文档首页/ 系统权限/ 系统权限/ 身份策略授权参考/ 安全与合规/ 密码安全中心 DEW/ 凭据管理 CSMS
更新时间:2025-10-17 GMT+08:00
查看PDF
分享

凭据管理 CSMS

云服务在IAM预置了常用的权限,称为系统身份策略。如果IAM系统身份策略无法满足授权要求,管理员可以根据各服务支持的授权项,创建IAM自定义身份策略来进行精细的访问控制,IAM自定义身份策略是对系统身份策略的扩展和补充。

除IAM服务外,Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)也可以使用这些授权项元素设置访问控制策略。

SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限,而是规定了成员账号或组织单元包含的成员账号的授权范围。IAM身份策略授予权限的有效性受SCP限制,只有在SCP允许范围内的权限才能生效。

IAM服务与Organizations服务在使用这些元素进行访问控制时,存在着一些区别,详情请参见:IAM服务与Organizations服务权限访问控制的区别

本章节介绍IAM服务身份策略授权场景中自定义身份策略和组织服务中SCP使用的元素,这些元素包含了操作(Action)、资源(Resource)和条件(Condition)。

操作(Action)

操作(Action)即为身份策略中支持的授权项。

  • “访问级别”列描述如何对操作进行分类(List、Read和Write等)。此分类可帮助您了解在身份策略中相应操作对应的访问级别。
  • “资源类型”列指每个操作是否支持资源级权限。
    • 资源类型支持通配符号*表示所有。如果此列没有值(-),则必须在身份策略语句的Resource元素中指定所有资源类型(“*”)。
    • 如果该列包含资源类型,则必须在具有该操作的语句中指定该资源的URN。
    • 资源类型列中必需资源在表中用星号(*)标识,表示使用此操作必须指定该资源类型。

    关于CSMS定义的资源类型的详细信息请参见资源类型(Resource)

  • “条件键”列包括了可以在身份策略语句的Condition元素中支持指定的键值。
    • 如果该授权项资源类型列存在值,则表示条件键仅对列举的资源类型生效。
    • 如果该授权项资源类型列没有值(-),则表示条件键对整个授权项生效。
    • 如果此列条件键没有值(-),表示此操作不支持指定条件键。

    关于CSMS定义的条件键的详细信息请参见条件(Condition)

  • “别名”列包括了可以在身份策略中配置的策略授权项。通过这些授权项,可以控制支持策略授权的API访问。详细信息请参见身份策略兼容性说明

您可以在身份策略语句的Action元素中指定以下CSMS的相关操作。

表1 CSMS支持的授权项

授权项

描述

访问级别

资源类型(*为必须)

条件键

别名

csms:secret:create

授予创建和恢复凭据的权限。

Write

secretName *

-

-

csms:secret:delete

授予立即删除凭据的权限。

Write

secretName *

-

csms:secret:update

授予更新凭据元数据信息的权限。

Write

secretName *

-

csms:secret:get

授予查询和下载凭据信息的权限。

Read

secretName *

-

csms:secret:list

授予查询当前用户在本项目下创建的所有凭据的权限。

List

secretName *

g:EnterpriseProjectId

-

csms:secret:createVersion

授予指定凭据中创建新凭据版本的权限。

Write

secretName *
  • csms:secretVersion:create

csms:secret:getVersion

授予查询指定凭据版本的信息和其明文凭据值的权限。

Read

secretName *
  • csms:secretVersion:get

csms:secret:listVersion

授予查询指定凭据下的版本列表信息的权限。

List

secretName *
  • csms:secretVersion:list

csms:secret:createStage

授予创建凭据版本状态的权限。

Write

secretName *
  • csms:secretStage:create

csms:secret:getStage

授予查询指定凭据版本状态标记的版本信息的权限。

Read

secretName *
  • csms:secretStage:get

csms:secret:updateStage

授予更新凭据版本状态的权限。

Write

secretName *
  • csms:secretStage:update

csms:secret:deleteStage

授予删除指定凭据版本状态的权限。

Write

secretName *
  • csms:secretStage:delete

csms::getSecretQuota

授予查询指定项目凭据配额的权限。

Read

-

-
  • csms:secretQuota:get

csms:secret:scheduleDeletion

授予创建凭据定时删除任务的权限。

Write

secretName *
  • csms:secret:deleteScheduled

csms:secret:restoreSecret

授予取消凭据定时删除任务的权限。

Write

secretName *
  • csms:secret:deleteCancelled

csms:secret:rotate

授予轮转凭据的权限。

Write

secretName *

-

csms:secret:getSecretsByTag

授予通过标签过滤,返回凭据列表的权限。

List

secretName *

-
  • csms:tag:getSecretByTag

csms:secret:batchCreateOrDeleteTags

授予批量添加或删除凭据标签的权限。

Tagging

secretName *
  • csms:tag:batch

-

csms:secret:createTag

授予添加凭据标签的权限。

Tagging

secretName *
  • csms:tag:create

-

csms:secret:deleteTag

授予删除凭据标签的权限。

Tagging

secretName *
  • csms:tag:delete

-

g:TagKeys

csms:secret:listTags

授予查询凭据标签的权限。

List

secretName *
  • csms:tag:getBySecret

csms::listProjectTags

授予查询用户在指定项目下的所有凭据标签集合的权限。

List

-

-
  • csms:tag:getAll

csms:secret:updateVersion

授予更新凭据版本有效期的权限。

Write

secretName *
  • csms:secretVersion:update

csms::createEvent

授予创建凭据事件的权限。

Write

-

-
  • csms:event:create

csms::listEvents

授予查询当前用户在本项目下创建的所有事件通知的权限。

List

-

-
  • csms:event:list

csms::getEvent

授予查询指定事件通知信息的权限。

Read

-

-
  • csms:event:get

csms::updateEvent

授予更新指定事件通知的元数据信息的权限。

Write

-

-
  • csms:event:update

csms::deleteEvent

授予立即删除指定的事件通知的权限。

Write

-

-
  • csms:event:delete

csms::listNotificationRecords

授予查询已触发事件通知记录的权限。

List

-

-
  • csms:event:listNotificationRecords

csms::listTasks

授予查询凭据轮转任务的权限。

List

-

-
  • csms:task:list

CSMS的API通常对应着一个或多个授权项。表2展示了API与授权项的关系,以及该API需要依赖的授权项。

表2 API与授权项的关系

API

对应的授权项

依赖的授权项

POST /v1/{project_id}/secrets

csms:secret:create

kms:cmk:createDataKey

POST /v1/{project_id}/secrets/{secret_name}/backup

csms:secret:get
  • kms:cmk:createDataKey
  • kms:cmk:decryptDataKey
  • kms:cmk:list

POST /v1/{project_id}/secrets/restore

csms:secret:create

kms:cmk:decryptDataKey

DELETE /v1/{project_id}/secrets/{secret_name}

csms:secret:delete

-

PUT /v1/{project_id}/secrets/{secret_name}

csms:secret:update

-

GET /v1/{project_id}/secrets/{secret_name}

csms:secret:get

-

GET /v1/{project_id}/secrets

csms:secret:list

-

POST /v1/{project_id}/secrets/{secret_name}/versions

csms:secret:createVersion

kms:cmk:createDataKey

GET /v1/{project_id}/secrets/{secret_name}/versions/{version_id}

csms:secret:getVersion

kms:cmk:decryptDataKey

GET /v1/{project_id}/secrets/{secret_name}/versions

csms:secret:listVersion

-

-

csms:secret:createStage

-

GET /v1/{project_id}/secrets/{secret_name}/stages/{stage_name}

csms:secret:getStage

-

PUT /v1/{project_id}/secrets/{secret_name}/stages/{stage_name}

csms:secret:updateStage

-

DELETE /v1/{project_id}/secrets/{secret_name}/stages/{stage_name}

csms:secret:deleteStage

-

-

csms::getSecretQuota

-

POST /v1/{project_id}/secrets/{secret_name}/scheduled-deleted-tasks/create

csms:secret:scheduleDeletion

-

POST /v1/{project_id}/secrets/{secret_name}/scheduled-deleted-tasks/cancel

csms:secret:restoreSecret

-

POST /v1/{project_id}/secrets/{secret_name}/rotate

csms:secret:rotate
  • rds:password:update
  • kms:cmk:createGrant
  • kms:cmk:retireGrant

POST /v1/{project_id}/csms/{resource_instances}/action

csms:secret:getSecretsByTag

-

POST /v1/{project_id}/csms/{secret_id}/tags/action

csms:secret:batchCreateOrDeleteTags

-

POST /v1/{project_id}/csms/{secret_id}/tags

csms:secret:createTag

-

DELETE /v1/{project_id}/csms/{secret_id}/tags/{key}

csms:secret:deleteTag

-

GET /v1/{project_id}/csms/{secret_id}/tags

csms:secret:listTags

-

GET /v1/{project_id}/csms/tags

csms::listProjectTags

-

PUT /v1/{project_id}/secrets/{secret_name}/versions/{version_id}

csms:secret:updateVersion

-

POST /v1/{project_id}/csms/events

csms::createEvent

-

GET /v1/{project_id}/csms/events

csms::listEvents

-

GET /v1/{project_id}/csms/events/{event_name}

csms::getEvent

-

PUT /v1/{project_id}/csms/events/{event_name}

csms::updateEvent

-

DELETE /v1/{project_id}/csms/events/{event_name}

csms::deleteEvent

-

GET /v1/{project_id}/csms/notification-records

csms::listNotificationRecords

-

GET /v1/{project_id}/csms/tasks

csms::listTasks

-

资源类型(Resource)

资源类型(Resource)表示身份策略所作用的资源。如表3中的某些操作指定了可以在该操作指定的资源类型,则必须在具有该操作的身份策略语句中指定该资源的URN,身份策略仅作用于此资源;如未指定,Resource默认为“*”,则身份策略将应用到所有资源。您也可以在身份策略中设置条件,从而指定资源类型。

CSMS定义了以下可以在自定义身份策略的Resource元素中使用的资源类型。

表3 CSMS支持的资源类型

资源类型

URN

secretName

csms:<region>:<account-id>:secretName:<secret-name>

条件(Condition)

条件键概述

条件(Condition)是身份策略生效的特定条件,包括条件键运算符

  • 条件键表示身份策略语句的Condition元素中的键值。根据适用范围,分为全局级条件键和服务级条件键。
    • 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,系统将自动获取并鉴权。详情请参见:全局条件键
    • 服务级条件键(前缀通常为服务缩写,如csms:)仅适用于对应服务的操作,详情请参见表4
    • 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值,多值条件键在API调用时请求可以包含多个值。例如:g:SourceVpce是单值条件键,表示仅允许通过某个VPC终端节点发起请求访问某资源,一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键,表示请求中携带的所有标签的key组成的列表,当用户在调用API请求时传入标签可以传入多个值。
  • 运算符与条件键、条件值一起构成完整的条件判断语句,当请求信息满足该条件时,身份策略才能生效。支持的运算符请参见:运算符

CSMS支持的服务级条件键

CSMS定义了以下可以在自定义身份策略的Condition元素中使用的条件键,您可以使用这些条件键进一步细化身份策略语句应用的条件。

表4 CSMS支持的服务级条件键

服务级条件键

类型

单值/多值

说明

csms:Type

string

单值

根据凭据的类型筛选访问权限。

csms:KmsKeyId

string

单值

根据KMS密钥ID筛选访问权限。

csms:VersionId

string

单值

根据凭据版本ID筛选访问权限。

csms:VersionStage

string

单值

根据凭据版本状态筛选访问权限。

csms:RecoveryWindowInDays

numeric

单值

根据凭据删除等待时间筛选访问权限。
父主题: 密码安全中心 DEW

相关文档