共享KMS

前提条件

已给IAM用户授予对应服务的Billing系统策略，详见支持使用共享密钥加密的服务和系统策略。

创建共享KMS资源

1. 登录DEW服务控制台。
2. 单击页面左上角的，选择“管理与监管 > 资源访问管理”，进入“资源访问管理”页面。
3. 单击页面左侧“我的共享 > 共享管理”，进入“共享管理”页面。
4. 单击页面右上角的“创建共享”，进入“创建共享”页面。
   图1 指定共享资源
   

5. 选择资源类型为“kms:KeyId”，选择对应区域，勾选需进行共享的密钥。单击“下一步：权限配置”。
6. 进入“权限配置”页面，选择指定资源类型支持的共享权限，配置完成后，单击页面右下角的“下一步：指定使用者”。
7. 进入“指定使用者”页面，指定共享资源的使用者，配置完成后，单击页面右下角的“下一步：配置确认”。

   表1 参数说明

   参数名称	参数说明
   使用者类型	组织 关于组织创建相关操作可参见创建组织。 说明： 如果您未打开“启用与组织共享资源”开关，使用者类型将无法选择“组织”。具体操作可参见启用与组织共享资源。 华为云账号ID

8. 进入“配置确认”页面，确认配置无误后，单击页面右下角的“确认”，完成资源共享实例的创建。
   

   创建共享实例后，组织会自动接收共享实例，华为云账号ID需要单独进行接受共享操作，具体请参见接受/拒绝共享邀请。

查看共享KMS资源

1. 登录DEW服务控制台。
2. 单击管理控制台左上角，选择区域或项目。
3. 在密钥管理页面，单击“共享密钥”页签，查看当前共享中的密钥资源。
   图2 共享密钥
   
   

   通过共享密钥页签，可以复制密钥ID，用于手动输入ID的KMS加密密钥选择场景。

使用共享KMS资源

在通过共享密钥创建相关资源的时候，您仍然需要保证您当前的用户拥有操作密钥的相关权限。具体权限请参考密钥所有者和接受者权限说明。

1. 登录DEW服务控制台。
2. 单击管理控制台左上角，选择区域或项目。
3. 在左侧导航树中，选择“凭据管理”，进入“凭据管理”页面。
4. 在“创建凭据”页面的“KMS加密”选项中，通过选择或者手动输入方式选择来自共享的KMS密钥。
   图3 选择共享密钥
   
   

   • 创建密钥对支持选择来自共享的KMS密钥。
   • 创建RDS、DDS、OBS等实例时，支持选择来自共享的KMS密钥，具体操作可参见使用KMS加密的云服务。