策略授权参考
本章节介绍密码安全中心(Data Encryption Workshop, DEW)策略授权场景下支持的策略授权项。
支持的授权项
策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应,授权项列表说明如下:
- 权限:允许或拒绝某项操作。
- 对应API接口:自定义策略实际调用的API接口。
- 授权项:自定义策略中支持的Action,在自定义策略中的Action中写入授权项,可以实现授权项对应的权限功能。
- 依赖的授权项:部分Action存在对其他Action的依赖,需要将依赖的Action同时写入授权项,才能实现对应的权限功能。
- IAM项目(Project)/企业项目(Enterprise Project):自定义策略的授权范围,包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目,表示此授权项对应的自定义策略,可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目,不支持企业项目,表示仅能在IAM中给用户组授权并生效,如果在企业管理中授权,则该自定义策略不生效。管理员可以在授权项列表中查看授权项是否支持IAM项目或企业项目,“√”表示支持,“×”表示暂不支持。关于IAM项目与企业项目的区别,详情请参见:IAM与企业管理的区别。
DEW的支持自定义策略授权项如下所示:
生命周期管理
权限 | 对应API接口 | 授权项(Action) | IAM项目 (Project) | 企业项目 (Enterprise Project) |
|---|---|---|---|---|
创建密钥 | /v1.0/{project_id}/kms/create-key | kms:cmk:create | √ | √ |
查询密钥列表 | /v1.0/{project_id}/kms/list-keys | kms:cmk:list | √ | √ |
启用密钥 | /v1.0/{project_id}/kms/enable-key | kms:cmk:enable | √ | √ |
禁用密钥 | /v1.0/{project_id}/kms/disable-key | kms:cmk:disable | √ | √ |
查询密钥详细信息 | /v1.0/{project_id}/kms/describe-key | kms:cmk:get | √ | √ |
创建数据密钥 | /v1.0/{project_id}/kms/create-datakey | kms:cmk:createDataKey | √ | √ |
创建不含明文数据密钥 | /v1.0/{project_id}/kms/create-datakey-without-plaintext | kms:cmk:createDataKeyWithoutPlaintext | √ | √ |
加密数据密钥 | /v1.0/{project_id}/kms/encrypt-datakey | kms:cmk:encryptDataKey | √ | √ |
解密数据密钥 | /v1.0/{project_id}/kms/decrypt-datakey | kms:cmk:decryptDataKey | √ | √ |
加密数据 | /v1.0/{project_id}/kms/encrypt-data | kms:cmk:encryptData | √ | √ |
解密数据 | /v1.0/{project_id}/kms/decrypt-data | kms:cmk:decryptData | √ | √ |
创建随机数 | /v1.0/{project_id}/kms/gen-random | kms::generateRandom | √ | × |
签名数据 | /v1.0/{project_id}/kms/sign | kms:cmk:sign | √ | √ |
验证签名 | /v1.0/{project_id}/kms/verify | kms:cmk:verify | √ | √ |
查询公钥信息 | /v1.0/{project_id}/kms/get-publickey | kms:cmk:getPublicKey | √ | √ |
查询版本 | / | kms::getVersions | √ | × |
查询密钥API版本信息 | /v1.0 | kms::getVersion | √ | × |
计划删除密钥 | /v1.0/{project_id}/kms/schedule-key-deletion | kms:cmk:scheduleKeyDeletion | √ | √ |
取消计划删除密钥 | /v1.0/{project_id}/kms/cancel-key-deletion | kms:cmk:cancelKeyDeletion | √ | √ |
查询租户密钥实例个数 | /v1.0/{project_id}/kms/user-instances | kms::getInstance | √ | × |
查询租户配额 | /v1.0/{project_id}/kms/user-quotas | kms::getQuota | √ | × |
密钥信息修改-更新密钥别名 | /v1.0/{project_id}/kms/update-key-alias | kms:cmk:updateKeyAlias | √ | √ |
密钥信息修改-更新密钥描述 | /v1.0/{project_id}/kms/update-key-description | kms:cmk:updateKeyDescription | √ | √ |
创建授权 | /v1.0/{project_id}/kms/create-grant | kms:cmk:createGrant | √ | √ |
查询授权列表 | /v1.0/{project_id}/kms/list-grants | kms:cmk:listGrants | √ | √ |
查询可退役授权列表 | /v1.0/{project_id}/kms/list-retirable-grants | kms::listRetirableGrants | √ | × |
退役授权 | /v1.0/{project_id}/kms/retire-grant | kms:cmk:retireGrant | √ | × |
撤销授权 | /v1.0/{project_id}/kms/revoke-grant | kms:cmk:revokeGrant | √ | √ |
获取密钥导入参数 | /v1.0/{project_id}/kms/get-parameters-for-import | kms:cmk:getMaterial | √ | √ |
导入密钥材料 | /v1.0/{project_id}/kms/import-key-material | kms:cmk:importMaterial | √ | √ |
删除密钥材料 | /v1.0/{project_id}/kms/delete-imported-key-material | kms:cmk:deleteMaterial | √ | √ |
开启密钥轮换 | /v1.0/{project_id}/kms/enable-key-rotation | kms:cmk:enableRotation | √ | √ |
修改密钥轮换周期 | /v1.0/{project_id}/kms/update-key-rotation-interval | kms:cmk:updateRotation | √ | √ |
关闭密钥轮换 | /v1.0/{project_id}/kms/disable-key-rotation | kms:cmk:disableRotation | √ | √ |
查询密钥轮换状态 | /v1.0/{project_id}/kms/get-key-rotation-status | kms:cmk:getRotation | √ | √ |
创建专属密钥库 | /v1.0/{project_id}/keystores/ | kms:keystore:create | √ | × |
删除专属密钥库 | /v1.0/{project_id}/keystores/{keystore_id} | kms:keystore:delete | √ | × |
启用专属密钥库 | /v1.0/{project_id}/keystores/{keystore_id}/enable | kms:keystore:enable | √ | × |
禁用专属密钥库 | /v1.0/{project_id}/keystores/{keystore_id}/disable | kms:keystore:disable | √ | × |
查询专属密钥库列表 | /v1.0/{project_id}/keystores/ | kms:keystore:list | √ | × |
获取专属密钥库 | /v1.0/{project_id}/keystores/{keystore_id} | kms:keystore:get | √ | × |
添加密钥标签 | /v1.0/{project_id}/kms/{resource_id}/tags | kms:cmk:createTag | √ | √ |
批量添加删除密钥标签 | /v1.0/{project_id}/kms/{resource_id}/tags/action | kms:cmk:createTags | √ | √ |
查询密钥实例 | /v1.0/{project_id}/kms/resource_instances/action | kms:cmk:listKeysByTag | √ | × |
删除密钥标签 | /v1.0/{project_id}/kms/{resource_id}/tags/{key} | kms:cmk:deleteTag | √ | √ |
查询密钥标签 | /v1.0/{project_id}/kms/{resource_id}/tags | kms:cmk:getTags | √ | √ |
查询项目标签 | /v1.0/{project_id}/kms/tags | kms::listAllTags | √ | × |
