本文描述密鑰管理服務支持的所有系統權限策略及其對應的權限描述,供您授權 RAM 身份時參考。
什么是系統權限策略
權限策略是用語法結構描述的一組權限的集合,可以精確地描述被授權的資源集、操作集以及授權條件。阿里云訪問控制(RAM)產品提供了兩種類型的權限策略:系統策略和自定義策略。系統策略統一由阿里云創建,策略的版本更新由阿里云維護,用戶只能使用不能修改。自定義策略由用戶管理,策略的版本更新由用戶維護。用戶可以自主創建、更新和刪除自定義策略。在產品迭代過程中,密鑰管理服務會向系統策略中添加新的權限,用來支持新的功能和能力。系統策略的更新將會影響所有授予了該策略的 RAM 身份,包括 RAM 用戶、RAM 用戶組和 RAM 角色。有關 RAM 權限策略的更多信息,請參閱權限策略概覽。
產品系統策略旨在幫助用戶快速入門,僅需簡單配置即可通過控制臺訪問該產品及其依賴產品。雖然系統策略包含的權限同樣適用于 OpenAPI 或 CLI 等訪問方式,但為了提高安全性,我們推薦您在這些場景下使用自定義策略,按需授予人員及應用特定 API 的訪問權限。
系統策略可進一步細分為產品系統策略、服務角色策略和服務關聯角色策略三類。部分云產品僅提供三類策略中的一類或兩類,請以本文實際展示的策略類型為準。
產品系統策略
AliyunKMSCryptoAdminAccess
您可以將 AliyunKMSCryptoAdminAccess 策略授權給RAM身份。本策略定義了在KMS中管理加密密鑰的權限。
AliyunKMSCryptoUserAccess
您可以將 AliyunKMSCryptoUserAccess 策略授權給RAM身份。本策略定義了使用KMS的密鑰進行密碼運算的權限。
AliyunKMSFullAccess
您可以將 AliyunKMSFullAccess 策略授權給RAM身份。本策略定義了管理密鑰管理服務(KMS)的權限。
AliyunKMSReadOnlyAccess
您可以將 AliyunKMSReadOnlyAccess 策略授權給RAM身份。本策略定義了只讀訪問密鑰管理服務(KMS)的權限。
AliyunKMSSecretAdminAccess
您可以將 AliyunKMSSecretAdminAccess 策略授權給RAM身份。本策略定義了在KMS中管理憑據的權限。
AliyunKMSSecretUserAccess
您可以將 AliyunKMSSecretUserAccess 策略授權給RAM身份。本策略定義了獲取KMS中的憑據的權限。
服務角色策略
AliyunKMSManageRAMCredentialsRolePolicy
AliyunKMSManageRAMCredentialsRolePolicy 是服務角色 AliyunKMSManageRAMCredentialsRole 專用的授權策略,kms使用此角色來管理用戶的RAM憑據。請勿將本策略授權給服務角色之外的RAM身份。如果產品提供精確授權的能力,請嚴格參考產品提供的幫助文檔進行操作。
服務關聯角色策略
AliyunServiceRolePolicyForKMSSecretsManagerForPolarDB
密鑰管理服務使用服務關聯角色 AliyunServiceRoleForKMSSecretsManagerForPolarDB 來訪問您在其他云產品中的資源。AliyunServiceRolePolicyForKMSSecretsManagerForPolarDB 是 AliyunServiceRoleForKMSSecretsManagerForPolarDB 專用的授權策略。本策略由密鑰管理服務定義和使用,您不能修改或刪除,請勿將其授權給服務關聯角色之外的RAM身份。
AliyunServiceRolePolicyForKMSSecretsManagerForRedis
密鑰管理服務使用服務關聯角色 AliyunServiceRoleForKMSSecretsManagerForRedis 來訪問您在其他云產品中的資源。AliyunServiceRolePolicyForKMSSecretsManagerForRedis 是 AliyunServiceRoleForKMSSecretsManagerForRedis 專用的授權策略。本策略由密鑰管理服務定義和使用,您不能修改或刪除,請勿將其授權給服務關聯角色之外的RAM身份。
授權操作參考
RAM 身份默認沒有任何權限,需要由阿里云賬號管理員為其授權后才能訪問阿里云賬號下的資源。為保證資源的數據安全,建議您遵循最小授權原則為允許訪問云資源的身份授予恰好夠用的權限。授權的詳細操作請參見: