青青青国产衣人在线观看,亚洲一区二区三区综合,99热这里只有免费精品

企業有多個阿里云賬號時，您可以將賬號加入資源目錄統一管理，然后通過資源共享實現多個阿里云賬號使用同一個KMS實例。本文介紹企業如何配置多賬號共享KMS實例。

功能介紹

應用場景

KMS實例的所有者賬號（資源所有者）可以將KMS實例共享給其他阿里云賬號（資源使用者），資源使用者可以在KMS實例中創建密鑰和憑據，然后使用密鑰進行云產品服務端加密或自建應用加密，使用憑據規避在代碼中硬編碼敏感信息帶來的泄露風險。

當前KMS實例僅支持在資源目錄內共享。關于資源目錄和資源共享的詳細信息，請參見資源目錄概述和資源共享概述。

使用限制

功能限制
- 僅支持共享軟件密鑰管理實例和硬件密鑰管理實例（實例狀態必須為已啟用），不支持共享默認密鑰。
- 僅支持資源目錄內共享，且資源所有者和資源使用者是同一個企業實名認證主體。
- 資源使用者的自建應用，通過KMS實例Endpoint跨VPC訪問密鑰或憑據時，請資源所有者在KMS實例中綁定該應用的VPC。具體操作，請參見同地域多VPC訪問KMS實例。
  說明
  - 您可以使用ping {KMS實例域名}驗證自建應用是否能訪問KMS實例。例如：ping kst-hzz62****.cryptoservice.kms.aliyuncs.com。
  - 您也可以通過KMS服務Endpoint訪問憑據，該方式不限制應用VPC和KMS實例的VPC網絡是否互通。但需要注意的是密鑰不支持通過KMS服務Endpoint訪問。
- 解除KMS實例的共享關系前，需要資源使用者刪除自己創建的密鑰和憑據。
- 資源使用者如果需要創建RAM、RDS、ECS憑據，請通過智能在線聯系技術支持人員升級KMS實例。
地域限制
資源使用者不支持跨地域使用KMS實例。例如，KMS實例在華東1（杭州）地域，資源使用者創建的密鑰只能用于華東1（杭州）地域的云產品服務端加密。
配額限制
共享KMS實例會消耗KMS實例的訪問管理數量配額，資源使用者包含幾個阿里云賬號，就消耗幾個配額。配額不足時請及時升配，具體操作，請參見升級KMS實例。

重要

訪問管理數量配額包含共享KMS實例時資源使用者的數量，以及配置多VPC訪問時VPC的數量。例如，您需要將KMS實例共享給2個資源使用者（消耗2個配額），還需要關聯3個VPC（消耗3個配額），那么訪問管理數量配額最少為5才能滿足業務需求。

資源使用者的權限

共享KMS實例時，您需要為共享單元設置AliyunRSDefaultPermissionKMSInstance權限。權限詳情，請在資源共享控制臺上的權限庫中查看。

說明

AliyunRSDefaultPermissionKMSInstance有兩個版本（v1、v2），新創建的權限默認為v2。關于如何查看權限版本，請參見查看權限詳情。
AliyunRSPermissionKMSInstanceReadWrite已廢棄，如果您之前使用的是這個權限，依舊可以正常使用。

功能對比

√表示支持該功能項，×表示不支持該功能項。

功能項	子項	資源所有者	資源使用者
實例管理	查看KMS實例詳情	√	×
	配置多VPC訪問KMS實例	√	×
	升級實例	√	×
	續費實例	√	×
	解除共享關聯	√	×
密鑰管理	創建密鑰	√	√
密鑰管理	查看密鑰元數據設置密鑰輪轉設置計劃刪除密鑰開啟刪除保護創建并管理密鑰別名添加并管理密鑰標簽	√ 支持所有密鑰，包含資源使用者創建的密鑰	√ 僅支持資源使用者創建的密鑰
密碼運算	-	√ 支持使用所有密鑰，用于云產品服務端加密，或用于自建應用加密。	√ 僅支持使用資源使用者創建的密鑰，用于云產品服務端加密，或用于自建應用加密。
憑據管理	創建憑據	√	√
憑據管理	查看憑據元數據刪除憑據設置憑據輪轉添加并管理憑據標簽	√ 支持所有憑據，包含資源使用者創建的憑據	√ 僅支持資源使用者創建的憑據
獲取憑據值	-	√ 支持所有憑據，包含資源使用者創建的憑據	√ 僅支持資源使用者創建的憑據
備份管理	-	√ 支持備份所有密鑰和憑據，包含資源使用者創建的密鑰和憑據	×
應用管理	創建應用接入點	√	√

場景示例

企業的部門A購買了KMS實例，如果部門B也希望使用KMS實例，企業可以通過資源目錄集中管理阿里云賬號，然后通過資源共享來共用KMS實例。架構圖如下所示：多賬號

步驟一：開通資源目錄并搭建多賬號組織結構

請使用阿里云賬號M開通資源目錄，阿里云賬號M即為資源目錄的管理賬號。然后創建部門A、部門B兩個資源夾，并將阿里云賬號A1加入資源夾部門A中，阿里云賬號B1、阿里云賬號B2加入資源夾部門B中。

使用管理賬號登錄資源管理控制臺。
開通資源目錄。
具體操作，請參見開通資源目錄。
創建資源夾，搭建企業的組織結構。
具體操作，請參見創建資源夾。
創建成員，或者邀請已有的阿里云賬號，并將這些成員移動到對應的資源夾下。
具體操作，請參見創建成員、邀請阿里云賬號加入資源目錄和移動成員。

步驟二：啟用資源目錄組織共享

請使用資源目錄的管理賬號（即阿里云賬號M）啟用資源目錄組織共享功能。啟用后，資源所有者（管理賬號或成員）可以在資源目錄內，將資源共享給整個資源目錄及其下的資源夾或成員。更多信息，請參見啟用資源目錄組織共享。

使用阿里云賬號M登錄資源共享控制臺，在左側導航欄，選擇資源共享 > 設置。
單擊啟用，然后在資源共享服務關聯角色對話框，單擊確定。
系統會自動創建一個名為AliyunServiceRoleForResourceSharing的服務關聯角色，用于獲取資源目錄的組織信息。更多信息，請參見資源共享服務關聯角色。

步驟三：資源所有者共享KMS實例

重要

將KMS實例共享給其他阿里云賬號時，建議單獨創建共享單元以控制資源使用者范圍，避免將該共享單元授權給過多的資源使用者。
要共享的KMS實例必須是已啟用狀態。

共享KMS實例支持在密鑰管理服務控制臺操作，也支持在資源共享控制臺操作。

在密鑰管理服務控制臺操作

使用阿里云賬號A1登錄密鑰管理服務控制臺，在頂部菜單欄選擇地域信息后，在左側導航欄單擊實例管理。
在實例管理頁面，根據您的KMS實例類型，單擊軟件密鑰管理頁簽或硬件密鑰管理頁簽。
定位到目標KMS實例，單擊操作列的資源共享。

在添加到共享單元面板中單擊新建，創建完成后單擊確定。

配置項	說明
共享單元名稱	自定義共享單元的名稱。格式為中文字符、英文大小寫字符、數字及特殊字符（“.”、“_”或“-”），最長不允許超過50個字符。
關聯權限	資源使用者的權限。具體的權限詳情，請在資源共享控制臺上的權限庫中查看。 AliyunRSDefaultPermissionKMSInstance（推薦） AliyunRSPermissionKMSInstanceReadWrite（已廢棄）：如果您之前使用該權限，可以繼續正常使用。
添加資源使用者	重要將KMS實例共享給資源使用者，會扣除KMS實例的訪問管理數量額度，因此在創建共享單元時，建議您將資源使用者的類型選擇為阿里云賬號或資源夾（組織單元），避免共享給資源目錄組織。支持如下三種類型：阿里云賬號：輸入使用者ID（即阿里云賬號UID），單擊添加。將KMS實例共享給該阿里云賬號。本文示例采用該方式。資源目錄組織：將KMS實例共享給該資源目錄下的所有成員賬號。如果該資源目錄后續新增了成員賬號，該KMS實例會自動共享給新的成員賬號。資源夾（組織單元）：輸入資源夾ID（以fd開頭，例如fd-gLh1HJ****），將KMS實例共享給該資源夾下的所有成員賬號。如果該資源夾后續新增了成員賬號，該KMS實例會自動共享給新的成員賬號。如果您在創建共享單元時未指定資源使用者，也可以在修改共享單元時指定。

KMS實例共享成功后，在KMS實例ID下方會顯示共享中。資源使用者登錄密鑰管理服務控制臺，可以查看到該KMS實例，在KMS實例ID下方會顯示來自共享。

在資源共享控制臺操作

具體操作，請參見僅在資源目錄內共享資源。

步驟五：資源使用者使用KMS實例

使用密鑰

創建密鑰。具體操作，請參見創建密鑰。
使用密鑰進行密碼運算操作。
- 云產品服務端加密：詳細內容，請參見云產品集成KMS加密概述和支持集成KMS加密的云產品。
- 自建應用加密：詳細內容，請參見SDK參考。

使用憑據

創建憑據。具體操作，請參見創建憑據。
通過SDK獲取憑據值。詳細內容，請參見SDK參考。

日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

多賬號共享KMS實例