数据加密服务 DEW数据加密服务 DEW

更新时间:2021/07/27 GMT+08:00
分享

创建授权

用户可以为其他IAM用户或帐号创建授权,授予其使用自身的用户主密钥(CMK)的权限,一个用户主密钥下最多可创建100个授权。

前提条件

  • 已获取管理控制台的登录帐号与密码。
  • 已获取被授权IAM用户或帐号的ID。
  • 用户主密钥需处于“启用”状态。
  • 本章节涉及的“用户主密钥”均为“对称密钥”。对称密钥和非对称密钥的介绍,请参见密钥概述章节。

约束条件

用户主密钥的所有者可通过KMS界面或者调用API接口的方式为用户主密钥创建授权;被用户主密钥所有者授予了“创建授权”操作权限的用户或帐号仅能通过调用API接口的方式为用户主密钥创建授权。

操作步骤

  1. 登录管理控制台
  2. 单击管理控制台左上角,选择区域或项目。
  3. 单击页面左侧,选择安全与合规 > 数据加密服务,默认进入“密钥管理”界面。
  4. 单击目标用户主密钥的别名,进入密钥详细信息授权页面。
  5. 单击“授权”,进入授权管理界面,如图1所示。

    图1 授权页面

  6. 单击“创建授权”,弹出“创建授权”对话框。

    图2 创建授权(用户)
    图3 创建授权(账号)

  7. 在弹出的对话框中,输入被授权用户ID,并勾选授权操作的权限。参数说明请参见表1

    被授权用户只有通过调用API接口的方式,才能使用“授权操作”的权限,详细信息请参考《数据加密服务API参考》

    表1 创建授权参数说明

    参数

    参数说明

    配置样例

    密钥ID

    自动读取用户主密钥的ID。

    -

    被授权对象

    支持对用户和账号进行授权。

    • 用户

      用户ID:请填写在用户名 > 我的凭证 > API凭证中的“IAM用户ID”

      授权完成后,该IAM用户能使用授权中指定的密钥

    • 账号

      账号ID:请填写在用户名 > 我的凭证 > API凭证中的“帐号ID”

      授权完成后,该帐号下所有的IAM用户均能使用授权中指定的密钥。

    d9a6b2bdaedd4ba586cabe6372d1b312

    授权操作

    用户可选择以下授权操作:

    说明:
    • 一个用户主密钥可以多次授权给同一个用户不同的权限,用户最终的权限为所有授权的并集。
    • 授权操作选项不能为空。
    • 不能仅授予“创建授权”操作。
    • 创建不含明文数据密钥
    • 创建数据密钥
    • 加密数据密钥
    • 解密数据密钥
    • 查询密钥信息
    • 创建授权
    • 退役授权
      • 当被授权用户不再使用授权用户授予的用户主密钥的操作权限时,被授权用户可退役该授权。
      • 如果被授权用户在退役授权前,已将用户主密钥的操作权限授予给其他用户,那么被授权用户退役授权后,对其他用户操作用户主密钥的权限无影响。
    • 加密数据
    • 解密数据

    -

  8. 单击“确定”,页面右上角弹出“授权创建成功”,则说明授权成功。

    授权列表中可查看到“授权ID”“授权类型”“被授权ID”“授权操作”“创建时间”

分享:

    相关文档

    相关产品