更新时间:2025-07-23 GMT+08:00

共享KMS

要共享您拥有的KMS资源给其他账号使用时,请创建共享。创建共享的流程分为指定共享资源、权限配置、指定使用者以及配置确认。

共享KMS可以用于DEW服务的凭据实例加密、密钥对加密等,也可以用于创建RDS、DDS、OBS实例加密。

前提条件

已给IAM用户授予对应服务的Billing系统策略,详见支持使用共享密钥加密的服务和系统策略

创建共享KMS资源

  1. 登录DEW管理控制台
  2. 单击页面左上角的,选择管理与监管 > 资源访问管理,进入“资源访问管理”页面。
  3. 单击页面左侧我的共享 > 共享管理,进入“共享管理”页面。
  4. 单击页面右上角的“创建共享”,进入“创建共享”页面。

    图1 指定共享资源

  5. 选择资源类型为“kms:KeyId”,选择对应区域,勾选需进行共享的密钥。单击“下一步:权限配置”
  6. 进入“权限配置”页面,选择指定资源类型支持的共享权限,配置完成后,单击页面右下角的“下一步:指定使用者”。
  7. 进入“指定使用者”页面,指定共享资源的使用者,配置完成后,单击页面右下角的“下一步:配置确认”。

    表1 参数说明

    参数名称

    参数说明

    使用者类型

    • 组织

      关于组织创建相关操作可参见。

      说明:

      如果您未打开“启用与组织共享资源”开关,使用者类型将无法选择“组织”。具体操作可参见。

    • 华为云账号ID

  8. 进入“配置确认”页面,确认配置无误后,单击页面右下角的“确认”,完成资源共享实例的创建。

    创建共享实例后,组织会自动接收共享实例,华为云账号ID需要单独进行接受共享操作,具体请参见。

查看共享KMS资源

  1. 登录DEW管理控制台
  2. 单击管理控制台左上角,选择区域或项目。
  3. 在密钥管理页面,单击“共享密钥”页签,查看当前共享中的密钥资源。

    图2 共享密钥

    通过共享密钥页签,可以复制密钥ID,用于手动输入ID的KMS加密密钥选择场景。

使用共享KMS资源

在通过共享密钥创建相关资源的时候,您仍然需要保证您当前的用户拥有操作密钥的相关权限。具体权限请参考密钥所有者和接受者权限说明

  1. 登录DEW管理控制台
  2. 单击管理控制台左上角,选择区域或项目。
  3. 在左侧导航树中,选择“凭据管理”,进入“凭据管理”页面。
  4. 创建凭据页面的“KMS加密”选项中,通过选择或者手动输入方式选择来自共享的KMS密钥。

    图3 选择共享密钥
    • 创建密钥对支持选择来自共享的KMS密钥。
    • 创建RDS、DDS、OBS等实例时,支持选择来自共享的KMS密钥,具体操作可参见使用KMS加密的云服务

更新共享

您可以随时更新资源共享实例,支持更新共享实例的名称、描述、标签、共享的资源、共享权限以及共享使用者。

  1. 登录DEW管理控制台
  2. 单击页面左上角的,选择管理与监管 > 资源访问管理,进入“资源访问管理”页面。
  3. 单击页面左侧我的共享 > 共享管理,进入“共享管理”页面。
  4. 在共享管理列表中选择需要更新的共享,单击“操作”列的“编辑”。
  5. 进入“指定共享资源”页面,您可根据需要更新共享的名称、描述、标签以及增加或删除共享的资源。
  6. 更新完成后,单击页面右下角的“下一步:权限配置”。
  7. 进入“权限配置”页面,您可根据需要增加或删除共享权限,更新完成后,单击页面右下角的“下一步:指定使用者”。
  8. 进入“指定使用者”页面,您可根据需要增加或删除共享密钥的使用者,配置完成后,单击页面右下角的“下一步:配置确认”。
  9. 进入“配置确认”页面,确认配置无误后,单击页面右下角的“确认”,完成共享的更新。

退出共享

如果用户不再需要访问共享的密钥资源,可以随时退出共享。退出共享后,用户将失去对共享密钥对访问权限。

  1. 登录DEW管理控制台
  2. 单击页面左上角的,选择管理与监管 > 资源访问管理,进入“资源访问管理”页面。
  3. 单击页面左侧共享给我 > 共享管理,进入“共享管理”页面。
  4. 单击“已接收共享”页签,在列表选择需要退出的共享实例,单击“退出”
  5. 在弹出的对话框中,单击“退出”,即可完成退出共享实例。