从DEW获取密钥对列表为空，请检查是否已进行授权

现象：安装Agent时，出现“从DEW获取密钥对列表为空，请检查是否已进行授权“报错信息。

处理建议：请检查并确保您的密钥对已在DEW进行托管。

如果密钥对已完成托管，安装Agent时HSS仍然提示您未找到托管的私钥，可能是您当前的账号为IAM子账号或委托账号，缺少数据加密服务（DEW）中密钥对管理服务（KPS）相关权限。您可以前往IAM控制台，选择以下两种方式之一进行授权：

• 授权方式1
  为安装Agent的账号授予DEW KeypairFullAccess权限（密钥对管理服务的所有权限）。

  • 账号授权：
    1. 将鼠标悬停在右上角用户名处。
    2. 选择“统一身份认证 > 用户 > 搜索需要授权的用户” ，单击用户名。
    3. 在“所属用户组”处，单击任意一个已加入的用户组。
    4. 选择“授权记录 > 授权” ， 搜索DEW KeypairFullAccess并勾选，单击“下一步” 。
    5. 单击“确定”。
  • 委托账号授权：
    1. 将鼠标悬停在右上角用户名处。
    2. 选择“统一身份认证 > 委托”-， 搜索hss_policy_trust后，单击委托名称。
    3. 选择“授权记录 > 授权”， 搜索DEW KeypairFullAccess并勾选，单击“下一步 ”。
    4. 单击“确定”。

• 授权方式2

如果您不希望安装Agent的账号具有删除密钥对等高危权限，您可以创建如下自定义策略，并将该策略授权给安装Agent的账号。具体创建步骤请参见创建自定义策略。

授权用户查询、导出密钥对策略：

{     
       "Version": "1.1",
       "Statement": [  
           {
              "Action": [
                    "kps:domainKeypairs:exportpk",
                    "kps:domainKeypairs:list",
                    "kps:domainKeypairs:get"
              ], 
              "Effect": "Allow
           } 
      ]
}

创建策略后，请参考授权方式1进行授权，您仅需要将授权方式1中的DEW KeypairFullAccess修改为自定义策略。