共享概述
基于资源访问管理(Resource Access Manager,简称RAM)服务,资源所有者可以依据最小权限原则和不同的使用诉求,选择不同的共享权限,资源使用者只能对资源进行权限内的访问,保证共享资源在满足资源使用者业务诉求的同时,提升资源管理的安全性。关于RAM服务的更多信息请参见什么是资源访问管理。
当您的账号由华为云组织管理时,您还可以利用此优势更轻松地共享资源。如果您的账号在组织中,则您可以与单个账号共享,也可以与组织或OU中的所有账号共享,而不必枚举每个账号,具体请参见启用与组织共享资源。
约束条件
- 您的账号中必须拥有该KMS密钥资源,即您必须为该资源的所有者。您无法再次共享已与您共享的KMS密钥资源。
- 当您需要与您的组织或组织单元共享KMS密钥资源时,则您必须启用与组织共享资源功能。更多信息请参考启用与组织共享资源。
密钥所有者和接受者权限说明
密钥所有者可以对密钥执行任何操作,接受者仅可以执行部分操作,接受者支持的操作说明如表 密钥接受者支持的操作列表所示。
|
角色 |
支持的操作 |
操作说明 |
|---|---|---|
|
接受者 |
kms:cmk:get |
通过控制台或API进行访问 |
|
kms:cmk:createDataKey |
仅能通过API访问 |
|
|
kms:cmk:createDataKeyWithoutPlaintext |
仅能通过API访问 |
|
|
kms:cmk:encryptDataKey |
仅能通过API访问 |
|
|
kms:cmk:decryptDataKey |
仅能通过API访问 |
|
|
kms:cmk:encryptData |
通过控制台或API进行访问 |
|
|
kms:cmk:decryptData |
通过控制台或API进行访问 |
|
|
kms:cmk:sign |
仅能通过API访问 |
|
|
kms:cmk:verify |
仅能通过API访问 |
|
|
kms:cmk:generateMac |
仅能通过API访问 |
|
|
kms:cmk:verifyMac |
仅能通过API访问 |
|
|
kms:cmk:getPublicKey |
通过控制台或API进行访问 |
|
|
kms:cmk:getRotation |
通过控制台或API进行访问 |
|
|
kms:cmk:getTags |
通过控制台或API进行访问 |
支持共享的资源类型和区域
当前DEW服务支持共享的资源类型和区域如表 DEW服务支持共享的资源类型和区域所示。
支持使用共享密钥加密的服务和系统策略
在您购买包周期资源时,如果您选择共享密钥对创建的资源进行加密,需要给用户授予相应的策略才能使用共享密钥。支持使用共享密钥加密的服务和对应服务的系统策略见表3。
给IAM用户授权的详细操作请参见给IAM用户授权,系统策略选择表3中对应服务的系统策略即可。
|
服务 |
系统策略 |
|---|---|
|
云数据库 RDS |
ServicePolicyForRDSFulfillment |
|
云数据库 TaurusDB |
ServicePolicyForGaussDBFulfillment |
|
文档数据库服务 DDS |
ServicePolicyForDDSFulfillment |
|
高性能弹性文件服务 SFS Turbo |
ServicePolicyForSFSTurboFulfillment |
|
云桌面 Workspace |
ServicePolicyForWorkspaceFulfillment |
|
云数据库 GeminiDB |
ServicePolicyForNosqlFulfillment |
