创建授权

前提条件

• 已获取被授权IAM用户或账号的ID。
• 自定义密钥需处于“启用”状态。

约束条件

• 自定义密钥的所有者可通过KMS界面或者调用API接口的方式为自定义密钥创建授权；被自定义密钥所有者授予了“创建授权”操作权限的IAM用户或账号仅能通过调用API接口的方式为自定义密钥创建授权。
• 一个自定义密钥下最多可创建100个授权。

操作步骤

1. 登录管理控制台。
2. 单击管理控制台左上角，选择区域或项目。
3. 单击页面左侧，选择“安全与合规 > 数据加密服务”，默认进入“密钥管理”界面。
4. 单击目标自定义密钥的别名，进入密钥详细信息授权页面。
5. 单击“授权”，进入授权管理界面。
6. 单击“创建授权”，弹出“创建授权”对话框。
   图1 创建授权（用户）
   
   图2 创建授权（账号）
   

7. 在弹出的对话框中，输入被授权用户ID，并勾选授权操作的权限。参数说明请参见表1。
   

   被授权用户只有通过调用API接口的方式，才能使用“授权操作”的权限，详细信息请参考《数据加密服务API参考》。

   表1 创建授权参数说明

   参数	参数说明	配置样例
   被授权对象	支持对用户和账号进行授权。 用户 用户ID：请填写在“用户名 > 我的凭证 > API凭证”中的“IAM用户ID”。 授权完成后，该IAM用户能使用授权中指定的密钥 账号 账号ID：请填写在“用户名 > 我的凭证 > API凭证”中的“账号ID”。 授权完成后，该账号下所有的IAM用户均能使用授权中指定的密钥。	d9a6b2bdaedd4ba586cabe6372d1b312
   授权名称	用户可选择为授权命名。 说明： 输入字符支持数字、字母、“_”、“-”、“:”和“/”。	test
   授权操作	用户可以选择多种授权操作。以下为各类型密钥通用授权操作： 查询密钥信息 创建授权 退役授权 各类型密钥算法及用途，具有对应专属授权操作，具体请参见表 授权操作。	-

   表2 授权操作

   密钥算法	密钥类型	密钥用途	授权操作
   AES_256 SM4	对称密钥	ENCRYPT_DECRYPT	创建不含明文数据密钥 创建数据密钥 加密数据密钥 解密数据密钥 加密数据 解密数据
   RSA_2048 RSA_3072 RSA_4096 EC_P256 EC_P384 SM2	非对称密钥	SIGN_VERIFY	查询公钥信息 签名 验签
   RSA_2048 RSA_3072 RSA_4096 SM2	非对称密钥	ENCRYPT_DECRYPT	查询公钥信息 加密数据 解密数据
   HMAC_256 HMAC_384 HMAC_512 HMAC_SM3	摘要密钥	GENERATE_VERIFY_MAC	生成HMAC 校验HMAC

8. 单击“确定”，页面右上角弹出“授权创建成功”，则说明授权成功。

   授权列表中可查看到“授权名称”、“授权类型”、“被授权ID”、“授权操作”和“创建时间”。