创建访问凭证

阿里云账号默认有所有资源的Administrator权限且不可修改，其AccessKey泄露会危及资源安全，因此强烈建议不要为主账号创建AccessKey，请创建专用于API访问的RAM用户并创建对应的AccessKey，并完成最小化授权。具体操作，请参见创建AccessKey。

1. 登录RAM控制台，在用户页面，单击目标RAM用户名称。

2. 在认证管理页签下的AccessKey区域，单击创建AccessKey，并按照指引完成创建。

   

3. 授予RAM用户访问KMS的权限。

   • 方式一：设置基于身份的策略

     KMS内置了系统权限策略，可以直接绑定到RAM用户，详细介绍，请参见密钥管理服务系统权限策略参考。您也可以自定义权限策略。

   • 方式二：设置基于资源的策略

     KMS支持基于资源的策略，即为单个密钥和凭据设置访问权限，用于控制哪些阿里云账号、RAM用户、RAM角色有权限来管理或使用KMS密钥、凭据。详细介绍，请参见密钥策略、凭据策略。

通过STS服务为RAM用户或RAM角色颁发一个临时访问凭证，可以在限定的有效期内，以符合策略规定的权限访问KMS，超过有效期后，该凭证自动失效。

1. 登录RAM控制台，创建RAM用户或RAM角色。具体操作，请参见创建RAM用户、创建RAM角色。

2. 为RAM用户或RAM角色授予AliyunSTSAssumeRoleAccess权限。具体操作，请参见为RAM用户授权、为RAM角色授权。

3. 授予RAM用户或RAM角色访问KMS的权限。

   • 方式一：设置基于身份的策略

     KMS内置了系统权限策略，可以直接绑定到RAM用户或RAM角色，详细介绍，请参见密钥管理服务系统权限策略参考。您也可以自定义权限策略。

   • 方式二：设置基于资源的策略

     KMS支持基于资源的策略，即为单个密钥和凭据设置访问权限，用于控制哪些阿里云账号、RAM用户、RAM角色有权限来管理或使用KMS密钥、凭据。详细介绍，请参见密钥策略、凭据策略。

4. 使用RAM用户或RAM角色调用STS服务的AssumeRole接口获取STS临时访问凭证。具体操作，请参见AssumeRole - 获取扮演角色的临时身份凭证。

RAM用户或云产品可以通过扮演角色的方式获取临时权限，而不是直接使用长期密钥，降低了密钥泄露的风险。例如，在临时的数据处理任务中，RAM用户或云产品临时扮演一个具有特定RamRoleArn的角色，完成任务后角色权限被收回，减少泄露风险。

1. 登录RAM控制台，创建RAM角色。具体操作，请参见创建RAM角色。

2. 授予RAM角色访问KMS的权限。

   • 方式一：设置基于身份的策略

     KMS内置了系统权限策略，可以直接绑定到RAM角色，详细介绍，请参见密钥管理服务系统权限策略参考。您也可以自定义权限策略。

   • 方式二：设置基于资源的策略

     KMS支持基于资源的策略，即为单个密钥和凭据设置访问权限，用于控制哪些阿里云账号、RAM用户、RAM角色有权限来管理或使用KMS密钥、凭据。详细介绍，请参见密钥策略、凭据策略。

3. 获取目标RAM角色的RamRoleArn。具体操作，请参见查看RAM角色。

   说明

   RamRoleArn是RAM角色的ARN信息，即需要扮演的角色ID。格式为acs:ram::$accountID:role/$roleName。$accountID为阿里云账号ID。$roleName为RAM角色名称。

   

ECS RAM角色是指为ECS实例授予的RAM角色，该RAM角色是一个受信服务为云服务器的普通服务角色。使用实例RAM角色可以实现在ECS实例内部无需配置AccessKey即可获取临时访问凭证（STS Token），从而调用KMS的OpenAPI。

具体操作，请参见实例RAM角色。

1. 登录RAM控制台，创建可信实体为阿里云服务的RAM角色。

   • 可信实体类型：选择阿里云服务。

   • 角色类型：选择普通服务角色。

   • 受信服务：选择云服务器。

2. 授予RAM角色访问KMS的权限。

   • 方式一：设置基于身份的策略

     KMS内置了系统权限策略，可以直接绑定到RAM角色，详细介绍，请参见密钥管理服务系统权限策略参考。您也可以自定义权限策略。

   • 方式二：设置基于资源的策略

     KMS支持基于资源的策略，即为单个密钥和凭据设置访问权限，用于控制哪些阿里云账号、RAM用户、RAM角色有权限来管理或使用KMS密钥、凭据。详细介绍，请参见密钥策略、凭据策略。

3. 登录ECS管理控制台，将RAM角色授予ECS实例。