创建授权

前提条件

• 已获取被授权IAM用户或账号的ID。
• 自定义密钥需处于“启用”状态。

约束条件

• 自定义密钥的所有者可通过KMS界面或者调用API接口的方式为自定义密钥创建授权；被自定义密钥所有者授予了“创建授权”操作权限的IAM用户或账号仅能通过调用API接口的方式为自定义密钥创建授权。
• 一个自定义密钥下最多可创建100个授权。
• 授权仅支持用户以及账户，不能针对委托进行授权。

操作步骤

1. 登录管理控制台。
2. 单击目标自定义密钥的别名，进入密钥详细信息授权页面。
3. 单击“授权”，进入授权管理界面。
4. 单击“创建授权”，弹出“创建授权”对话框。
5. 在弹出的对话框中，输入被授权用户ID，并勾选授权操作的权限。参数说明请参见表1。
   

   被授权用户只有通过调用API接口的方式，才能使用“授权操作”的权限，详细信息请参考《数据加密服务API参考》。

   表1 创建授权参数说明

   参数	参数说明	配置样例
   被授权对象	支持对用户和账号进行授权。 用户 用户ID：请填写在“用户名 > 我的凭证 > API凭证”中的“IAM用户ID”。 授权完成后，该IAM用户能使用授权中指定的密钥 账号 账号ID：请填写在“用户名 > 我的凭证 > API凭证”中的“账号ID”。 授权完成后，该账号下所有的IAM用户均能使用授权中指定的密钥。	d9a6b2bdaedd4ba586cabe6372d1b312
   授权操作	用户可选择以下授权操作： 说明： 一个自定义密钥可以多次授权给同一个用户不同的权限，用户最终的权限为所有授权的并集。 授权操作选项不能为空。 不能仅授予“创建授权”操作。 创建不含明文数据密钥 创建数据密钥 加密数据密钥 解密数据密钥 查询密钥信息 创建授权 退役授权 当被授权用户不再使用授权用户授予的自定义密钥的操作权限时，被授权用户可退役该授权。 如果被授权用户在退役授权前，已将自定义密钥的操作权限授予给其他用户，那么被授权用户退役授权后，对其他用户操作自定义密钥的权限无影响。 加密数据 解密数据	-

6. 单击“确定”，页面右上角弹出“授权创建成功”，则说明授权成功。

   授权列表中可查看到“授权名称”、“授权类型”、“被授权ID”、“授权操作”和“创建时间”。