更新时间:2024-12-09 GMT+08:00
分享

创建授权

用户可以为其他IAM用户或账号创建授权,授予其使用自身的自定义密钥的权限,一个自定义密钥下最多可创建100个授权。

前提条件

  • 已获取被授权IAM用户或账号的ID。
  • 自定义密钥需处于“启用”状态。

约束条件

  • 自定义密钥的所有者可通过KMS界面或者调用API接口的方式为自定义密钥创建授权;被自定义密钥所有者授予了“创建授权”操作权限的IAM用户或账号仅能通过调用API接口的方式为自定义密钥创建授权。
  • 一个自定义密钥下最多可创建100个授权。
  • 授权仅支持用户以及账户,不能针对委托进行授权。

操作步骤

  1. 登录管理控制台
  2. 单击管理控制台左上角,选择区域或项目。
  3. 单击页面左侧,选择安全与合规 > 数据加密服务,默认进入“密钥管理”界面。
  4. 单击目标自定义密钥的名称,进入密钥详细信息授权页面。
  5. 单击“授权”,进入授权管理界面。
  6. 单击“创建授权”,弹出“创建授权”对话框。

    图1 创建授权(用户)
    图2 创建授权(账号)

  7. 在弹出的对话框中,输入被授权用户/账号ID,并勾选授权操作的权限。参数说明请参见表1

    被授权用户只有通过调用API接口的方式,才能使用“授权操作”的权限,详细信息请参考《数据加密服务API参考》

    表1 创建授权参数说明

    参数

    参数说明

    配置样例

    被授权对象

    支持对用户和账号进行授权。

    • 用户

      用户ID:请填写在用户名 > 我的凭证 > API凭证中的“IAM用户ID”

      授权完成后,该IAM用户能使用授权中指定的密钥

    • 账号

      账号ID:请填写在用户名 > 我的凭证 > API凭证中的“账号ID”

      授权完成后,该账号下所有的IAM用户均能使用授权中指定的密钥。

    d9a6b2bdaedd4ba586cabe6372d1b312

    授权名称

    用户可选择为授权命名。

    说明:
    • 输入字符支持数字、字母、“_”、“-”、“:”和“/”。

    test

    授权操作

    用户可以选择多种授权操作。以下为各类型密钥通用授权操作:

    • 查询密钥信息
    • 创建授权
    • 退役授权

    各类型密钥算法及用途,具有对应专属授权操作,具体请参见表 授权操作

    -

    表2 授权操作

    密钥算法

    密钥类型

    密钥用途

    授权操作

    • AES_256
    • SM4

    对称密钥

    ENCRYPT_DECRYPT

    • 创建不含明文数据密钥
    • 创建数据密钥
    • 加密数据密钥
    • 解密数据密钥
    • 加密数据
    • 解密数据
    • RSA_2048
    • RSA_3072
    • RSA_4096
    • EC_P256
    • EC_P384
    • SM2

    非对称密钥

    SIGN_VERIFY

    • 查询公钥信息
    • 签名
    • 验签
    • RSA_2048
    • RSA_3072
    • RSA_4096
    • SM2

    非对称密钥

    ENCRYPT_DECRYPT

    • 查询公钥信息
    • 加密数据
    • 解密数据
    • HMAC_256
    • HMAC_384
    • HMAC_512
    • HMAC_SM3

    摘要密钥

    GENERATE_VERIFY_MAC

    • 生成HMAC
    • 校验HMAC

  8. 单击“确定”,页面右上角弹出“授权创建成功”,则说明授权成功。

    授权列表中可查看到“授权名称”“授权类型”“被授权ID”“授权操作”“创建时间”

相关文档