全部产品
Search
文档中心

密钥管理服务:设置凭据策略

更新时间:Apr 28, 2024

您可以在凭据策略中添加或删除RAM用户、RAM角色,以设置凭据的管理员和使用者。本文介绍如何设置凭据策略。

注意事项

  • 仅KMS实例中的凭据支持凭据策略。您可在创建凭据时设置凭据策略,也可在创建后进行设置。创建时设置,请参见管理及使用凭据。本文介绍创建后如何设置。

  • 凭据策略的内容长度不超过32768个字节,且为JSON格式。

  • 通过控制台设置凭据策略时,可选择使用默认策略、设置RAM用户或角色为管理员和使用者、以及设置其他账号使用者。如果您需要对凭据策略进行更精细化的策略设置,可以通过OpenAPI设置凭据策略。

    凭据策略中可以设置的操作列表如下,如果您设置了列表外的操作,设置后也不会生效。

    "Action": [
                    "kms:List*",
                    "kms:Describe*",
                    "kms:PutSecretValue",
                    "kms:Update*",
                    "kms:DeleteSecret",
                    "kms:RestoreSecret",
                    "kms:RotateSecret",
                    "kms:TagResource",
                    "kms:UntagResource"
                    "kms:GetSecretValue"
                ]
  • 如果您想允许其他阿里云账号下的RAM用户、RAM角色使用凭据,不仅需要在KMS侧设置凭据策略允许其使用凭据,同时还要在RAM侧,使用该RAM用户、RAM角色的阿里云账号设置权限策略允许其使用凭据。具体操作,请参见密钥管理服务自定义权限策略参考为RAM用户授权为RAM角色授权

通过控制台设置

  1. 登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击资源 > 凭据管理

  2. 凭据管理页签,定位到您的目标凭据,单击凭据ID或操作列的详情

  3. 在详情页面下方的凭据策略区域,单击设置凭据策略,完成设置后单击确定

    您可以为凭据设置管理员、使用者、其他账号使用者。

    • 管理员:对凭据进行管控类操作,不支持使用凭据(即获取凭据值)。支持选择当前账号下的RAM用户和RAM角色。

      设置凭据管理员

      示例如下,表示允许RAM用户(key_ramuser1)、RAM角色(key_ramrole1)作为管理员管理凭据。

              {
                  "Action": [
                      "kms:List*",
                      "kms:Describe*",
                      "kms:PutSecretValue",
                      "kms:Update*",
                      "kms:DeleteSecret",
                      "kms:RestoreSecret",
                      "kms:RotateSecret",
                      "kms:TagResource",
                      "kms:UntagResource"
                  ],
                  "Effect": "Allow",
                  "Principal": {
                      "RAM": [
                          "acs:ram::119285303511****:user/key_ramuser1",
                          "acs:ram::119285303511****:role/key_ramrole1"
                      ]
                  },
                  "Resource": [
                      "*"
                  ]
              }
    • 使用者:仅支持使用凭据,即获取凭据值。支持选择当前账号下的RAM用户和RAM角色。

      设置凭据使用者

      示例如下,表示允许RAM用户(key_ramuser2)、RAM角色(key_ramrole2)使用凭据。

              {
                  "Action": [
                      "kms:List*",
                      "kms:Describe*",
                      "kms:GetSecretValue"
                  ],
                  "Effect": "Allow",
                  "Principal": {
                      "RAM": [
                          "acs:ram::119285303511****:user/key_ramuser2",
                          "acs:ram::119285303511****:role/key_ramrole2"
                      ]
                  },
                  "Resource": [
                      "*"
                  ]
              }
    • 其他账号使用者:仅支持使用凭据,即获取凭据值。可以是其他阿里云账号的RAM用户或RAM角色。

      • RAM用户:格式为acs:ram::<userId>:user/<ramuser>,例如acs:ram::119285303511****:user/testpolicyuser

      • RAM角色:格式为acs:ram::<userId>:role/<ramrole>,例如acs:ram::119285303511****:role/testpolicyrole

      设置其他账号使用者

      示例如下,表示允许其他阿里云账号(190325303126****)的RAM用户(key_ramuser3)使用凭据。

              {
                  "Action": [
                      "kms:List*",
                      "kms:Describe*",
                      "kms:GetSecretValue"
                  ],
                  "Effect": "Allow",
                  "Principal": {
                      "RAM": [
                          "acs:ram::190325303126****:user/key_ramuser3"
                      ]
                  },
                  "Resource": [
                      "*"
                  ]
              }