文档首页/ 数据加密服务 DEW/ 用户指南/ 密钥管理/ 管理密钥/ 为自定义密钥创建授权
更新时间:2025-08-13 GMT+08:00
查看PDF
分享

为自定义密钥创建授权

用户可以为其他IAM用户或账号创建授权,授予其使用自身的自定义密钥的权限,一个自定义密钥下最多可创建100个授权。

前提条件

  • 已获取被授权IAM用户或账号的ID。
    • 用户ID:在用户名 > 我的凭证 > API凭证中的“IAM用户ID”
    • 账号ID:在用户名 > 我的凭证 > API凭证中的“账号ID”
  • 自定义密钥需处于“启用”状态。

约束条件

  • 自定义密钥的所有者可通过KMS界面或者调用API接口的方式为自定义密钥创建授权;被自定义密钥所有者授予了“创建授权”操作权限的IAM用户或账号仅能通过调用API接口的方式为自定义密钥创建授权。
  • 一个自定义密钥下最多可创建100个授权。
  • 授权仅支持用户以及账户,不能针对委托进行授权。

为自定义密钥创建授权

  1. 登录DEW服务控制台
  2. 单击管理控制台左上角,选择区域或项目。
  3. 单击目标自定义密钥的名称,进入密钥详细信息授权页面。
  4. 单击“授权”,进入授权管理界面。
  5. 单击“创建授权”,弹出“创建授权”对话框。

    图1 创建授权(用户)
    图2 创建授权(账号)

  6. 在弹出的对话框中,输入被授权用户/账号ID,并勾选授权操作的权限。参数说明请参见表1

    被授权用户只有通过调用API接口的方式,才能使用“授权操作”的权限,详细信息请参考数据加密服务API参考》

    表1 创建授权参数说明

    参数

    参数说明

    配置样例

    被授权对象

    支持对用户和账号进行授权。

    • 用户

      用户ID:请填写在用户名 > 我的凭证 > API凭证中的“IAM用户ID”

      授权完成后,该IAM用户能使用授权中指定的密钥

    • 账号

      账号ID:请填写在用户名 > 我的凭证 > API凭证中的“账号ID”

      授权完成后,该账号下所有的IAM用户均能使用授权中指定的密钥。

    d9a6b2bdaedd4ba586cabe6372d1b312

    授权名称

    用户可选择为授权命名。

    说明:
    • 输入字符支持数字、字母、“_”、“-”、“:”和“/”。

    test

    授权操作

    用户可选择以下授权操作:

    说明:
    • 一个自定义密钥可以多次授权给同一个用户不同的权限,用户最终的权限为所有授权的并集。
    • 授权操作选项不能为空。
    • 不能仅授予“创建授权”操作。
    • 创建不含明文数据密钥
    • 创建数据密钥
    • 加密数据密钥
    • 解密数据密钥
    • 查询密钥信息
    • 创建授权
    • 退役授权
      • 当被授权用户不再使用授权用户授予的自定义密钥的操作权限时,被授权用户可退役该授权。
      • 如果被授权用户在退役授权前,已将自定义密钥的操作权限授予给其他用户,那么被授权用户退役授权后,对其他用户操作自定义密钥的权限无影响。
    • 加密数据
    • 解密数据

    用户可以选择多种授权操作。以下为各类型密钥通用授权操作:

    • 查询密钥信息
    • 创建授权
    • 退役授权

    各类型密钥算法及用途,具有对应专属授权操作,具体请参见表 授权操作

    -
    表2 授权操作

    密钥算法

    密钥类型

    密钥用途

    授权操作
    • AES_256
    • SM4

    对称密钥

    ENCRYPT_DECRYPT
    • 创建不含明文数据密钥
    • 创建数据密钥
    • 加密数据密钥
    • 解密数据密钥
    • 加密数据
    • 解密数据
    • 创建数据密钥对
    • RSA_2048
    • RSA_3072
    • RSA_4096
    • EC_P256
    • EC_P384
    • SM2

    非对称密钥

    SIGN_VERIFY
    • 查询公钥信息
    • 签名
    • 验签
    • RSA_2048
    • RSA_3072
    • RSA_4096
    • SM2

    非对称密钥

    ENCRYPT_DECRYPT
    • 查询公钥信息
    • 加密数据
    • 解密数据
    • HMAC_256
    • HMAC_384
    • HMAC_512
    • HMAC_SM3

    摘要密钥

    GENERATE_VERIFY_MAC
    • 生成HMAC
    • 校验HMAC

  7. 单击“确定”,页面右上角弹出“授权创建成功”,则说明授权成功。

    授权列表中可查看到“授权名称”“授权类型”“被授权ID”“授权操作”“创建时间”

查询授权

该任务指导用户通过KMS界面查看自定义密钥的授权信息,包括授权ID、被授权ID、授权操作、创建时间等。

  1. “密钥管理”列表中,单击目标自定义密钥的别名,进入密钥详细信息页面。
  2. 选择“授权”页签,用户可查看当前自定义密钥下创建的授权。自定义密钥的授权信息如表3所示。

    表3 授权信息参数说明

    参数

    参数说明

    授权名称

    创建授权时为授权进行命名。

    被授权ID

    被授权的ID。

    授权类型

    授权类型:用户和账号。

    授权操作

    被授予用户对自定义密钥的操作权限(例如:创建数据密钥)。

    创建时间

    创建该授权的时间。

  3. 单击目标授权,页面右侧显示授权详情,如图 授权详情所示。

    图3 授权详情

撤销授权

在以下两种情况下,授权用户可以通过密钥管理界面撤销授权:

  • 当被授权用户不再使用授权用户的自定义密钥时,被授权用户可告知授权用户撤销授权,或者通过API接口直接退役授权。
  • 当授权用户想收回自定义密钥的操作权限时,授权用户可强制撤销授权。

撤销授权后,被授权用户不再持有被授予的权限,而撤销授权前被授权用户已授予给其他用户的权限不受影响。

  1. “密钥管理”列表中,单击目标自定义密钥的别名,进入密钥详细信息页面。
  2. 选择“授权”页签,在目标授权ID所在行的“操作”列,单击“撤销授权”
  3. 如果未开启验证,在确认删除提示框中输入“DELETE”后,单击“确定”,完成撤销授权操作。

    如果开启验证,选择验证方式后,单击“获取验证码”,在验证码对话框中输入获取的验证码,单击“确定”,完成撤销授权操作。

    如果需要关闭操作保护,可以在账号的安全设置 > 敏感操作中关闭。也可以单击删除页面的“关闭操作保护”

编辑授权

为其他IAM用户或账号创建授权后,可对已授权操作进行编辑,更改授权对象的操作权限范围。

  1. “密钥管理”列表中,单击目标自定义密钥的别名,进入密钥详细信息页面。
  2. 选择“授权”页签,在目标授权ID所在行“操作”列,单击“编辑授权”,在弹出页面对授权操作进行勾选,如图 编辑授权所示。

    图4 编辑授权

  3. 单击“确定”,完成编辑授权操作。
父主题: 管理密钥

相关文档