创建授权
用户可以为其他IAM用户或账号创建授权,授予其使用自身的自定义密钥的权限,一个自定义密钥下最多可创建100个授权。
前提条件
- 已获取被授权IAM用户或账号的ID。
- 自定义密钥需处于“启用”状态。
约束条件
- 自定义密钥的所有者可通过KMS界面或者调用API接口的方式为自定义密钥创建授权;被自定义密钥所有者授予了“创建授权”操作权限的IAM用户或账号仅能通过调用API接口的方式为自定义密钥创建授权。
- 一个自定义密钥下最多可创建100个授权。
- 授权仅支持用户以及账户,不能针对委托进行授权。
操作步骤
- 登录管理控制台。
- 单击管理控制台左上角,选择区域或项目。
- 单击页面左侧,选择“密钥管理”界面。 ,默认进入
- 单击目标自定义密钥的名称,进入密钥详细信息授权页面。
- 单击“授权”,进入授权管理界面。
- 单击“创建授权”,弹出“创建授权”对话框。
图1 创建授权(用户)
图2 创建授权(账号)
- 在弹出的对话框中,输入被授权用户/账号ID,并勾选授权操作的权限。参数说明请参见表1。
被授权用户只有通过调用API接口的方式,才能使用“授权操作”的权限,详细信息请参考《数据加密服务API参考》。
表1 创建授权参数说明 参数
参数说明
配置样例
被授权对象
支持对用户和账号进行授权。
d9a6b2bdaedd4ba586cabe6372d1b312
授权名称
用户可选择为授权命名。
说明:- 输入字符支持数字、字母、“_”、“-”、“:”和“/”。
test
授权操作
用户可以选择多种授权操作。以下为各类型密钥通用授权操作:
- 查询密钥信息
- 创建授权
- 退役授权
各类型密钥算法及用途,具有对应专属授权操作,具体请参见表 授权操作。
-
表2 授权操作 密钥算法
密钥类型
密钥用途
授权操作
- AES_256
- SM4
对称密钥
ENCRYPT_DECRYPT
- 创建不含明文数据密钥
- 创建数据密钥
- 加密数据密钥
- 解密数据密钥
- 加密数据
- 解密数据
- RSA_2048
- RSA_3072
- RSA_4096
- EC_P256
- EC_P384
- SM2
非对称密钥
SIGN_VERIFY
- 查询公钥信息
- 签名
- 验签
- RSA_2048
- RSA_3072
- RSA_4096
- SM2
非对称密钥
ENCRYPT_DECRYPT
- 查询公钥信息
- 加密数据
- 解密数据
- HMAC_256
- HMAC_384
- HMAC_512
- HMAC_SM3
摘要密钥
GENERATE_VERIFY_MAC
- 生成HMAC
- 校验HMAC
- 单击“确定”,页面右上角弹出“授权创建成功”,则说明授权成功。
授权列表中可查看到“授权名称”、“授权类型”、“被授权ID”、“授权操作”和“创建时间”。