全部产品
存储与CDN 数据库 安全 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网 钉钉智能硬件

使用RAM实现KMS资源授权

更新时间:2017-06-07 13:26:11

用户创建的主密钥,都是该用户自己拥有的资源。默认情况下,用户对自己的资源拥有完整的操作权限,可以使用本文档中列举的所有 API 对资源进行操作。

但在主子账号的场景下,子账号刚创建时是没有资格去操作主账号的资源的。需要通过 RAM 授权的方式,给予子账号操作主账号资源的权限。

在了解如何使用 RAM 来授权和访问主密钥之前,请确保您已详细阅读了 RAM 产品文档API文档

RAM中可授权的KMS资源类型

目前KMS有两种key资源,arn格式如下:

  1. acs:kms:${region-id}:${resource-owner-id}:key/${key-uuid}
  2. acs:kms:${region-id}:${resource-owner-id}:key

KMS中的操作主要有以下几类:

  • 创建密钥
    • CreateKey
  • 产生数据密钥
    • GenerateDataKey
  • 加密
    • Encrypt
  • 解密数据
    • Decrypt
  • 查看密钥详情
    • DescribeKey
  • 列出密钥
    • ListKeys

授权中Ram对应的Action和Resource分别是:

Api Action Resource
CreateKey kms:CreateKey acs:kms:$regionid:${resource-owner-id}:key
ListKeys kms:ListKeys acs:kms:$regionid:${resource-owner-id}:key
GenerateDataKey kms:GenerateDataKey acs:kms:$regionid:${resource-owner-id}:key/${keyid}
Encrypt kms:Encrypt acs:kms:$regionid:${resource-owner-id}:key/${keyid}
Decrypt kms:Decrypt acs:kms:$regionid:${resource-owner-id}:key/${keyid}
DescribeKey kms:DescribeKey acs:kms:$regionid:${resource-owner-id}:key/${keyid}
EnableKey kms:EnableKey acs:kms:$regionid:${resource-owner-id}:key/${keyid}
DisableKey kms:DisableKey acs:kms:$regionid:${resource-owner-id}:key/${keyid}
ScheduleKeyDeletion kms:ScheduleKeyDeletion acs:kms:$regionid:${resource-owner-id}:key/${keyid}
CancelKeyDeletion kms:CancelKeyDeletion acs:kms:$regionid:${resource-owner-id}:key/${keyid}
本文导读目录