共享KMS

前提条件

已给IAM用户授予对应服务的Billing系统策略，详见支持使用共享密钥加密的服务和系统策略。

创建共享KMS资源

1. 登录DEW管理控制台。
2. 单击页面左上角的，选择“管理与监管 > 资源访问管理”，进入“资源访问管理”页面。
3. 单击页面左侧“我的共享 > 共享管理”，进入“共享管理”页面。
4. 单击页面右上角的“创建共享”，进入“创建共享”页面。
   图1 指定共享资源
   

5. 选择资源类型为“kms:KeyId”，选择对应区域，勾选需进行共享的密钥。单击“下一步：权限配置”。
6. 进入“权限配置”页面，选择指定资源类型支持的共享权限，配置完成后，单击页面右下角的“下一步：指定使用者”。
7. 进入“指定使用者”页面，指定共享资源的使用者，配置完成后，单击页面右下角的“下一步：配置确认”。

   表1 参数说明

   参数名称	参数说明
   使用者类型	组织 关于组织创建相关操作可参见。 说明： 如果您未打开“启用与组织共享资源”开关，使用者类型将无法选择“组织”。具体操作可参见。 华为云账号ID

8. 进入“配置确认”页面，确认配置无误后，单击页面右下角的“确认”，完成资源共享实例的创建。
   

   创建共享实例后，组织会自动接收共享实例，华为云账号ID需要单独进行接受共享操作，具体请参见。

查看共享KMS资源

1. 登录DEW管理控制台。
2. 单击管理控制台左上角，选择区域或项目。
3. 在密钥管理页面，单击“共享密钥”页签，查看当前共享中的密钥资源。
   图2 共享密钥
   
   

   通过共享密钥页签，可以复制密钥ID，用于手动输入ID的KMS加密密钥选择场景。

使用共享KMS资源

在通过共享密钥创建相关资源的时候，您仍然需要保证您当前的用户拥有操作密钥的相关权限。具体权限请参考密钥所有者和接受者权限说明。

1. 登录DEW管理控制台。
2. 单击管理控制台左上角，选择区域或项目。
3. 在左侧导航树中，选择“凭据管理”，进入“凭据管理”页面。
4. 在“创建凭据”页面的“KMS加密”选项中，通过选择或者手动输入方式选择来自共享的KMS密钥。
   图3 选择共享密钥
   
   

   • 创建密钥对支持选择来自共享的KMS密钥。
   • 创建RDS、DDS、OBS等实例时，支持选择来自共享的KMS密钥，具体操作可参见使用KMS加密的云服务。

更新共享

您可以随时更新资源共享实例，支持更新共享实例的名称、描述、标签、共享的资源、共享权限以及共享使用者。

1. 登录DEW管理控制台。
2. 单击页面左上角的，选择“管理与监管 > 资源访问管理”，进入“资源访问管理”页面。
3. 单击页面左侧“我的共享 > 共享管理”，进入“共享管理”页面。
4. 在共享管理列表中选择需要更新的共享，单击“操作”列的“编辑”。
5. 进入“指定共享资源”页面，您可根据需要更新共享的名称、描述、标签以及增加或删除共享的资源。
6. 更新完成后，单击页面右下角的“下一步：权限配置”。
7. 进入“权限配置”页面，您可根据需要增加或删除共享权限，更新完成后，单击页面右下角的“下一步：指定使用者”。
8. 进入“指定使用者”页面，您可根据需要增加或删除共享密钥的使用者，配置完成后，单击页面右下角的“下一步：配置确认”。
9. 进入“配置确认”页面，确认配置无误后，单击页面右下角的“确认”，完成共享的更新。

退出共享

如果用户不再需要访问共享的密钥资源，可以随时退出共享。退出共享后，用户将失去对共享密钥对访问权限。

1. 登录DEW管理控制台。
2. 单击页面左上角的，选择“管理与监管 > 资源访问管理”，进入“资源访问管理”页面。
3. 单击页面左侧“共享给我 > 共享管理”，进入“共享管理”页面。
4. 单击“已接收共享”页签，在列表选择需要退出的共享实例，单击“退出”。
5. 在弹出的对话框中，单击“退出”，即可完成退出共享实例。