使用KMS创建并管理RAM凭据时,必须创建普通服务角色AliyunKMSManagedRAMCrendentialsRole并授权AliyunKMSManagedRAMCrendentialsRolePolicy,本文介绍如何创建、查看和删除AliyunKMSManagedRAMCrendentialsRole。
功能概述
普通服务角色(Service Role)是一种可信实体为阿里云服务的RAM角色,旨在解决跨云服务的授权访问问题。更多信息,请参见RAM角色概览。
使用KMS时,您需要创建的普通服务角色及其包含的系统权限策略如下:
普通服务角色:AliyunKMSManagedRAMCrendentialsRole
系统权限策略:AliyunKMSManagedRAMCrendentialsRolePolicy
应用场景
您在管理RAM凭据前,需要授予KMS管理RAM用户AccessKey的权限。详细内容,请参见管理及使用RAM凭据。
RAM用户使用普通服务角色需要的权限
如果使用RAM用户创建或删除普通服务角色,必须联系管理员为该RAM用户授予管理员权限(AliyunKMSFullAccess)或在自定义权限策略的Action语句中为RAM用户添加以下权限:
创建普通服务角色:
ram:CreateRole删除普通服务角色:
ram:DeleteRole
{
"Action": [
"ram:CreateRole",
"ram:DeleteRole"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "keystore.kms.aliyuncs.com"
}
}
}关于授权的详细操作,请参见创建和删除服务关联角色所需的权限和为RAM用户授权。
创建普通服务角色
您在创建RAM凭据之前,需要手动创建AliyunKMSManagedRAMCrendentialsRole普通服务角色,同时为其创建并授权AliyunKMSManagedRAMCrendentialsRolePolicy。更多信息,请参见创建普通服务角色、为RAM角色授权。
AliyunKMSManagedRAMCrendentialsRolePolicy权限内容示例如下:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ram:ListAccessKeys",
"ram:CreateAccessKey",
"ram:DeleteAccessKey",
"ram:UpdateAccessKey"
],
"Resource": "*"
}
]
}您也可以根据实际需求限定对哪些RAM用户的AccessKey进行管理。
查看普通服务角色
当普通服务角色创建成功后,您可以在RAM控制台的角色页面,通过搜索AliyunKMSManagedRAMCrendentialsRole查看角色详情。
基本信息
在角色详情页面的基本信息区域,查看角色基本信息,包括角色名称、创建时间、角色ARN和备注等。
权限策略
在角色详情页面的权限管理页签,单击权限策略名称,查看权限策略内容以及该角色可授权访问哪些云资源。
信任策略
在角色详情页的信任策略管理页签,查看信任策略内容。信任策略是描述RAM角色可信实体的策略,可信实体是指可以扮演RAM角色的实体用户身份。普通服务角色的可信实体为云服务,您可以通过信任策略中的
Service字段查看。
关于如何查看普通服务角色的详细操作,请参见查看RAM角色。
删除普通服务角色
删除普通服务角色后,依赖该角色的对应功能将无法正常使用,请谨慎删除。
当您长时间不使用KMS时,您可以在RAM控制台手动删除普通服务角色。具体操作,请参见删除RAM角色。
删除AliyunKMSManagedRAMCrendentialsRole前,您需要满足以下条件:确定不再需要使用该普通服务角色,即不再需要管理RAM凭据。