Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda> Data Encryption Workshop> Guía del usuario> Control de permisos> Creación de una política de DEW personalizada
Actualización más reciente 2022-11-03 GMT+08:00
Ver PDF

Creación de una política de DEW personalizada

Las políticas personalizadas se pueden crear como un suplemento a las políticas del sistema de DEW. Para obtener más información sobre las acciones admitidas por las directivas personalizadas, consulte Políticas de permisos y acciones admitidas.

Puede crear políticas personalizadas de cualquiera de las siguientes maneras:

  • Editor visual: Puede seleccionar configuraciones de política sin necesidad de conocer la sintaxis de política.
    Parámetros de política de KMS personalizados:
    • Select service: Seleccione Key Management Service.
    • Select action: Defina como sea necesario.
    • (Optional) Select resource: Establezca Resources en Specific y KeyId en Specify resource path. En el cuadro de diálogo que se muestra, establezca Path en el ID generado al crear la clave. Para obtener más información sobre cómo obtener el ID, consulte "Ver un CMK".
  • JSON: Editar las políticas JSON desde cero o basándose en una política existente. Para obtener más información sobre cómo crear directivas personalizadas, consulte Creación de una política personalizada.

Ejemplo de políticas personalizadas

  • Ejemplo: autorizar a los usuarios a crear e importar claves
    {
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:cmk:create",
                "kms:cmk:getMaterial",
                "kms:cmkTag:create",
                "kms:cmkTag:batch",
                "kms:cmk:importMaterial"
            ]
        }
    ]
}
  • Ejemplo: negar la eliminación de etiquetas clave

    Una política de denegación debe usarse junto con otras políticas para que surtan efecto. Si los permisos asignados a un usuario contienen acciones Permitir y Denegar, las acciones Denegar tienen prioridad sobre las acciones Permitir.

    El siguiente método se puede utilizar si necesita asignar permisos de la política KMS Administrator a un usuario, pero también prohibir que el usuario elimine etiquetas clave (kms:cmkTag:delete). Cree una política personalizada con la acción de eliminar etiquetas clave, establezca su Effect en Deny y asigne esta política y las políticas de KMS Administrator al grupo al que pertenece el usuario. A continuación, el usuario puede realizar todas las operaciones excepto eliminar las etiquetas de clave. La siguiente es una política para denegar etiquetas de par de claves.

    {
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "kms:cmkTag:delete"
            ]
        }
    ]
}
  • Ejemplo: autorizar a los usuarios a usar claves
    {
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:dek:crypto",
                "kms:cmk:get",
                "kms:cmk:crypto",
                "kms:cmk:generate",
                "kms:cmk:list"
            ]
        }
    ]
}
  • Ejemplo: política multi-acción

    Una política personalizada puede contener acciones de varios servicios que son todos de tipo global o de nivel de proyecto. La siguiente es una política con varias sentencias:

    {
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "rds:task:list"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:dek:crypto",
                "kms:cmk:get",
                "kms:cmk:crypto",
                "kms:cmk:generate",
                "kms:cmk:list"
            ]
        }
    ]
}
Tema principal: Control de permisos