更新时间:2025-07-23 GMT+08:00
共享KMS
要共享您拥有的KMS资源给其他账号使用时,请创建共享。创建共享的流程分为指定共享资源、权限配置、指定使用者以及配置确认。
共享KMS可以用于DEW服务的凭据实例加密、密钥对加密等,也可以用于创建RDS、DDS、OBS实例加密。
前提条件
已给IAM用户授予对应服务的Billing系统策略,详见支持使用共享密钥加密的服务和系统策略。
创建共享KMS资源
- 登录DEW管理控制台。
- 单击页面左上角的
,选择 ,进入“资源访问管理”页面。
- 单击页面左侧“共享管理”页面。 ,进入
- 单击页面右上角的“创建共享”,进入“创建共享”页面。
图1 指定共享资源
- 选择资源类型为“kms:KeyId”,选择对应区域,勾选需进行共享的密钥。单击“下一步:权限配置”。
- 进入“权限配置”页面,选择指定资源类型支持的共享权限,配置完成后,单击页面右下角的“下一步:指定使用者”。
- 进入“指定使用者”页面,指定共享资源的使用者,配置完成后,单击页面右下角的“下一步:配置确认”。
- 进入“配置确认”页面,确认配置无误后,单击页面右下角的“确认”,完成资源共享实例的创建。
创建共享实例后,组织会自动接收共享实例,华为云账号ID需要单独进行接受共享操作,具体请参见。
查看共享KMS资源
- 登录DEW管理控制台。
- 单击管理控制台左上角
,选择区域或项目。
- 在密钥管理页面,单击“共享密钥”页签,查看当前共享中的密钥资源。
图2 共享密钥
通过共享密钥页签,可以复制密钥ID,用于手动输入ID的KMS加密密钥选择场景。
使用共享KMS资源
在通过共享密钥创建相关资源的时候,您仍然需要保证您当前的用户拥有操作密钥的相关权限。具体权限请参考密钥所有者和接受者权限说明。
- 登录DEW管理控制台。
- 单击管理控制台左上角
,选择区域或项目。
- 在左侧导航树中,选择“凭据管理”,进入“凭据管理”页面。
- 在“KMS加密”选项中,通过选择或者手动输入方式选择来自共享的KMS密钥。
页面的图3 选择共享密钥
更新共享
您可以随时更新资源共享实例,支持更新共享实例的名称、描述、标签、共享的资源、共享权限以及共享使用者。
- 登录DEW管理控制台。
- 单击页面左上角的
,选择 ,进入“资源访问管理”页面。
- 单击页面左侧“共享管理”页面。 ,进入
- 在共享管理列表中选择需要更新的共享,单击“操作”列的“编辑”。
- 进入“指定共享资源”页面,您可根据需要更新共享的名称、描述、标签以及增加或删除共享的资源。
- 更新完成后,单击页面右下角的“下一步:权限配置”。
- 进入“权限配置”页面,您可根据需要增加或删除共享权限,更新完成后,单击页面右下角的“下一步:指定使用者”。
- 进入“指定使用者”页面,您可根据需要增加或删除共享密钥的使用者,配置完成后,单击页面右下角的“下一步:配置确认”。
- 进入“配置确认”页面,确认配置无误后,单击页面右下角的“确认”,完成共享的更新。
退出共享
如果用户不再需要访问共享的密钥资源,可以随时退出共享。退出共享后,用户将失去对共享密钥对访问权限。
- 登录DEW管理控制台。
- 单击页面左上角的
,选择 ,进入“资源访问管理”页面。
- 单击页面左侧“共享管理”页面。 ,进入
- 单击“已接收共享”页签,在列表选择需要退出的共享实例,单击“退出”。
- 在弹出的对话框中,单击“退出”,即可完成退出共享实例。