更新时间:2024-07-24 GMT+08:00

数据加密服务 DEW

Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。

SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限,而是规定了成员账号或组织单元包含的成员账号的授权范围。

本章节介绍组织服务中SCP使用的元素,这些元素包含了操作(Action)、资源(Resource)和条件(Condition)。

如何使用这些元素编辑SCP自定义策略,请参考创建SCP

操作(Action)

操作(Action)即为策略中支持的授权项。

  • “访问级别”列描述如何对操作进行分类(list、read和write等)。此分类可帮助您了解在SCP中相应操作对应的访问级别。
  • “资源类型”列指示每个操作是否支持资源级权限。
    • 资源类型支持通配符号*表示所有。如果此列没有值(-),则必须在SCP语句的Resource元素中指定所有资源类型(“*”)。
    • 如果该列包含资源类型,则必须在具有该操作的语句中指定该资源的URN。
    • 资源类型列中必需资源在表中用星号(*)标识,表示使用此操作必须指定该资源类型。

    关于DEW定义的资源类型的详细信息请参见资源类型(Resource)

  • “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。
    • 如果该授权项资源类型列存在值,则表示条件键仅对列举的资源类型生效。
    • 如果该授权项资源类型列没有值(-),则表示条件键对整个授权项生效。
    • 如果此列没有值(-),表示此操作不支持指定条件键。

    关于DEW定义的条件键的详细信息请参见条件(Condition)

您可以在SCP语句的Action元素中指定以下DEW的相关操作。

表1 KMS支持的授权项

授权项

描述

访问级别

资源类型(*为必须)

条件键

kms:cmk:create

授予创建KMS密钥的权限。

write

cmk *

  • kms:KeyOrigin
  • kms:KeySpec
  • kms:KeyUsage

-

g:EnterpriseProjectId

kms:cmk:list

授予查看用户所有KMS密钥信息的权限。

list

cmk *

-

-

g:EnterpriseProjectId

kms:cmk:enable

授予更改KMS密钥状态为已启用的权限。

write

cmk *

  • kms:KeyOrigin
  • kms:KeySpec
  • kms:KeyUsage
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

kms:cmk:disable

授予禁用KMS密钥的权限。

write

cmk *

  • kms:KeyOrigin
  • kms:KeySpec
  • kms:KeyUsage
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

kms:cmk:get

授予查看KMS密钥的详细信息的权限。

read

cmk *

  • kms:KeyOrigin
  • kms:KeySpec
  • kms:KeyUsage
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

kms:cmk:createDataKey

授予使用KMS密钥生成数据密钥的权限。

write

cmk *

  • kms:KeyOrigin
  • kms:KeySpec
  • kms:KeyUsage
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

-

kms:RecipientAttestation

kms:cmk:createDataKeyWithoutPlaintext

授予使用KMS密钥生成不包含明文版本数据密钥的权限。

write

cmk *

  • kms:KeyOrigin
  • kms:KeySpec
  • kms:KeyUsage
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

kms:cmk:encryptDataKey

授予加密数据密钥的权限。

write

cmk *

  • kms:KeyOrigin
  • kms:KeySpec
  • kms:KeyUsage
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

kms:cmk:decryptDataKey

授予解密数据密钥的权限。

write

cmk *

  • kms:KeyOrigin
  • kms:KeySpec
  • kms:KeyUsage
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

-

kms:RecipientAttestation

kms:cmk:encryptData

授予使用指定的KMS密钥加密小数据的权限。

write

cmk *

  • kms:KeyOrigin
  • kms:KeySpec
  • kms:KeyUsage
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

-

kms:EncryptionAlgorithm

kms:cmk:decryptData

授予使用指定的KMS密钥解密数据的权限。

write

cmk *

  • kms:KeyOrigin
  • kms:KeySpec
  • kms:KeyUsage
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

-

  • kms:EncryptionAlgorithm
  • kms:RecipientAttestation

kms::generateRandom

授予生成安全随机字符串的权限。

write

-

kms:RecipientAttestation

kms:cmk:sign

授予为生成数字签名的权限。

write

cmk *

  • kms:KeyOrigin
  • kms:KeySpec
  • kms:KeyUsage
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

-

  • kms:MessageType
  • kms:SigningAlgorithm

kms:cmk:verify

授予使用指定的KMS密钥验证数字签名的权限。

write

cmk *

  • kms:KeyOrigin
  • kms:KeySpec
  • kms:KeyUsage
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

-

  • kms:MessageType
  • kms:SigningAlgorithm

kms:cmk:generateMac

授予生成消息验证码的权限。

write

cmk *

  • kms:KeyOrigin
  • kms:KeySpec
  • kms:KeyUsage
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

-

kms:MacAlgorithm

kms:cmk:verifyMac

授予使用指定的KMS密钥验证消息验证码的权限。

write

cmk *

  • kms:KeyOrigin
  • kms:KeySpec
  • kms:KeyUsage
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

-

kms:MacAlgorithm

kms:cmk:getPublicKey

授予查询KMS密钥公钥的权限。

read

cmk *

  • kms:KeyOrigin
  • kms:KeySpec
  • kms:KeyUsage
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

kms::getVersions

授予查询服务版本的权限。

read

-

-

kms::getVersion

授予查询服务密钥API版本的权限。

read

-

-

kms::getInstance

授予查询用户密钥实例个数的权限。

read

-

-

kms::getQuota

授予查询用户配额的权限。

read

-

-

kms:cmk:scheduleKeyDeletion

授予定时删除KMS密钥的权限。

write

cmk *

  • kms:KeyOrigin
  • kms:KeySpec
  • kms:KeyUsage
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

kms:cmk:cancelKeyDeletion

授予取消定时删除KMS密钥的权限。

write

cmk *

  • kms:KeyOrigin
  • kms:KeySpec
  • kms:KeyUsage
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

kms:cmk:updateKeyAlias

授予更改密钥别名的权限。

write

cmk *

  • kms:KeyOrigin
  • kms:KeySpec
  • kms:KeyUsage
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

kms:cmk:updateKeyDescription

授予更改密钥描述的权限。

write

cmk *

  • kms:KeyOrigin
  • kms:KeySpec
  • kms:KeyUsage
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

kms:cmk:createGrant

授予给特定密钥创建授权的权限。

permission_management

cmk *

  • kms:KeyOrigin
  • kms:KeySpec
  • kms:KeyUsage
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

-

  • kms:GranteePrincipalType
  • kms:GrantOperations
  • kms:GranteePrincipal
  • kms:RetiringPrincipal

kms:cmk:listGrants

授予查询特定密钥已授权列表的权限。

list

cmk *

  • kms:KeyOrigin
  • kms:KeySpec
  • kms:KeyUsage
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

kms::listRetirableGrants

授予查询密钥可退役授权列表的权限。

list

-

-

kms:cmk:retireGrant

授予给特定密钥退役授权的权限。

permission_management

cmk *

g:ResourceTag/<tag-key>

kms:cmk:revokeGrant

授予给特定密钥撤销授权的权限。

permission_management

cmk *

  • kms:KeyOrigin
  • kms:KeySpec
  • kms:KeyUsage
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

kms:cmk:getMaterial

授予获取密钥导入参数的权限。

read

cmk *

  • kms:KeyOrigin
  • kms:KeySpec
  • kms:KeyUsage
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

-

kms:WrappingAlgorithm

kms:cmk:importMaterial

授予导入密钥材料的权限。

write

cmk *

  • kms:KeyOrigin
  • kms:KeySpec
  • kms:KeyUsage
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

-

kms:ExpirationTime

kms:cmk:deleteMaterial

授予删除密钥材料的权限。

write

cmk *

  • kms:KeyOrigin
  • kms:KeySpec
  • kms:KeyUsage
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

kms:cmk:enableRotation

授予开启指定密钥轮换的权限。

write

cmk *

  • kms:KeyOrigin
  • kms:KeySpec
  • kms:KeyUsage
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

kms:cmk:updateRotation

授予更改指定密钥轮换周期的权限。

write

cmk *

  • kms:KeyOrigin
  • kms:KeySpec
  • kms:KeyUsage
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

kms:cmk:disableRotation

授予关闭密钥轮换的权限。

write

cmk *

  • kms:KeyOrigin
  • kms:KeySpec
  • kms:KeyUsage
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

kms:cmk:getRotation

授予查询指定密钥轮换状态的权限。

read

cmk *

  • kms:KeyOrigin
  • kms:KeySpec
  • kms:KeyUsage
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

kms:cmk:createTag

授予给指定密钥添加标签的权限。

tagging

cmk *

  • kms:KeyOrigin
  • kms:KeySpec
  • kms:KeyUsage
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

-

  • g:RequestTag/<tag-key>
  • g:TagKeys

kms:cmk:createTags

授予给指定密钥批量添加或者删除密钥标签的权限。

tagging

cmk *

  • kms:KeyOrigin
  • kms:KeySpec
  • kms:KeyUsage
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

-

  • g:RequestTag/<tag-key>
  • g:TagKeys

kms:cmk:listKeysByTag

授予查询指定密钥实例的权限。

list

cmk *

-

kms:cmk:deleteTag

授予删除指定密钥标签的权限。

tagging

cmk *

  • kms:KeyOrigin
  • kms:KeySpec
  • kms:KeyUsage
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

-

g:TagKeys

kms:cmk:getTags

授予查询指定密钥标签的权限。

read

cmk *

  • kms:KeyOrigin
  • kms:KeySpec
  • kms:KeyUsage
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

kms::listAllTags

授予查询指定密钥项目标签的权限。

list

-

-

表2 CSMS支持的授权项

授权项

描述

访问级别

资源类型(*为必须)

条件键

csms:secret:create

授予创建和恢复凭据的权限。

write

secret *

csms:Type

-

g:EnterpriseProjectId

csms:secret:delete

授予立即删除凭据的权限。

write

secret *

  • csms:Type
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

csms:secret:update

授予更新凭据元数据信息的权限。

write

secret *

  • csms:Type
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

csms:secret:get

授予查询和下载凭据信息的权限。

read

secret *

  • csms:Type
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

csms:secret:list

授予查询当前用户在本项目下创建的所有凭据的权限。

list

secret *

g:EnterpriseProjectId

csms:secret:createVersion

授予指定凭据中创建新凭据版本的权限。

write

secret *

  • csms:Type
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

csms:secret:getVersion

授予查询指定凭据版本的信息和其明文凭据值的权限。

read

secret *

  • csms:Type
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

csms:secret:listVersion

授予查询指定凭据下的版本列表信息的权限。

list

secret *

  • csms:Type
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

csms:secret:createStage

授予创建凭据版本状态的权限。

write

secret *

  • csms:Type
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

csms:secret:getStage

授予查询指定凭据版本状态标记的版本信息的权限。

read

secret *

  • csms:Type
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

csms:secret:updateStage

授予更新凭据版本状态的权限。

write

secret *

  • csms:Type
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

csms:secret:deleteStage

授予删除指定凭据版本状态的权限。

write

secret *

  • csms:Type
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

csms::getSecretQuota

授予查询指定项目凭据配额的权限。

read

-

-

csms:secret:scheduleDeletion

授予创建凭据定时删除任务的权限。

write

secret *

  • csms:Type
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

csms:secret:restoreSecret

授予取消凭据定时删除任务的权限。

write

secret *

  • csms:Type
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

csms:secret:rotate

授予轮转凭据的权限。

write

secret *

  • csms:Type
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

csms:secret:getSecretsByTag

授予通过标签过滤,返回凭据列表的权限。

list

secret *

-

csms:secret:batchCreateOrDeleteTags

授予批量添加或删除凭据标签的权限。

tagging

secret *

  • csms:Type
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

-

  • g:RequestTag/<tag-key>
  • g:TagKeys

csms:secret:createTag

授予添加凭据标签的权限。

tagging

secret *

  • csms:Type
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

-

  • g:RequestTag/<tag-key>
  • g:TagKeys

csms:secret:deleteTag

授予删除凭据标签的权限。

tagging

secret *

  • csms:Type
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

-

g:TagKeys

csms:secret:listTags

授予查询凭据标签的权限。

list

secret *

  • csms:Type
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

csms::listProjectTags

授予查询用户在指定项目下的所有凭据标签集合的权限。

list

-

-

csms:secret:updateVersion

授予更新凭据版本有效期的权限。

write

secret *

  • csms:Type
  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

csms::createEvent

授予创建凭据事件的权限。

write

-

-

csms::listEvents

授予查询当前用户在本项目下创建的所有事件通知的权限。

list

-

-

csms::getEvent

授予查询指定事件通知信息的权限。

read

-

-

csms::updateEvent

授予更新指定事件通知的元数据信息的权限。

write

-

-

csms::deleteEvent

授予立即删除指定的事件通知的权限。

write

-

-

csms::listNotificationRecords

授予查询已触发事件通知记录的权限。

list

-

-

表3 DHSM支持的授权项

授权项

描述

访问级别

资源类型(*为必须)

条件键

dhsm:hsm:get

授予查询密码机详细信息的权限。

read

DHSM

-

dhsm:hsm:getJobInfo

授予查询任务详细信息的权限。

read

DHSM

-

dhsm:cluster:getCsr

授予下载证书请求文件的权限。

read

DHSM

-

dhsm:cluster:getCert

授予查询集群证书的权限。

read

DHSM

-

dhsm::getPreCreatedInfo

授予查询加密机资源信息的权限。

read

DHSM

-

dhsm:hsm:delete

授予删除密码机详细信息的权限。

write

DHSM

-

dhsm:hsm:updateAlias

授予更新密码机信息的权限。

write

DHSM

-

dhsm:hsm:create

授予创建密码机的权限。

write

DHSM

-

dhsm:hsm:updateHsm

授予更新密码机信息的权限。

write

DHSM

-

dhsm:cluster:create

授予创建集群的权限。

write

DHSM

-

dhsm:cluster:update

授予更新集群的权限。

write

DHSM

-

dhsm:cluster:delete

授予删除集群的权限。

write

DHSM

-

dhsm:cluster:addVsm

授予批量添加密码机的权限。

write

DHSM

-

dhsm:cluster:updateCert

授予配置证书的权限。

write

DHSM

-

dhsm:hsm:createInstallOrder

授予创建安装订单的权限。

write

DHSM

-

dhsm:hsm:createOrder

授予创建订单的权限。

write

DHSM

-

dhsm:hsm:inquiryResource

授予询价的权限。

read

DHSM

-

dhsm:hsm:list

授予查询密码机列表的权限。

list

DHSM

-

dhsm:cluster:list

授予查询集群的权限。

list

DHSM

-

dhsm:hsm:listHsmsByTag

授予查询加密机实例的权限。

list

DHSM

-

dhsm:hsm:getHsmTags

授予查询标签列表的权限。

list

DHSM

-

dhsm::listTags

授予查询hsm全部标签的权限。

list

DHSM

-

dhsm::listChargeSpecCode

授予查询规格编码的权限。

list

DHSM

-

dhsm:hsm:createTags

授予批量创建或者删除标签的权限。

tagging

DHSM

-

dhsm:hsm:createResourceTag

授予创建资源标签的权限。

tagging

DHSM

-

dhsm:hsm:deleteResourceTag

授予删除资源标签的权限。

tagging

DHSM

-

DEW的API通常对应着一个或多个授权项。表 API与KMS操作项的关系表 API与CSMS操作项的关系表 API与KPS操作项的关系展示了API与授权项的关系,以及该API需要依赖的授权项。

表4 API与KMS授权项的关系

API

对应的授权项

依赖的授权项

POST /v1.0/{project_id}/kms/create-key

kms:cmk:create

-

POST /v1.0/{project_id}/kms/list-keys

kms:cmk:list

-

POST /v1.0/{project_id}/kms/enable-key

kms:cmk:enable

-

POST /v1.0/{project_id}/kms/disable-key

kms:cmk:disable

-

POST /v1.0/{project_id}/kms/describe-key

kms:cmk:get

-

POST /v1.0/{project_id}/kms/create-datakey

kms:cmk:createDataKey

-

POST /v1.0/{project_id}/kms/create-datakey-without-plaintext

kms:cmk:createDataKeyWithoutPlaintext

-

POST /v1.0/{project_id}/kms/encrypt-datakey

kms:cmk:encryptDataKey

-

POST /v1.0/{project_id}/kms/decrypt-datakey

kms:cmk:decryptDataKey

-

POST /v1.0/{project_id}/kms/encrypt-data

kms:cmk:encryptData

-

POST /v1.0/{project_id}/kms/decrypt-data

kms:cmk:decryptData

-

POST /v1.0/{project_id}/kms/gen-random

kms::generateRandom

-

POST /v1.0/{project_id}/kms/sign

kms:cmk:sign

-

POST /v1.0/{project_id}/kms/verify

kms:cmk:verify

-

POST /v1.0/{project_id}/kms/get-publickey

kms:cmk:getPublicKey

-

GET /

kms::getVersions

-

GET /{version_id}

kms::getVersion

-

POST /v1.0/{project_id}/kms/schedule-key-deletion

kms:cmk:scheduleKeyDeletion

-

POST /v1.0/{project_id}/kms/cancel-key-deletion

kms:cmk:cancelKeyDeletion

-

GET /v1.0/{project_id}/kms/user-instances

kms::getInstance

-

GET /v1.0/{project_id}/kms/user-quotas

kms::getQuota

-

POST /v1.0/{project_id}/kms/update-key-alias

kms:cmk:updateKeyAlias

-

POST /v1.0/{project_id}/kms/update-key-description

kms:cmk:updateKeyDescription

-

POST /v1.0/{project_id}/kms/create-grant

kms:cmk:createGrant

-

POST /v1.0/{project_id}/kms/list-grants

kms:cmk:listGrants

-

POST /v1.0/{project_id}/kms/list-retirable-grants

kms::listRetirableGrants

-

POST /v1.0/{project_id}/kms/retire-grant

kms:cmk:retireGrant

-

POST /v1.0/{project_id}/kms/revoke-grant

kms:cmk:revokeGrant

-

POST /v1.0/{project_id}/kms/get-parameters-for-import

kms:cmk:getMaterial

-

POST /v1.0/{project_id}/kms/import-key-material

kms:cmk:importMaterial

-

POST /v1.0/{project_id}/kms/delete-imported-key-material

kms:cmk:deleteMaterial

-

POST /v1.0/{project_id}/kms/enable-key-rotation

kms:cmk:enableRotation

-

POST /v1.0/{project_id}/kms/update-key-rotation-interval

kms:cmk:updateRotation

-

POST /v1.0/{project_id}/kms/disable-key-rotation

kms:cmk:disableRotation

-

POST /v1.0/{project_id}/kms/get-key-rotation-status

kms:cmk:getRotation

-

POST /v1.0/{project_id}/kms/{key_id}/tags

kms:cmk:createTag

-

POST /v1.0/{project_id}/kms/{key_id}/tags/action

kms:cmk:createTags

-

POST /v1.0/{project_id}/kms/{resource_instances}/action

kms:cmk:listKeysByTag

-

DELETE /v1.0/{project_id}/kms/{key_id}/tags/{key}

kms:cmk:deleteTag

-

GET /v1.0/{project_id}/kms/{key_id}/tags

kms:cmk:getTags

-

GET /v1.0/{project_id}/kms/tags

kms::listAllTags

-

表5 API与CSMS授权项的关系

API

对应的授权项

依赖的授权项

POST /v1/{project_id}/secrets

csms:secret:create

kms:cmk:createDataKey

POST /v1/{project_id}/secrets/{secret_name}/backup

csms:secret:get

  • kms:cmk:createDataKey
  • kms:cmk:decryptDataKey
  • kms:cmk:list

POST /v1/{project_id}/secrets/restore

csms:secret:create

kms:cmk:decryptDataKey

DELETE /v1/{project_id}/secrets/{secret_name}

csms:secret:delete

-

PUT /v1/{project_id}/secrets/{secret_name}

csms:secret:update

-

GET /v1/{project_id}/secrets/{secret_name}

csms:secret:get

-

GET /v1/{project_id}/secrets

csms:secret:list

-

POST /v1/{project_id}/secrets/{secret_name}/versions

csms:secret:createVersion

kms:cmk:createDataKey

GET /v1/{project_id}/secrets/{secret_name}/versions/{version_id}

csms:secret:getVersion

kms:cmk:decryptDataKey

GET /v1/{project_id}/secrets/{secret_name}/versions

csms:secret:listVersion

-

GET /v1/{project_id}/secrets/{secret_name}/stages/{stage_name}

csms:secret:getStage

-

PUT /v1/{project_id}/secrets/{secret_name}/stages/{stage_name}

csms:secret:updateStage

-

DELETE /v1/{project_id}/secrets/{secret_name}/stages/{stage_name}

csms:secret:deleteStage

-

POST /v1/{project_id}/secrets/{secret_name}/scheduled-deleted-tasks/create

csms:secret:scheduleDeletion

-

POST /v1/{project_id}/secrets/{secret_name}/scheduled-deleted-tasks/cancel

csms:secret:restoreSecret

-

POST /v1/{project_id}/secrets/{secret_name}/rotate

csms:secret:rotate

  • rds:password:update
  • kms:cmk:createGrant
  • kms:cmk:retireGrant

POST /v1/{project_id}/csms/{resource_instances}/action

csms:secret:getSecretsByTag

-

POST /v1/{project_id}/csms/{secret_id}/tags/action

csms:secret:batchCreateOrDeleteTags

-

POST /v1/{project_id}/csms/{secret_id}/tags

csms:secret:createTag

-

DELETE /v1/{project_id}/csms/{secret_id}/tags/{key}

csms:secret:deleteTag

-

GET /v1/{project_id}/csms/{secret_id}/tags

csms:secret:listTags

-

GET /v1/{project_id}/csms/tags

csms::listProjectTags

-

PUT /v1/{project_id}/secrets/{secret_name}/versions/{version_id}

csms:secret:updateVersion

-

POST /v1/{project_id}/csms/events

csms::createEvent

-

GET /v1/{project_id}/csms/events

csms::listEvents

-

GET /v1/{project_id}/csms/events/{event_name}

csms::getEvent

-

PUT /v1/{project_id}/csms/events/{event_name}

csms::updateEvent

-

DELETE /v1/{project_id}/csms/events/{event_name}

csms::deleteEvent

-

GET /v1/{project_id}/csms/notification-records

csms::listNotificationRecords

-

表6 API与KPS授权项的关系

API

对应的授权项

依赖的授权项

POST /v3/{project_id}/keypairs

kps:SSHKeyPair:create

  • kms:cmk:createDataKey
  • kms:cmk:list

DELETE /v3/{project_id}/keypairs/{keypair_name}

kps:SSHKeyPair:delete

-

GET /v3/{project_id}/keypairs/{keypair_name}

kps:SSHKeyPair:get

-

GET /v3/{project_id}/keypairs

kps:SSHKeyPair:list

-

PUT /v3/{project_id}/keypairs/{keypair_name}

kps:SSHKeyPair:update

-

POST /v3/{project_id}/keypairs/associate

kps:SSHKeyPair:bind

  • ecs:cloudServers:createServers
  • ecs:cloudServers:deleteServers
  • ecs:cloudServers:showServer
  • ecs:cloudServers:attach
  • ecs:cloudServers:listServerBlockDevices
  • ecs:cloudServers:showServerBlockDevice
  • ecs:cloudServers:detachVolume
  • ecs:cloudServers:listServerInterfaces
  • ecs:cloudServers:listServersDetails
  • ecs:cloudServerFlavors:get
  • ecs:cloudServerQuotas:get
  • evs:types:get
  • evs:volumes:use
  • ims:images:get
  • vpc:subnets:list

DELETE /v3/{project_id}/failed-tasks

kps::deleteFailedTask

-

DELETE /v3/{project_id}/failed-tasks/{task_id}

kps::deleteFailedTask

-

POST /v3/{project_id}/keypairs/disassociate

kps:SSHKeyPair:unbind

  • ecs:cloudServers:createServers
  • ecs:cloudServers:deleteServers
  • ecs:cloudServers:showServer
  • ecs:cloudServers:attach
  • ecs:cloudServers:listServerBlockDevices
  • ecs:cloudServers:showServerBlockDevice
  • ecs:cloudServers:detachVolume
  • ecs:cloudServers:listServerInterfaces
  • ecs:cloudServers:listServersDetails
  • ecs:cloudServerFlavors:get
  • ecs:cloudServerQuotas:get
  • evs:types:get
  • evs:volumes:use
  • ims:images:get
  • vpc:subnets:list

GET /v3/{project_id}/failed-tasks

kps::getFailedTask

-

GET /v3/{project_id}/tasks/{task_id}

kps::getTask

-

GET /v3/{project_id}/running-tasks

kps::getRunningTask

-

POST /v3/{project_id}/keypairs/private-key/import

kps:SSHKeyPair:importPrivateKey

  • kms:cmk:createDataKey
  • kms:cmk:list

POST /v3/{project_id}/keypairs/private-key/export

kps:SSHKeyPair:exportPrivateKey

kms:cmk:decryptDataKey

POST /v3/{project_id}/keypairs/batch-associate

kps:SSHKeyPair:bind

  • ecs:cloudServers:createServers
  • ecs:cloudServers:deleteServers
  • ecs:cloudServers:showServer
  • ecs:cloudServers:attach
  • ecs:cloudServers:listServerBlockDevices
  • ecs:cloudServers:showServerBlockDevice
  • ecs:cloudServers:detachVolume
  • ecs:cloudServers:listServerInterfaces
  • ecs:cloudServers:listServersDetails
  • ecs:cloudServerFlavors:get
  • ecs:cloudServerQuotas:get
  • evs:types:get
  • evs:volumes:use
  • ims:images:get
  • vpc:subnets:list

DELETE /v3/{project_id}/keypairs/{keypair_name}/private-key

kps:SSHKeyPair:clearPrivateKey

-

表7 API与DHSM授权项的关系

API

对应的授权项

依赖的授权项

GET /v1/{project_id}/dew/hsms/{hsm_id}

dhsm:hsm:get

-

GET /v1/{project_id}/dew/hsms/jobs/{job_id}

dhsm:hsm:getJobInfo

-

GET /v1/{project_id}/dew/clusters/{cluster_id}/csr

dhsm:cluster:getCsr

-

GET /v1/{project_id}/dew/clusters/{cluster_id}/cert

dhsm:cluster:getCert

-

GET /v1/{project_id}/dew/resources

dhsm::getPreCreatedInfo

-

DELETE /v1/{project_id}/dew/hsms/{hsm_id}

dhsm:hsm:delete

-

PUT /v1/{project_id}/dew/hsms/{hsm_id}

dhsm:hsm:updateAlias

-

POST /v1/{project_id}/dew/hsms

dhsm:hsm:create

-

PUT /v1/{project_id}/dew/hsms/{hsm_id}

dhsm:hsm:updateHsm

-

POST /v1/{project_id}/dew/clusters

dhsm:cluster:create

-

PUT /v1/{project_id}/dew/clusters/{cluster_id}

dhsm:cluster:update

-

DELETE /v1/{project_id}/dew/clusters/{cluster_id}

dhsm:cluster:delete

-

POST /v1/{project_id}/dew/clusters/{cluster_id}/vsms

dhsm:cluster:addVsm

-

POST /v1/{project_id}/dew/clusters/{cluster_id}/cert

dhsm:cluster:updateCert

-

POST /v1/{project_id}/dew/install-order

dhsm:hsm:createInstallOrder

-

POST /v1/{project_id}/dew/order

dhsm:hsm:createOrder

-

POST /v1/dew/inquiry/resource

dhsm:hsm:inquiryResource

-

GET /v1/{project_id}/dew/hsms

dhsm:hsm:list

-

GET /v1/{project_id}/dew/clusters

dhsm:cluster:list

-

POST /v1/{project_id}/hsm/{resource_instances}/action

dhsm:hsm:listHsmsByTag

-

GET /v1/{project_id}/hsm/{resource_id}/tags

dhsm:hsm:getHsmTags

-

GET /v1/{project_id}/hsm/tags

dhsm::listTags

-

GET /v1/dew/spec-codes

dhsm::listChargeSpecCode

-

POST /v1/{project_id}/hsm/{resource_id}/tags/action

dhsm:hsm:createTags

-

POST /v1/{project_id}/hsm/{resource_id}/tags

dhsm:hsm:createResourceTag

-

DELETE /v1/{project_id}/hsm/{resource_id}/tags/{key}

dhsm:hsm:deleteResourceTag

-

资源类型(Resource)

资源类型(Resource)表示SCP所作用的资源。如表 DEW支持的资源类型中的某些操作指定了可以在该操作指定的资源类型,则必须在具有该操作的SCP语句中指定该资源的URN,SCP仅作用于此资源;如未指定,Resource默认为“*”,则SCP将应用到所有资源。您也可以在SCP中设置条件键,从而定义资源类型。

DEW定义了以下可以在SCP的Resource元素中使用的资源类型。

表8 DEW支持的资源类型

资源类型

URN

cmk

kms:<region>:<account-id>:cmk:<cmk-id>

secret

csms:<region>:<account-id>:secret:<secret-name>

dhsm

dhsm:<region>:<account-id>:hsm:<hsm-id>

cluster

dhsm:<region>:<account-id>:cluster:<cluster-id>

条件(Condition)

条件键(Condition)是SCP生效的特定条件,包括条件键运算符

  • 条件键表示SCP的Condition元素中的键值。根据适用范围,分为全局级条件键和服务级条件键。
    • 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,组织将自动获取并鉴权。详情请参见:全局条件键
    • 服务级条件键(前缀通常为服务缩写,如DEW:)仅适用于对应服务的操作,详情请参见表 DEW支持的服务级条件键
    • 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值,多值条件键在API调用时请求可以包含多个值。例如:g:SourceVpce是单值条件键,表示仅允许通过某个VPC终端节点发起请求访问某资源,一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键,表示请求中携带的所有标签的key组成的列表,当用户在调用API请求时传入标签可以传入多个值。
  • 运算符与条件键、条件值一起构成完整的条件判断语句,当请求信息满足该条件时,SCP才能生效。支持的运算符请参见:运算符

DEW定义了以下可以在SCP的Condition元素中使用的条件键,您可以使用这些条件键进一步细化SCP语句应用的条件。

KPS服务不支持在身份策略中的条件键中配置服务级的条件键。

表9 DEW支持的服务级条件键

服务级条件键

类型

单值/多值

说明

kms:EncryptionAlgorithm

string

单值

根据请求中的加解密算法的值过滤对加解密操作的访问。

kms:GranteePrincipalType

string

单值

根据请求中的授权主体类型约束过滤对CreateGrant操作的访问。

kms:GrantOperations

string

多值

根据需要授权的操作过滤对CreateGrant操作的访问权限。

kms:GranteePrincipal

string

单值

根据授权中的被授权方主体过滤对CreateGrant操作的访问权限。

kms:KeyOrigin

string

单值

根据创建或使用操作KMS密钥的origin属性过滤对API操作的访问。

kms:KeySpec

string

单值

根据创建或使用操作KMS密钥的key_spec属性过滤对API操作的访问。

kms:KeyUsage

string

单值

根据创建或使用操作KMS密钥的key_usage属性过滤对API操作的访问。

kms:MessageType

string

单值

根据请求中的message_type参数的值过滤对签名和验证签名操作的访问。

kms:RetiringPrincipal

string

单值

根据授权中的retiring_principal筛选对CreateGrant操作的访问。

kms:SigningAlgorithm

string

单值

根据请求中的signing_algorithm过滤对签名和验证操作的访问。

kms:ExpirationTime

date

单值

根据请求中的expiration_time参数的值过滤对ImportKeyMaterial操作的访问。

kms:WrappingAlgorithm

string

单值

根据请求中的wrapping_algorithm参数的值过滤对CreateParametersForImport操作的访问。

kms:RecipientAttestation

string

单值

根据请求中证明文档的平台配置寄存器(PCR)值控制CreateDatakey、DecryptData、DecryptDatakey和CreateRandom操作的访问。

kms:MacAlgorithm

string

单值

根据请求中的mac_algorithm过滤对生成/校验消息验证码操作的访问。

csms:Type

string

单值

根据凭据的类型筛选访问权限。