设置凭据策略
您可以在凭据策略中添加或删除RAM用户、RAM角色,以设置凭据的管理员和使用者。本文介绍如何设置凭据策略。
注意事项
仅KMS实例中的凭据支持凭据策略。您可在创建凭据时设置凭据策略,也可在创建后进行设置。创建时设置,请参见管理及使用凭据。本文介绍创建后如何设置。
凭据策略的内容长度不超过32768个字节,且为JSON格式。
通过控制台设置凭据策略时,可选择使用默认策略、设置RAM用户或角色为管理员和使用者、以及设置其他账号使用者。如果您需要对凭据策略进行更精细化的策略设置,可以通过OpenAPI设置凭据策略。
凭据策略中可以设置的操作列表如下,如果您设置了列表外的操作,设置后也不会生效。
"Action": [ "kms:List*", "kms:Describe*", "kms:PutSecretValue", "kms:Update*", "kms:DeleteSecret", "kms:RestoreSecret", "kms:RotateSecret", "kms:TagResource", "kms:UntagResource" "kms:GetSecretValue" ]
如果您想允许其他阿里云账号下的RAM用户、RAM角色使用凭据,不仅需要在KMS侧设置凭据策略允许其使用凭据,同时还要在RAM侧,使用该RAM用户、RAM角色的阿里云账号设置权限策略允许其使用凭据。具体操作,请参见密钥管理服务自定义权限策略参考、为RAM用户授权、为RAM角色授权。
通过控制台设置
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击 。
在凭据管理页签,定位到您的目标凭据,单击凭据ID或操作列的详情。
在详情页面下方的凭据策略区域,单击设置凭据策略,完成设置后单击确定。
您可以为凭据设置管理员、使用者、其他账号使用者。
管理员:对凭据进行管控类操作,不支持使用凭据(即获取凭据值)。支持选择当前账号下的RAM用户和RAM角色。
使用者:仅支持使用凭据,即获取凭据值。支持选择当前账号下的RAM用户和RAM角色。
其他账号使用者:仅支持使用凭据,即获取凭据值。可以是其他阿里云账号的RAM用户或RAM角色。
RAM用户:格式为
acs:ram::<userId>:user/<ramuser>
,例如acs:ram::119285303511****:user/testpolicyuser
。RAM角色:格式为
acs:ram::<userId>:role/<ramrole>
,例如acs:ram::119285303511****:role/testpolicyrole
。