本文为您介绍专属KMS服务关联角色(AliyunServiceRoleForKMSKeyStore)的应用场景、权限策略、创建及删除操作。
应用场景
创建和使用专属KMS基础版实例时,密钥管理服务KMS需要通过服务关联角色访问依赖系统(ECS、VPC等系统)服务。
关于服务关联角色的更多信息,请参见服务关联角色。
权限说明
角色名称:AliyunServiceRoleForKMSKeyStore。
权限策略:AliyunServiceRolePolicyForKMSKeyStore。
权限说明:KMS使用此角色访问ECS和VPC等其他云服务相关资源。
{
"Version": "1",
"Statement": [
{
"Action": [
"ecs:CreateNetworkInterfacePermission",
"ecs:DeleteNetworkInterfacePermission",
"ecs:CreateNetworkInterface",
"ecs:DescribeNetworkInterfaces",
"ecs:DescribeSecurityGroups",
"ecs:CreateSecurityGroup",
"ecs:DeleteSecurityGroup",
"ecs:AuthorizeSecurityGroup",
"ecs:AuthorizeSecurityGroupEgress",
"ecs:RevokeSecurityGroup",
"ecs:RevokeSecurityGroupEgress",
"ecs:DescribeSecurityGroupAttribute"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"vpc:DescribeVSwitches",
"vpc:DescribeVpcs"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"yundun-hsm:DescribeInstances",
"yundun-hsm:DescribeClusters"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "keystore.kms.aliyuncs.com"
}
}
}
]
}创建服务关联角色
当您使用阿里云账号在密钥管理控制台首次创建专属KMS基础版实例时,会自动创建服务关联角色(AliyunServiceRoleForKMSKeyStore)。
当您使用的是RAM用户,需要先授权以下自定义策略,才能在密钥管理控制台首次创建专属KMS基础版实例时,自动创建服务关联角色(AliyunServiceRoleForKMSKeyStore)。具体操作,请参见为RAM用户授权。
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "keystore.kms.aliyuncs.com"
}
}
}删除服务关联角色
删除服务关联角色前,您需要确保当前阿里云账号下的专属KMS基础版实例已经被释放。当专属KMS基础版实例费用到期且没有续费时,KMS会自动释放该专属KMS基础版实例。
您可以在RAM控制台删除服务关联角色。具体操作,请参见删除RAM角色。