AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 密钥管理服务 密钥管理服务KMS 开发参考 API参考 OpenAPI API参考(KMS) API目录 凭据管理 SetSecretPolicy - 设置凭据策略

SetSecretPolicy - 设置凭据策略

更新时间:
产品详情
我的收藏

KMS实例中的凭据钥设置凭据策略。

接口说明

  • RAM 用户或 RAM 角色调用该 OpenAPI 需要被授予的权限策略详情,请参见访问控制

  • 关于凭据策略的详细介绍,请参见凭据策略概述

调试

您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。

调试

授权信息

当前API暂无授权信息透出。

请求参数

名称

类型

必填

描述

示例值
SecretName

string

凭据名称或凭据资源名称(ARN)。

说明

访问其他阿里云账号下的凭据时,必须输入凭据 ARN。凭据 ARN 的格式为acs:kms:${region}:${account}:secret/${secret-name}

secret_test
PolicyName

string

凭据策略名称。仅支持固定取值 default。

default
Policy

string

凭据策略的具体内容,JSON 格式。最大长度为 32768 个字节。

凭据策略内容包含:

  • Version:凭据策略的版本,目前版本仅支持设置为 1。

  • Statement:凭据策略的语句,每个凭据策略包含一个或多个语句。

凭据策略格式为:

{
    "Version": "1",
    "Statement": [
        {
            "Sid": "Enable RAM User Permissions",
            "Effect": "Allow",
            "Principal": {
              "RAM": ["acs:ram::12345678****:*"]
            },
            "Action": [
                "kms:*"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Statement 详细介绍:

  • Sid:可选,表示自定义的语句标识符。内容长度小于等于 128 字符,支持的字符为:大写英文字母(A-Z)、小写英文字母(a-z)、数字(0-9),特殊字符( _/+=.@-)。

  • Effect:必选,表示是允许还是拒绝该策略语句中的权限。取值为:Allow 或 Deny。

  • Principal:必选,表示权限策略的授权主体,支持设置为当前阿里云账号(即凭据所属的阿里云账号),当前阿里云账号下的 RAM 用户、RAM 角色,其他阿里云账号下的 RAM 用户、RAM 角色。

  • Action:必选,表示要允许或拒绝的 API 操作,内容必须以"kms:"开头。操作权限列表的范围,请参见凭据策略概述。如果您设置了列表外的操作,设置后也不会生效。

  • Resource:必选,取值只能是*,表示本 KMS 凭据。

  • Condition:可选,表示授权生效的限制条件。通过使用条件可以评估 API 请求的上下文,以确定策略语句是否适用。格式为"Condition": {"condition operator": {"condition key": "condition value"}}。详细介绍,请参见凭据策略概述

说明

授权给其他阿里云账号下的 RAM 用户、RAM 角色后,您仍需在访问控制 RAM 侧,使用该 RAM 用户、RAM 角色的阿里云账号为其授权使用该凭据,RAM 用户、RAM 角色才能使用该凭据。集体操作,请参见密钥管理服务自定义权限策略参考为 RAM 用户授权为 RAM 角色授权

{"Version":"1","Statement": [{"Sid":"kms default secret policy","Effect":"Allow","Principal":{"RAM": ["acs:ram::119285303511****:*"]},"Action":["kms:*"],"Resource": ["*"] }] }

返回参数

名称

类型

描述

示例值

object

RequestId

string

本次调用请求的 ID,是由阿里云为该请求生成的唯一标识符,可用于排查和定位问题。

381D5D33-BB8F-395F-8EE4-AE3BB4B523C8

示例

正常返回示例

JSON格式

{
  "RequestId": "381D5D33-BB8F-395F-8EE4-AE3BB4B523C8"
}

错误码

HTTP status code

错误码

错误信息

描述
400 MissingParameter The parameter needed but no provided. 需要的参数未提供
400 InvalidParameter The specified parameter is not valid. 参数非法。
400 Forbidden.NoPermission This operation is forbidden by permission system. 该操作无权限
400 Forbidden.KeyPolicyUnSupported The specified key does not support key policy. 指定的密钥不支持密钥策略。
400 Rejected.ShareQuotaExceedLimit Instance Share Quota Exceed Limit. 实例份额配额超过限制。
403 Forbidden.DKMSInstanceStateInvalid The DKMS instance state is invalid. 您的专属KMS状态为无效状态。
404 Forbidden.ResourceNotFound Resource not found. 资源找不到
404 Forbidden.KeyNotFound The specified Key is not found. 指定的密钥不存在。
503 SerivceUnvailableTemporary Service Unvailable Temporary 服务临时不可用。

访问错误中心查看更多错误码。

变更历史

更多信息,参考变更详情

上一篇:RotateSecret - 主动轮转动态凭据下一篇:GetSecretPolicy - 查询凭据策略