更新时间:2025-06-20 GMT+08:00
分享

共享概述

基于资源访问管理(Resource Access Manager,简称RAM)服务,资源所有者可以依据最小权限原则和不同的使用诉求,选择不同的共享权限,资源使用者只能对资源进行权限内的访问,保证共享资源在满足资源使用者业务诉求的同时,提升资源管理的安全性。关于RAM服务的更多信息请参见什么是资源访问管理

当您的账号由华为云组织管理时,您还可以利用此优势更轻松地共享资源。如果您的账号在组织中,则您可以与单个账号共享,也可以与组织或OU中的所有账号共享,而不必枚举每个账号,具体请参见启用与组织共享资源

约束条件

  • 您的账号中必须拥有该KMS密钥资源,即您必须为该资源的所有者。您无法再次共享已与您共享的KMS密钥资源。
  • 当您需要与您的组织或组织单元共享KMS密钥资源时,则您必须启用与组织共享资源功能。更多信息请参考启用与组织共享资源

密钥所有者和接受者权限说明

密钥所有者可以对密钥执行任何操作,接受者仅可以执行部分操作,接受者支持的操作说明如表 密钥接受者支持的操作列表所示。

表1 密钥接受者支持的操作列表

角色

支持的操作

操作说明

接受者

kms:cmk:get

通过控制台或API进行访问

kms:cmk:createDataKey

仅能通过API访问

kms:cmk:createDataKeyWithoutPlaintext

仅能通过API访问

kms:cmk:encryptDataKey

仅能通过API访问

kms:cmk:decryptDataKey

仅能通过API访问

kms:cmk:encryptData

通过控制台或API进行访问

kms:cmk:decryptData

通过控制台或API进行访问

kms:cmk:sign

仅能通过API访问

kms:cmk:verify

仅能通过API访问

kms:cmk:generateMac

仅能通过API访问

kms:cmk:verifyMac

仅能通过API访问

kms:cmk:getPublicKey

通过控制台或API进行访问

kms:cmk:getRotation

通过控制台或API进行访问

kms:cmk:getTags

通过控制台或API进行访问

支持共享的资源类型和区域

当前DEW服务支持共享的资源类型和区域如表 DEW服务支持共享的资源类型和区域所示。

表2 DEW服务支持共享的资源类型和区域

云服务

资源类型

支持共享的区域

KMS

cmk:用户主密钥

所有Region都已支持共享。

支持使用共享密钥加密的服务和系统策略

在您购买包周期资源时,如果您选择共享密钥对创建的资源进行加密,需要给用户授予相应的策略才能使用共享密钥。支持使用共享密钥加密的服务和对应服务的系统策略见表3

给IAM用户授权的详细操作请参见给IAM用户授权,系统策略选择表3中对应服务的系统策略即可。

表3 支持使用共享密钥加密的服务和系统策略

服务

系统策略

云数据库 RDS

ServicePolicyForRDSFulfillment

云数据库 TaurusDB

ServicePolicyForGaussDBFulfillment

文档数据库服务 DDS

ServicePolicyForDDSFulfillment

高性能弹性文件服务 SFS Turbo

ServicePolicyForSFSTurboFulfillment

云桌面 Workspace

ServicePolicyForWorkspaceFulfillment

云数据库 GeminiDB

ServicePolicyForNosqlFulfillment

计费说明

关于KMS的计费可参见计费项

共享密钥的计费,由密钥拥有者需支付密钥实例费用以及API调用费用。即所有共享资源发生费用均由资源拥有者账号产生。

相关文档