Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Central de ajuda/ Data Encryption Workshop/ Perguntas frequentes/ Controle de permissão/ Criação de uma política de DEW personalizada
Atualizado em 2024-09-14 GMT+08:00

Criação de uma política de DEW personalizada

Políticas personalizadas podem ser criadas como um complemento às políticas do sistema do DEW. Para obter detalhes sobre as ações suportadas pelas políticas personalizadas, consulte Políticas de permissões e ações suportadas.

Você pode criar políticas personalizadas de uma das seguintes maneiras:

  • Editor visual: você pode selecionar configurações de política sem a necessidade de conhecer a sintaxe da política.
    Parâmetros de política do KMS personalizados:
    • Select service: selecione Key Management Service.
    • Select action: defina-o conforme necessário.
    • (Optional) Select resource: defina Resources como Specific e KeyId como Specify resource path. Na caixa de diálogo exibida, defina Path como o ID gerado quando a chave foi criada. Para obter detalhes sobre como obter o ID, consulte "Visualização de uma CMK".
  • JSON: edite políticas de JSON do rascunho ou com base em uma política existente. Para obter detalhes sobre como criar políticas personalizadas, consulte Criação de uma política personalizada.

Exemplos de políticas personalizadas

  • Exemplo: autorizar usuários a criar e importar chaves
    {
        "Version": "1.1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "kms:cmk:create",
                    "kms:cmk:getMaterial",
                    "kms:cmkTag:create",
                    "kms:cmkTag:batch",
                    "kms:cmk:importMaterial"
                ]
            }
        ]
    }
  • Exemplo: negar a exclusão de tags de chave

    Uma política de negação deve ser usada em conjunto com outras políticas para ter efeito. Se as permissões atribuídas a um usuário contiverem ações Allow e Deny, as ações Deny terão precedência sobre as ações Allow.

    O método a seguir pode ser usado se você precisar atribuir permissões da política KMS Administrator a um usuário, mas também proibir que o usuário exclua tags de chave (kms:cmkTag:delete). Crie uma política personalizada com a ação de excluir tags de chave, defina seu Effect como Deny e atribua essa política e a política KMS Administrator ao grupo ao qual o usuário pertence. Em seguida, o usuário pode executar todas as operações, exceto a exclusão de tags de chave. O seguinte é uma política para negar tags de par de chaves.

    {
        "Version": "1.1",
        "Statement": [
            {
                "Effect": "Deny",
                "Action": [
                    "kms:cmkTag:delete"
                ]
            }
        ]
    }
  • Exemplo: autorizar usuários a usar chaves
    {
        "Version": "1.1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "kms:dek:crypto",
                    "kms:cmk:get",
                    "kms:cmk:crypto",
                    "kms:cmk:generate",
                    "kms:cmk:list"
                ]
            }
        ]
    }
  • Exemplo: política de ações múltiplas

    Uma política personalizada pode conter as ações de vários serviços que todos são do tipo global ou de nível de projeto. A seguir está uma política com várias instruções:

    {
        "Version": "1.1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "rds:task:list"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "kms:dek:crypto",
                    "kms:cmk:get",
                    "kms:cmk:crypto",
                    "kms:cmk:generate",
                    "kms:cmk:list"
                ]
            }
        ]
    }