本文以RAM用户为例介绍如何授权。
操作步骤
使用阿里云账号登录RAM控制台。
创建自定义的权限策略。
在左侧导航栏,选择。
在权限策略页面,单击创建权限策略。
在创建权限策略页面,单击脚本编辑页签。
说明RAM提供可视化编辑和脚本编辑方式来创建权限策略。创建KMS资源的自定义权限策略时,您需要使用脚本编辑方式,可视化编辑方式仅支持选择KMS的全部资源和全部操作。
编辑权限策略脚本,然后单击继续编辑基本信息。
编写KMS权限策略脚本时,您需要自定义授权语句,包括效果(Effect)、操作(Action)、资源(Resource)以及条件(Condition,可选项)。更多信息,请参见附录:KMS支持的资源(Resource)、操作(Action)、条件(Condition)。
说明关于权限策略语法结构的详情,请参见权限策略语法和结构。
输入权限策略名称和备注信息,根据页面提示检查并优化权限策略内容。
单击确定。
授予RAM用户自定义的权限策略。
在左侧导航栏,选择。
在用户页面,找到目标RAM用户,在操作列单击添加权限。
在新增授权面板,完成如下配置,然后单击确认新增授权。
配置项
说明
资源范围
选择权限在当前阿里云账号生效或者在指定资源组内生效。目前KMS还未支持资源组功能,请选择整个云账号。
授权主体
需要授权的RAM用户。系统自动填入您选择的RAM用户,您也可以手动添加其他RAM用户。
权限策略
根据使用场景选择自定义的权限策略。
附录:KMS支持的资源(Resource)、操作(Action)、条件(Condition)
资源(Resource)
KMS定义的资源类型包括抽象密钥容器、抽象凭据容器、抽象别名容器、密钥、凭据、别名,您可以通过以下方式获取资源对应的资源名称ARN(Aliyun Resource Names),用于RAM权限策略的Resource元素。例如,查看密钥的ARN:
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击。
在用户主密钥页签,定位到目标密钥,单击操作列的详情,在密钥详情页面获取ARN。
不同资源类型对应的ARN格式不同,具体信息,如下表所示。说明请将
${region}和${account}替换为您实际的地域和阿里云账号,您也可以根据需求缩小资源范围。${region}支持通配符*,表示所有支持的地域。资源类型
ARN
抽象密钥容器
acs:kms:${region}:${account}:key
抽象凭据容器
acs:kms:${region}:${account}:secret
抽象别名容器
acs:kms:${region}:${account}:alias
密钥
acs:kms:${region}:${account}:key/${key-id}
说明密钥资源的ARN支持通配符*。例如:
acs:kms:${region}:${account}:key/*:表示对应地域和账号下的所有密钥。acs:kms:*:${account}:key/*:表示对应账号下所有地域的所有密钥。
凭据
acs:kms:${region}:${account}:secret/${secret-name}
说明凭据资源的ARN支持以下两种通配方式:
acs:kms:${region}:${account}:secret/*:表示对应地域和账号下的所有凭据。acs:kms:${region}:${account}:secret/prefix*:表示对应地域和账号下凭据名称前缀为prefix的所有凭据。
别名
acs:kms:${region}:${account}:alias/${alias-name}
操作(Action)
针对每一个需要进行访问控制的接口,KMS都定义了用于RAM权限策略的操作(Action),通常为kms:<api-name>。
操作DescribeRegions不需要进行访问控制,只要请求可以通过认证校验,即可调用。调用者可以是阿里云账号、RAM用户或RAM角色。
以下表格列出了KMS接口的对应RAM权限策略操作,以及接口所访问的资源类型。
请将${region}和${account}替换为您实际的地域和阿里云账号,您也可以根据需求缩小资源范围。${region}支持通配符*,表示所有支持的地域。