更新时间:2025-12-01 GMT+08:00
创建用户并授权使用DEW
如果您需要对您所拥有的KMS进行精细的权限管理,您可以使用统一身份认证(Identity and Access Management,简称IAM),通过IAM,您可以:
- 根据企业的业务组织,在您的账号中,给企业中不同职能部门的员工创建IAM用户,让员工拥有唯一安全凭证,并使用DEW资源。
- 根据企业用户的职能,设置不同的访问权限,以达到用户之间的权限隔离。
- 将KMS资源委托给更专业、高效的其他账号或者云服务,这些账号或者云服务可以根据权限进行代运维。
如果账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用DEW服务的其它功能。
本章节为您介绍对用户授权的方法,操作流程如图1所示。
前提条件
给用户组授权之前,请您了解用户组可以添加的DEW权限,并结合实际需求进行选择,DEW支持的系统权限如表4 系统权限所示。
Tenant Guest系统角色说明
如果您已为IAM子账号配置了Tenant Guest系统角色权限时,除了拥有全部云服务只读权限外(除IAM),由于历史原因,还会额外拥有以下KMS相关的操作权限:
- kms:cmk:create:创建密钥
- kms:cmk:createDataKey:创建数据密钥
- kms:cmk:createDataKeyWithoutPlaintext:创建不含明文数据密钥
- kms:cmk:encryptDataKey:加密数据密钥
- kms:cmk:decryptDataKey:解密数据密钥
- kms:cmk:retireGrant:退役授权
- kms:cmk:decryptData:解密数据
- kms:cmk:encryptData:加密数据
- kms::generateRandom:生成随机数
如果您想为某个IAM子账号配置Tenant Guest系统角色权限,但不想拥有上述权限,您需要额外为该IAM子用户配置自定义的拒绝策略。配置自定义策略请参考DEW自定义策略。
父主题: 权限管理
