管理:
撤銷共用:在撤銷共用關係或刪除共用單元前,執行個體使用者需刪除其在共用執行個體中建立的所有密鑰和憑據。若有資源殘留,撤銷操作將失敗。請確保關聯資源已不再使用,避免業務中斷。如何撤銷可參見解除KMS執行個體的共用關係。
修改執行個體使用者:在共用單元中增刪使用者會影響該單元內的所有共用資源。為避免許可權混亂,建議為不同業務情境或團隊建立獨立的共用單元。如何修改可參見修改共用單元的資源使用者(執行個體使用者)。
配額與限制
功能限制
不支援共用預設密鑰(例如
alias/acs/oss的密鑰)。執行個體使用者無法跨地區使用共用的KMS執行個體。
在聯合所有權模式中,執行個體內所有密鑰和憑據的名稱必須全域唯一。
訪問管理數量限制
共用KMS執行個體會消耗執行個體擁有者的訪問管理數量。如果數量不足,請及時升配KMS執行個體。
重要配額計算:
已消耗配額 = 共用的帳號數量 + 綁定的VPC數量。例如,將一個執行個體共用給3個帳號,並綁定了2個VPC,共消耗5個配額。
配額變更生效說明:若因配額不足導致添加資源使用者失敗,在您提升執行個體配額後,系統不會自動重試該失敗操作。您需要手動將該使用者(帳號或資源夾)從共用單元中移除,然後重新添加。
常見問題
配置完成後,若執行個體使用者調用 API 返回 “AccessDenied” 或 “Forbidden”錯誤,應如何進行排查?
建議依次排查以下四項許可權配置:
資源共用許可權:在資源共用控制台,確認使用者帳號已成功加入共用單元,且共用狀態正常。
KMS執行個體許可權:檢查共用單元關聯的許可權是否為
AliyunRSDefaultPermissionKMSInstance。RAM調用許可權:確認調用API的RAM使用者或RAM角色,已被授予訪問KMS的RAM策略。例如
kms:Encrypt、kms:Decrypt等操作許可權。資源歸屬:在獨立所有權模式下,確認操作的密鑰或憑據是由當前執行個體使用者建立。
在聯合所有權模式下建立憑據時,為什麼提示名稱衝突?
在联合所有权模式中,整個KMS執行個體內的所有密鑰和憑據名稱必須唯一,不允許執行個體所有者和使用者建立同名資源。
解決方案一:更換憑據名稱。
解決方案二:如業務情境確需支援跨帳號同名密鑰或憑據,可將共用模式切換為“独立所有权”模式。
警告此變更僅支援從“聯合所有權”變更為“獨立所有權”,且變更後無法撤銷。請在操作前仔細評估其影響。
附錄:共用模式功能許可權詳情
下表詳細列出了在兩種共用模式中,執行個體擁有者和執行個體使用者對各項功能的操作許可權。
表示支援該功能項,表示不支援該功能項。
联合所有权
功能項 | 子項 | 執行個體擁有者 | 執行個體使用者 |
執行個體管理 | 查看KMS執行個體詳情 | ||
配置多VPC訪問KMS執行個體 | |||
升級執行個體 | |||
續約執行個體 | |||
解除共用關聯 | |||
密鑰管理 | 建立密鑰 | ||
查看密鑰中繼資料 | 說明 支援所有密鑰,包含執行個體使用者建立的密鑰。 | 說明 僅支援執行個體使用者建立的密鑰。 | |
設定密鑰輪轉 | |||
設定計劃刪除密鑰 | |||
開啟刪除保護 | |||
建立並管理密鑰別名 | |||
添加並管理密鑰標籤 | |||
密碼運算 | 無 | ||
憑據管理 | 建立憑據 | ||
查看憑據中繼資料 | 說明 支援所有憑據,包含執行個體使用者建立的憑據。 | 說明 僅支援執行個體使用者建立的憑據。 | |
刪除憑據 | |||
設定憑據輪轉 | |||
添加並管理認證標籤 | |||
擷取憑據值 | 無 | ||
備份管理 | 無 | 說明 支援備份所有密鑰和憑據,包含執行個體使用者建立的密鑰和憑據。 | |
應用接入 | 建立應用存取點 |
独立所有权
功能項 | 子項 | 執行個體擁有者 | 執行個體使用者 |
執行個體管理 | 查看KMS執行個體詳情 | ||
配置多VPC訪問KMS執行個體 | |||
升級執行個體 | |||
續約執行個體 | |||
解除共用關聯 | |||
密鑰管理 | 建立密鑰 | ||
查看密鑰中繼資料 | 說明 僅支援執行個體擁有者建立的密鑰。 | 說明 僅支援執行個體使用者建立的密鑰。 | |
設定密鑰輪轉 | |||
設定計劃刪除密鑰 | |||
開啟刪除保護 | |||
建立並管理密鑰別名 | |||
添加並管理密鑰標籤 | |||
密碼運算 | 無 | ||
憑據管理 | 建立憑據 | ||
查看憑據中繼資料 | 說明 僅支援執行個體擁有者建立的密鑰。 | 說明 僅支援執行個體使用者建立的憑據。 | |
刪除憑據 | |||
設定憑據輪轉 | |||
添加並管理認證標籤 | |||
擷取憑據值 | 無 | ||
備份管理 | 無 | 說明 僅支援備份執行個體擁有者建立的密鑰。 | |
應用接入 | 建立應用存取點 |