更新时间:2024-10-16 GMT+08:00
分享

SSL证书管理 SCM

Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。

SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限,而是规定了成员账号或组织单元包含的成员账号的授权范围。

本章节介绍组织服务中SCP使用的元素,这些元素包含了操作(Action)、资源(Resource)和条件(Condition)。

如何使用这些元素编辑SCP自定义策略,请参考创建SCP

操作(Action)

操作(Action)即为SCP中支持的授权项。

  • 访问级别”列描述如何对操作进行分类(list、read和write等)。此分类可帮助您了解在SCP中相应操作对应的访问级别。
  • 资源类型”列指每个操作是否支持资源级权限。
    • 资源类型支持通配符号*表示所有。如果此列没有值(-),则必须在SCP语句的Resource元素中指定所有资源类型(“*”)。
    • 如果该列包含资源类型,则必须在具有该操作的语句中指定该资源的URN。
    • 资源类型列中必需资源在表中用星号(*)标识,表示使用此操作必须指定该资源类型。

    关于SCM定义的资源类型的详细信息请参见资源类型(Resource)

  • 条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。
    • 如果该授权项资源类型列存在值,则表示条件键仅对列举的资源类型生效。
    • 如果该授权项资源类型列没有值(-),则表示条件键对整个授权项生效。
    • 如果此列条件键没有值(-),表示此操作不支持指定条件键。

    关于SCM定义的条件键的详细信息请参见条件(Condition)

您可以在SCP语句的Action元素中指定以下SCM的相关操作。

表1 SCM支持的授权项

授权项

描述

访问级别

资源类型(*为必须)

条件键

scm:cert:subscribe

授予权限购买证书。

write

cert *

-

-

g:EnterpriseProjectId

scm:cert:update

授予权限更新证书。

write

cert *

g:ResourceTag/<tag-key>

-

g:EnterpriseProjectId

scm:cert:delete

授予权限删除证书。

write

cert *

g:ResourceTag/<tag-key>

-

g:EnterpriseProjectId

scm:cert:apply

授予权限请求证书。

write

cert *

g:ResourceTag/<tag-key>

-

g:EnterpriseProjectId

scm:cert:revoke

授予权限吊销证书。

write

cert *

g:ResourceTag/<tag-key>

-

g:EnterpriseProjectId

scm:cert:cancel

授予权限取消证书请求。

write

cert *

g:ResourceTag/<tag-key>

-

g:EnterpriseProjectId

scm:cert:reissue

授予权限重签证书。

write

cert *

g:ResourceTag/<tag-key>

-

g:EnterpriseProjectId

scm:cert:push

授予权限推送证书。

write

cert *

g:ResourceTag/<tag-key>

-

g:EnterpriseProjectId

scm:cert:import

授予权限导入证书。

write

cert *

-

-

g:EnterpriseProjectId

scm:cert:export

授予权限导出证书。

read

cert *

g:ResourceTag/<tag-key>

-

g:EnterpriseProjectId

scm:cert:upload

授予权限上传证书。

write

cert *

-

-

g:EnterpriseProjectId

scm:cert:download

授予权限下载证书。

read

cert *

g:ResourceTag/<tag-key>

-

g:EnterpriseProjectId

scm:cert:save

授予权限补全证书信息。

write

cert *

g:ResourceTag/<tag-key>

-

g:EnterpriseProjectId

scm:cert:addDomain

授予权限追加域名。

write

cert *

g:ResourceTag/<tag-key>

-

g:EnterpriseProjectId

scm:cert:expandQuota

授予权限扩容证书配额。

write

-

g:EnterpriseProjectId

scm:cert:renew

授予权限续费证书。

write

cert *

g:ResourceTag/<tag-key>

-

g:EnterpriseProjectId

scm:cert:unsubscribe

授予权限退订证书。

write

cert *

g:ResourceTag/<tag-key>

-

g:EnterpriseProjectId

scm:cert:autoRenew

授予权限开启证书自动续费。

write

cert *

g:ResourceTag/<tag-key>

-

g:EnterpriseProjectId

scm:cert:list

授予权限查询证书列表。

list

cert *

-

-

g:EnterpriseProjectId

scm:cert:get

授予权限查询证书详情。

read

cert *

g:ResourceTag/<tag-key>

-

g:EnterpriseProjectId

scm:cert:getApplicationInfo

授予权限查询证书补全信息。

read

cert *

g:ResourceTag/<tag-key>

-

g:EnterpriseProjectId

scm:cert:listPushHistory

授予权限查询推送记录。

list

cert *

g:ResourceTag/<tag-key>

-

g:EnterpriseProjectId

scm:cert:getDomainValidation

授予权限查询域名验证信息。

read

cert *

g:ResourceTag/<tag-key>

-

g:EnterpriseProjectId

scm:cert:checkDomain

授予权限验证证书域名。

write

cert *

g:ResourceTag/<tag-key>

-

g:EnterpriseProjectId

scm:cert:listDeployedResources

授予权限获取证书关联资源。

list

cert *

g:ResourceTag/<tag-key>

-

g:EnterpriseProjectId

scm:cert:deletePrivacyAuthorization

授予权限取消隐私授权。

write

cert *

g:ResourceTag/<tag-key>

-

g:EnterpriseProjectId

scm:cert:enableAutoDeploy

授予权限自动部署证书。

write

cert *

g:ResourceTag/<tag-key>

-

g:EnterpriseProjectId

scm:cert:listAutoDeployedResources

授予权限查询自动部署的证书列表。

list

cert *

g:ResourceTag/<tag-key>

-

g:EnterpriseProjectId

scm:cert:listCertificatesByTag

授予权限根据标签查询证书列表。

list

cert *

-

-

  • g:EnterpriseProjectId
  • g:RequestTag/<tag-key>
  • g:TagKeys

scm:cert:createTag

授予权限创建或更新标签。

tagging

cert *

g:ResourceTag/<tag-key>

-

  • g:EnterpriseProjectId
  • g:RequestTag/<tag-key>
  • g:TagKeys

scm:cert:listTagsByCertificate

授予权限查询证书的标签列表。

list

cert *

g:ResourceTag/<tag-key>

-

g:EnterpriseProjectId

scm:cert:listAllTags

授予权限查询所有的标签列表。

list

cert *

-

scm:cert:seekHelp

授予权限发送求助邮件。

write

cert *

g:ResourceTag/<tag-key>

-

g:EnterpriseProjectId

scm:cert:uploadAuthentication

授予权限上传认证信息。

write

cert *

g:ResourceTag/<tag-key>

-

g:EnterpriseProjectId

scm::createCsr

授予权限创建CSR。

write

-

-

scm::listCsr

授予权限查询CSR列表。

list

-

-

scm::getCsr

授予权限查询CSR详情。

read

-

-

scm::getCsrPrivateKey

授予权限获取CSR私钥。

read

-

-

scm::updateCsr

授予权限更新CSR。

write

-

-

scm::deleteCsr

授予权限删除CSR。

write

-

-

scm::uploadCsr

授予权限上传CSR。

write

-

-

scm::createDomainMonitor

授予权限创建需要监控的域名。

write

-

-

scm::updateDomainMonitor

授予权限更新需要监控的域名。

write

-

-

scm::updateDomainMonitorSwitch

授予权限打开或关闭域名的监控开关。

write

-

-

scm::deleteDomainMonitor

授予权限删除需要监控的域名。

write

-

-

scm::getDomainMonitor

授予权限查询需要监控的域名详情。

read

-

-

scm::listDomainMonitors

授予权限查询需要监控的域名列表。

list

-

-

scm:cert:operateNotification

授予权限操作证书通知配置。

write

cert *

g:ResourceTag/<tag-key>

-

g:EnterpriseProjectId

scm::orderDomainMonitor

授予权限下单需要监控的域名配额。

write

-

-

scm:cert:deployResources

授予权限部署证书至其他服务资源。

write

cert *

g:ResourceTag/<tag-key>

-

g:EnterpriseProjectId

scm:cert:listDeployResourcesHistory

授予权限查询证书的部署历史记录。

list

cert *

g:ResourceTag/<tag-key>

-

g:EnterpriseProjectId

scm:cert:getDeployQuota

授予权限获取证书的部署配额。

read

cert *

g:ResourceTag/<tag-key>

-

g:EnterpriseProjectId

SCM的API通常对应着一个或多个授权项。表 SCM API与授权项的关系展示了API与授权项的关系,以及该API需要依赖的授权项。

表2 SCM API与授权项的关系

API

对应的授权项

依赖的授权项

GET /v3/scm/certificates

scm:cert:list

-

POST /v3/scm/certificates/import

scm:cert:import

-

GET /v3/scm/certificates/{certificate_id}

scm:cert:get

-

POST /v3/scm/certificates/{certificate_id}/export

scm:cert:export

-

POST /v3/scm/certificates/{certificate_id}/push

scm:cert:push

-

DELETE /v3/scm/certificates/{certificate_id}

scm:cert:delete

-

PUT /v3/scm/certificates/{certificate_id}/reissue

scm:cert:reissue

-

POST /v3/scm/certificates/{certificate_id}/apply

scm:cert:apply

-

POST /v3/scm/certificates/{certificate_id}/revoke

scm:cert:revoke

-

POST /v3/scm/certificates/{certificate_id}/cancel-cert

scm:cert:cancel

-

POST /v3/scm/certificates/{certificate_id}/save

scm:cert:save

-

PUT /v3/scm/certificates/{certificate_id}

scm:cert:update

-

POST /v3/scm/certificates/{certificate_id}/supplement

scm:cert:addDomain

-

POST /v3/scm/certificates/{certificate_id}/read

scm:cert:getApplicationInfo

-

GET /v3/scm/certificates/{certificate_id}/push-history

scm:cert:listPushHistory

-

GET /v3/scm/certificates/{certificate_id}/domain-verify

scm:cert:getDomainValidation

-

GET /v3/scm/certificates/{certificate_id}/check-dcv

scm:cert:checkDomain

-

POST /v3/scm/deployed-resources

scm:cert:listDeployedResources

-

DELETE /v3/scm/privacy-protection/{certificate_id}

scm:cert:deletePrivacyAuthorization

-

POST /v3/scm/certificates/{certificate_id}/resources/{resource_id}/auto-deploy

scm:cert:enableAutoDeploy

-

GET /v3/scm/certificates/{certificate_id}/resources

scm:cert:listAutoDeployedResources

-

POST /v3/scm/{resource_instances}/action

scm:cert:listCertificatesByTag

-

POST /v3/scm/{resource_id}/tags/action

scm:cert:createTag

-

POST /v3/scm/{resource_id}/tags

scm:cert:createTag

-

GET /v3/scm/{resource_id}/tags

scm:cert:listTagsByCertificate

-

GET /v3/scm/tags

scm:cert:listAllTags

-

POST /v3/scm/certificates/buy

scm:cert:subscribe

-

POST /v3/scm/certificates/quota/expand

scm:cert:expandQuota

-

POST /v3/scm/certificates/{certificates_id}/renew

scm:cert:renew

-

POST /v3/scm/certificates/{cert_id}/unsubscribe

scm:cert:unsubscribe

-

POST /v3/scm/certificates/{certificates_id}/auto-renew

scm:cert:autoRenew

-

POST /v3/scm/csr

scm::createCsr

-

GET /v3/scm/csr

scm::listCsr

-

GET /v3/scm/csr/{id}

scm::getCsr

-

GET /v3/scm/csr/{id}/private-key

scm::getCsrPrivateKey

-

PUT /v3/scm/csr/{id}

scm::updateCsr

-

DELETE /v3/scm/csr/{id}

scm::deleteCsr

-

POST /v3/scm/csr/upload

scm::uploadCsr

-

POST /v3/scm/domain/monitor

scm::createDomainMonitor

-

PUT /v3/scm/domain/monitor/{monitor_id}

scm::updateDomainMonitor

-

PUT /v3/scm/domain/monitor/{monitor_id}/switch

scm::updateDomainMonitorSwitch

-

DELETE /v3/scm/domain/monitor/{monitor_id}

scm::deleteDomainMonitor

-

GET /v3/scm/domain/monitor/{monitor_id}

scm::getDomainMonitor

-

GET /v3/scm/domain/monitor

scm::listDomainMonitors

-

POST /v3/scm/notification/enable

scm:cert:operateNotification

-

POST /v3/scm/notification/disable

scm:cert:operateNotification

-

POST /v3/scm/domain/monitor/subscribe

scm::orderDomainMonitor

-

PUT /v3/scm/domain/monitor/change

scm::orderDomainMonitor

-

POST /v3/scm/certificates/{certificate_id}/deploy

scm:cert:deployResources

-

GET /v3/scm/certificates/{certificate_id}/deploy-history

scm:cert:listDeployResourcesHistory

-

GET /v3/scm/certificates/{certificate_id}/deploy-quota

scm:cert:getDeployQuota

-

资源类型(Resource)

资源类型(Resource)表示SCP所作用的资源。如表 scm支持的资源类型中的某些操作指定了可以在该操作指定的资源类型,则必须在具有该操作的策略语句中指定该资源的URN,SCP仅作用于此资源;如未指定,Resource默认为“*”,则SCP将应用到所有资源。您也可以在SCP中设置条件,从而指定资源类型。

SCM定义了以下可以在SCP的Resource元素中使用的资源类型。

表3 SCM支持的资源类型

资源类型

URN

cert

scm:<region>:<account-id>:cert:<cert-id>

条件(Condition)

条件(Condition)是SCP生效的特定条件,包括条件键运算符

  • 条件键表示SCP语句的Condition元素中的键值。根据适用范围,分为全局级条件键和服务级条件键。
    • 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,系统将自动获取并鉴权。详情请参见:请参考全局条件键
    • 服务级条件键(前缀通常为服务缩写,如scm:)仅适用于对应服务的操作,详情请参见表4
    • 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值,多值条件键在API调用时请求可以包含多个值。例如:g:SourceVpce是单值条件键,表示仅允许通过某个VPC终端节点发起请求访问某资源,一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键,表示请求中携带的所有标签的key组成的列表,当用户在调用API请求时传入标签可以传入多个值。
  • 运算符与条件键、条件值一起构成完整的条件判断语句,当请求信息满足该条件时,SCP才能生效。支持的运算符请参见:运算符

SCM定义了以下可以在SCP的Condition元素中使用的条件键,您可以使用这些条件键进一步细化SCP语句应用的条件。

表4 SCM支持的服务级条件键

服务级条件键

类型

单值/多值

说明

scm:DomainNames

string

多值

根据请求参数中的域名过滤访问。

scm:ValidationMethod

string

单值

根据请求参数中的验证方式过滤访问。

scm:KeyAlgorithm

string

单值

根据请求参数中的密钥算法过滤访问。

相关文档