策略授权参考

本章节介绍密码安全中心（Data Encryption Workshop, DEW）策略授权场景下支持的策略授权项。

支持的授权项

策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下：

权限：允许或拒绝某项操作。
对应API接口：自定义策略实际调用的API接口。
授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。
依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。
IAM项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。管理员可以在授权项列表中查看授权项是否支持IAM项目或企业项目，“√”表示支持，“×”表示暂不支持。关于IAM项目与企业项目的区别，详情请参见：IAM与企业管理的区别。

DEW的支持自定义策略授权项如下所示：

生命周期管理

表1 生命周期管理
权限	对应API接口	授权项（Action）	IAM项目 (Project)	企业项目 (Enterprise Project)
创建密钥	/v1.0/{project_id}/kms/create-key	kms:cmk:create	√	√
查询密钥列表	/v1.0/{project_id}/kms/list-keys	kms:cmk:list	√	√
启用密钥	/v1.0/{project_id}/kms/enable-key	kms:cmk:enable	√	√
禁用密钥	/v1.0/{project_id}/kms/disable-key	kms:cmk:disable	√	√
查询密钥详细信息	/v1.0/{project_id}/kms/describe-key	kms:cmk:get	√	√
创建数据密钥	/v1.0/{project_id}/kms/create-datakey	kms:cmk:createDataKey	√	√
创建不含明文数据密钥	/v1.0/{project_id}/kms/create-datakey-without-plaintext	kms:cmk:createDataKeyWithoutPlaintext	√	√
加密数据密钥	/v1.0/{project_id}/kms/encrypt-datakey	kms:cmk:encryptDataKey	√	√
解密数据密钥	/v1.0/{project_id}/kms/decrypt-datakey	kms:cmk:decryptDataKey	√	√
加密数据	/v1.0/{project_id}/kms/encrypt-data	kms:cmk:encryptData	√	√
解密数据	/v1.0/{project_id}/kms/decrypt-data	kms:cmk:decryptData	√	√
创建随机数	/v1.0/{project_id}/kms/gen-random	kms::generateRandom	√	×
签名数据	/v1.0/{project_id}/kms/sign	kms:cmk:sign	√	√
验证签名	/v1.0/{project_id}/kms/verify	kms:cmk:verify	√	√
查询公钥信息	/v1.0/{project_id}/kms/get-publickey	kms:cmk:getPublicKey	√	√
查询版本	/	kms::getVersions	√	×
查询密钥API版本信息	/v1.0	kms::getVersion	√	×
计划删除密钥	/v1.0/{project_id}/kms/schedule-key-deletion	kms:cmk:scheduleKeyDeletion	√	√
取消计划删除密钥	/v1.0/{project_id}/kms/cancel-key-deletion	kms:cmk:cancelKeyDeletion	√	√
查询租户密钥实例个数	/v1.0/{project_id}/kms/user-instances	kms::getInstance	√	×
查询租户配额	/v1.0/{project_id}/kms/user-quotas	kms::getQuota	√	×
密钥信息修改-更新密钥别名	/v1.0/{project_id}/kms/update-key-alias	kms:cmk:updateKeyAlias	√	√
密钥信息修改-更新密钥描述	/v1.0/{project_id}/kms/update-key-description	kms:cmk:updateKeyDescription	√	√
创建授权	/v1.0/{project_id}/kms/create-grant	kms:cmk:createGrant	√	√
查询授权列表	/v1.0/{project_id}/kms/list-grants	kms:cmk:listGrants	√	√
查询可退役授权列表	/v1.0/{project_id}/kms/list-retirable-grants	kms::listRetirableGrants	√	×
退役授权	/v1.0/{project_id}/kms/retire-grant	kms:cmk:retireGrant	√	×
撤销授权	/v1.0/{project_id}/kms/revoke-grant	kms:cmk:revokeGrant	√	√
获取密钥导入参数	/v1.0/{project_id}/kms/get-parameters-for-import	kms:cmk:getMaterial	√	√
导入密钥材料	/v1.0/{project_id}/kms/import-key-material	kms:cmk:importMaterial	√	√
删除密钥材料	/v1.0/{project_id}/kms/delete-imported-key-material	kms:cmk:deleteMaterial	√	√
开启密钥轮换	/v1.0/{project_id}/kms/enable-key-rotation	kms:cmk:enableRotation	√	√
修改密钥轮换周期	/v1.0/{project_id}/kms/update-key-rotation-interval	kms:cmk:updateRotation	√	√
关闭密钥轮换	/v1.0/{project_id}/kms/disable-key-rotation	kms:cmk:disableRotation	√	√
查询密钥轮换状态	/v1.0/{project_id}/kms/get-key-rotation-status	kms:cmk:getRotation	√	√
创建专属密钥库	/v1.0/{project_id}/keystores/	kms:keystore:create	√	×
删除专属密钥库	/v1.0/{project_id}/keystores/{keystore_id}	kms:keystore:delete	√	×
启用专属密钥库	/v1.0/{project_id}/keystores/{keystore_id}/enable	kms:keystore:enable	√	×
禁用专属密钥库	/v1.0/{project_id}/keystores/{keystore_id}/disable	kms:keystore:disable	√	×
查询专属密钥库列表	/v1.0/{project_id}/keystores/	kms:keystore:list	√	×
获取专属密钥库	/v1.0/{project_id}/keystores/{keystore_id}	kms:keystore:get	√	×
添加密钥标签	/v1.0/{project_id}/kms/{resource_id}/tags	kms:cmk:createTag	√	√
批量添加删除密钥标签	/v1.0/{project_id}/kms/{resource_id}/tags/action	kms:cmk:createTags	√	√
查询密钥实例	/v1.0/{project_id}/kms/resource_instances/action	kms:cmk:listKeysByTag	√	×
删除密钥标签	/v1.0/{project_id}/kms/{resource_id}/tags/{key}	kms:cmk:deleteTag	√	√
查询密钥标签	/v1.0/{project_id}/kms/{resource_id}/tags	kms:cmk:getTags	√	√
查询项目标签	/v1.0/{project_id}/kms/tags	kms::listAllTags	√	×