天翼云提供统一身份认证(Identity and Access Management,简称IAM)服务,是提供用户进行权限管理的基础服务,可以帮助您安全的控制云服务和资源的访问及操作权限。您通过IAM服务定义企业项目、创建子用户,轻松实现IAM子用户对KMS资源的访问控制、权限分配等。
KMS权限管理
默认情况下,主账号创建的IAM用户没有任何权限,需要将其加入特定的用户组,并给用户组授予KMS产品的权限策略(包括系统策略和自定义策略),授权后IAM用户就能获得策略中定义的KMS产品的使用权限。
KMS产品支持企业项目管理,若您需要对KMS服务中的资源进行分组和管理,形成逻辑隔离,您可以创建企业项目,并将资源划分至不同的企业项目中,不同的企业项目可以绑定不同的用户组,并给用户组授予KMS产品的权限策略(包括系统策略和自定义策略),从而实现对特定资源的授权。
KMS权限配置
IAM权限管理:进入天翼云IAM权限配置界面,可以进行IAM用户及用户组的创建,并在用户组列表中点击“授权”,为用户组添加KMS产品对应的权限策略。KMS权限策略分为系统策略和自定义策略,系统策略默认提供,您也可以在“策略管理”界面创建自定义策略。用户组授权记录均可在“授权管理”界面查看并管理。
企业项目管理:进入天翼云IAM权限 配置界面,在“企业项目”界面可以创建并管理企业项目,创建企业项目后可进行资源的迁入迁出,绑定用户组,并给用户组授予KMS产品的权限策略(包括系统策略和自定义策略)。
KMS权限及授权项说明
策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应,授权项列表说明如下:
- 权限:允许或拒绝IAM用户某项操作;
- 对应API接口:权限策略所作用的实际调用接口;
- 授权项:授权操作对应的权限三元组,创建自定义策略时,支持可视化JSON视图写入权限三元组实现策略配置;
- 权限类型:授权操作对应的读写类型。
KMS支持的授权项
- 密钥管理
| 权限 | 对应API接口 | 授权项 | 读写类型 |
|---|---|---|---|
| 创建密钥 | /v1/cmkManage/createKey | kms:cmk:create | 写 |
| 启用密钥 | /v1/cmkManage/enableKey | kms:cmk:enable | 写 |
| 禁用密钥 | /v1/cmkManage/disableKey | kms:cmk:disable | 写 |
| 计划删除密钥 | /v1/cmkManage/scheduleKeyDeletion | kms:cmk:delete | 写 |
| 取消计划删除密钥 | /v1/cmkManage/cancelKeyDeletion | kms:cmk:undelete | 写 |
| 更新密钥描述 | /v1/keyManage/updateKeyDescription | kms:cmk:update | 写 |
| 查看密钥列表 | /v1/keyManage/listAliasKeys | kms:cmk:list | 读 |
| 查看密钥详情 | /v1/keyManage/describeKey | kms:cmk:describe | 读 |
| 开启删除保护 | /v1/cmkManage/scheduleKeyDeletion | kms:cmk:deleteProtect | 写 |
| 取消删除保护 | /v1/cmkManage/cancelKeyDeletion | kms:cmk:cancelDeleteProtect | 写 |
| 获取导入密钥材料参数 | /v1/importKey/getParametersForImport | kms:cmk:getParameters | 写 |
| 导入密钥材料 | /v1/importKey/importKeyMaterial | kms:cmk:importMaterial | 写 |
| 删除密钥材料 | /v1/importKey/deleteKeyMaterial | kms:cmk:deleteMaterial | 写 |
| 设置/更新轮转策略 | /v1/versionControl/updateRotationPolicy | kms:cmk:updateRotation | 写 |
| 创建密钥版本 | /v1/versionControl/createKeyVersion | kms:cmk:createVersion | 写 |
| 列出主密钥所有密钥版本 | /v1/versionControl/listKeyVersions | kms:cmk:listVersions | 读 |
| 查看指定密钥版本信息 | /v1/versionControl/describeKeyVersion | kms:cmk:describeVersion | 读 |
| 创建别名 | /v1/keyName/createAlias | kms:cmk:createAlias | 写 |
| 删除别名 | /v1/keyName/deleteAlias | kms:cmk:deleteAlias | 写 |
| 更新别名(非控制台功能) | /v1/keyName/updateAlias | kms:cmk:updateAlias | 写 |
| 列出与指定密钥绑定的别名 | /v1/keyName/listAliasByUuid | kms:cmk:listAliasByUuid | 读 |
| 列出所有别名(非控制台功能) | /v1/keyName/listAlias | kms:cmk:listAlias | 读 |
| 在线加密 | /v1/keyCompute/encrypt | kms:cmk:encrypt | 写 |
| 产品数据密钥(信封加密) | /v1/keyCompute/generateDataKey | kms:cmk:generateDataKey | 写 |
| 产生无明文返回值的数据密钥(信封加密) | /v1/keyCompute/generateDataKeyWithoutPlaintext | kms:cmk:generateDataKeyWithoutPlaintext | 写 |
| 导出数据密钥 | /v1/keyCompute/exportDataKey | kms:cmk:exportDataKey | 写 |
| 产生并导出数据密钥 | /v1/keyCompute/generateAndExportDataKey | kms:cmk:generateAndExportDataKey | 写 |
| 解密 | /v1/keyCompute/decrypt | kms:cmk:decrypt | 写 |
| 转加密 | /v1/cmkManage/reEncrypt | kms:cmk:reEncrypt | 写 |
| 产生数字签名 | /v1/asymmetric/asymmetricSign | kms:cmk:asymmetricSign | 写 |
| 验证签名 | /v1/asymmetric/asymmetricVerify | kms:cmk:asymmetricVerify | 写 |
| 非对称密钥加密 | /v1/asymmetric/asymmetricEncrypt | kms:cmk:asymmetricEncrypt | 写 |
| 非对称密钥解密 | /v1/asymmetric/asymmetricDecrypt | kms:cmk:asymmetricDecrypt | 写 |
| 获取非对称密钥公钥 | /v1/asymmetric/getPublicKey | kms:cmk:getPublicKey | 写 |
- 证书管理
| 权限 | 对应API接口 | 授权项 | 读写类型 |
|---|---|---|---|
| 创建证书csr | /v1/manageCertificate/createCertificate | kms:cert:create | 写 |
| 导入证书 | /v1/manageCertificate/importCertificate | kms:cert:import | 写 |
| 查看证书列表 | /manageCertificate/listCertificate | kms:cert:list | 读 |
| 查询证书信息 | /v1/manageCertificate/describeCertificate | kms:cert:describe | 读 |
| 更新证书状态 | /v1/manageCertificate/updateCertificateStatus | kms:cert:update | 写 |
| 获取证书 | /v1/manageCertificate/getCertificate | kms:cert:get | 读 |
| 导出证书私钥 | /v1/manageCertificate/exportCertifiicatePrivatkey | kms:cert:exportPrivatkey | 写 |
| 删除证书 | /v1/manageCertificate/deleteCertificate | kms:cert:delete | 写 |
| 证书私钥签名 | /v1/certificateCompute/certificatePrivateKeySign | kms:cert:privateKeySign | 写 |
| 证书公钥验签 | /v1/certificateCompute/certificatePublicKeyVerify | kms:cert:publicKeyVerity | 写 |
| 证书公钥加密 | /v1/certificateCompute/certificatePublicKeyEncrypt | kms:cert:publicKeyEncrypt | 写 |
| 证书私钥解密 | /v1/certificateCompute/certificatePrivateKeyDecrypt | kms:cert:privateKeyDecrypt | 写 |
| 生成随机数 | /v1/certificatecompute/getRandom | kms:cert:getRandom | 写 |
