密钥管理服务：设置凭据策略

注意事项

• 仅KMS实例中的凭据支持凭据策略。您可在创建凭据时设置凭据策略，也可在创建后进行设置。创建时设置，请参见管理及使用凭据。本文介绍创建后如何设置。

• 凭据策略的内容长度不超过32768个字节，且为JSON格式。

• 通过控制台设置凭据策略时，可选择使用默认策略、设置RAM用户或角色为管理员和使用者、以及设置其他账号使用者。如果您需要对凭据策略进行更精细化的策略设置，可以通过OpenAPI设置凭据策略。

  凭据策略中可以设置的操作列表如下，如果您设置了列表外的操作，设置后也不会生效。

  "Action": [
                  "kms:List*",
                  "kms:Describe*",
                  "kms:PutSecretValue",
                  "kms:Update*",
                  "kms:DeleteSecret",
                  "kms:RestoreSecret",
                  "kms:RotateSecret",
                  "kms:TagResource",
                  "kms:UntagResource"
                  "kms:GetSecretValue"
              ]

• 如果您想允许其他阿里云账号下的RAM用户、RAM角色使用凭据，不仅需要在KMS侧设置凭据策略允许其使用凭据，同时还要在RAM侧，使用该RAM用户、RAM角色的阿里云账号设置权限策略允许其使用凭据。具体操作，请参见密钥管理服务自定义权限策略参考、为RAM用户授权、为RAM角色授权。

通过控制台设置

1. 登录密钥管理服务控制台，在顶部菜单栏选择地域后，在左侧导航栏单击资源 > 凭据管理。

2. 在凭据管理页签，定位到您的目标凭据，单击凭据ID或操作列的详情。

3. 在详情页面下方的凭据策略区域，单击设置凭据策略，完成设置后单击确定。

   您可以为凭据设置管理员、使用者、其他账号使用者。

   • 管理员：对凭据进行管控类操作，不支持使用凭据（即获取凭据值）。支持选择当前账号下的RAM用户和RAM角色。

     设置凭据管理员

     示例如下，表示允许RAM用户（key_ramuser1）、RAM角色（key_ramrole1）作为管理员管理凭据。

             {
                 "Action": [
                     "kms:List*",
                     "kms:Describe*",
                     "kms:PutSecretValue",
                     "kms:Update*",
                     "kms:DeleteSecret",
                     "kms:RestoreSecret",
                     "kms:RotateSecret",
                     "kms:TagResource",
                     "kms:UntagResource"
                 ],
                 "Effect": "Allow",
                 "Principal": {
                     "RAM": [
                         "acs:ram::119285303511****:user/key_ramuser1",
                         "acs:ram::119285303511****:role/key_ramrole1"
                     ]
                 },
                 "Resource": [
                     "*"
                 ]
             }

   • 使用者：仅支持使用凭据，即获取凭据值。支持选择当前账号下的RAM用户和RAM角色。

     设置凭据使用者

     示例如下，表示允许RAM用户（key_ramuser2）、RAM角色（key_ramrole2）使用凭据。

             {
                 "Action": [
                     "kms:List*",
                     "kms:Describe*",
                     "kms:GetSecretValue"
                 ],
                 "Effect": "Allow",
                 "Principal": {
                     "RAM": [
                         "acs:ram::119285303511****:user/key_ramuser2",
                         "acs:ram::119285303511****:role/key_ramrole2"
                     ]
                 },
                 "Resource": [
                     "*"
                 ]
             }

   • 其他账号使用者：仅支持使用凭据，即获取凭据值。可以是其他阿里云账号的RAM用户或RAM角色。

     • RAM用户：格式为acs:ram::<userId>:user/<ramuser>，例如acs:ram::119285303511****:user/testpolicyuser。

     • RAM角色：格式为acs:ram::<userId>:role/<ramrole>，例如acs:ram::119285303511****:role/testpolicyrole。

     设置其他账号使用者

     示例如下，表示允许其他阿里云账号（190325303126****）的RAM用户（key_ramuser3）使用凭据。

             {
                 "Action": [
                     "kms:List*",
                     "kms:Describe*",
                     "kms:GetSecretValue"
                 ],
                 "Effect": "Allow",
                 "Principal": {
                     "RAM": [
                         "acs:ram::190325303126****:user/key_ramuser3"
                     ]
                 },
                 "Resource": [
                     "*"
                 ]
             }