共享概述
基于资源访问管理(Resource Access Manager,简称RAM)服务,资源所有者可以依据最小权限原则和不同的使用诉求,选择不同的共享权限,资源使用者只能对资源进行权限内的访问,保证共享资源在满足资源使用者业务诉求的同时,提升资源管理的安全性。关于RAM服务的更多信息请参见什么是资源访问管理。
当您的账号由华为云组织管理时,您还可以利用此优势更轻松地共享资源。如果您的账号在组织中,则您可以与单个账号共享,也可以与组织或OU中的所有账号共享,而不必枚举每个账号,具体请参见启用与组织共享资源。
约束条件
- 您的账号中必须拥有该资源,即您必须为该资源的所有者。您无法再次共享与您已共享的资源。
- 当您需要与您的组织或组织单元共享资源时,您必须启用与组织共享资源功能。更多信息请参考启用与组织共享资源。
资源所有者和接受者权限说明
资源所有者可以对资源执行任何操作,接受者仅可以执行部分操作,接受者支持的操作说明如表 密钥接受者支持的操作列表所示。
角色 | 支持的操作 | 操作说明 |
|---|---|---|
密钥资源共享接受者 | kms:cmk:get | 通过控制台或API进行访问 |
kms:cmk:createDataKey | 仅能通过API访问 | |
kms:cmk:createDataKeyWithoutPlaintext | 仅能通过API访问 | |
kms:cmk:encryptDataKey | 仅能通过API访问 | |
kms:cmk:decryptDataKey | 仅能通过API访问 | |
kms:cmk:encryptData | 通过控制台或API进行访问 | |
kms:cmk:decryptData | 通过控制台或API进行访问 | |
kms:cmk:sign | 仅能通过API访问 | |
kms:cmk:verify | 仅能通过API访问 | |
kms:cmk:generateMac | 仅能通过API访问 | |
kms:cmk:verifyMac | 仅能通过API访问 | |
kms:cmk:getPublicKey | 通过控制台或API进行访问 | |
kms:cmk:getRotation | 通过控制台或API进行访问 | |
kms:cmk:getTags | 通过控制台或API进行访问 |
支持共享的资源类型和区域
当前DEW服务支持共享的资源类型和区域如表 DEW服务支持共享的资源类型和区域所示。
支持使用共享密钥加密的服务和系统策略
在您购买包周期资源时,如果您选择共享密钥对创建的资源进行加密,需要给用户授予相应的策略才能使用共享密钥。各服务已支持一键创建委托,具体操作请参见各服务用户指南中的购买资源章节。支持使用共享密钥加密的服务和对应服务的委托系统策略见表3。
服务 | 系统策略 |
|---|---|
云数据库 RDS | ServicePolicyForRDSFulfillment |
云数据库 TaurusDB | ServicePolicyForGaussDBFulfillment |
文档数据库服务 DDS | ServicePolicyForDDSFulfillment |
高性能弹性文件服务 SFS Turbo | ServicePolicyForSFSTurboFulfillment |
云桌面 Workspace | ServicePolicyForWorkspaceFulfillment |
云数据库 GeminiDB | ServicePolicyForNosqlFulfillment |
