1.8.1 创建授权
用户可以为其他IAM用户或帐号创建授权,授予其使用自身的用户主密钥(CMK)的 权限,一个用户主密钥下最多可创建100个授权。
前提条件
● 已获取管理控制台的登录帐号与密码。
● 已获取被授权IAM用户或帐号的ID。
● 用户主密钥需处于“启用”状态。
约束条件
用户主密钥的所有者可通过KMS界面或者调用API接口的方式为用户主密钥创建授权;
被用户主密钥所有者授予了“创建授权”操作权限的用户或帐号仅能通过调用API接口 的方式为用户主密钥创建授权。
操作步骤
步骤1 登录管理控制台。
步骤2 单击管理控制台左上角 ,选择区域或项目。
步骤3 单击页面左侧 ,选择“安全与合规 > 数据加密服务”,默认进入“密钥管理”界 面。
步骤4 单击目标用户主密钥的别名,进入密钥详细信息授权页面。
步骤5 单击“授权”,进入授权管理界面,如图1-31所示。
图1-31 授权页面
步骤6 单击“创建授权”,弹出“创建授权”对话框。
图1-32 创建授权(用户)
图1-33 创建授权(账号)
步骤7 在弹出的对话框中,输入被授权用户ID,并勾选授权操作的权限。参数说明请参见表 1-14。
须知
被授权用户只有通过调用API接口的方式,才能使用“授权操作”的权限,详细信息请 参考《数据加密服务API参考》。
表1-14 创建授权参数说明
参数 参数说明 配置样例
密钥ID 自动读取用户主密钥的ID。
-被授权对象 支持对用户和账号进行授权。
● 用户用户ID:请填写在“用户名 > 我的凭证 >
API凭证”中的“IAM用户ID”。
授权完成后,该IAM用户能使用授权中指定 的密钥
● 账号账号ID:请填写在“用户名 > 我的凭证 >
API凭证”中的“帐号ID”。
授权完成后,该帐号下所有的IAM用户均能 使用授权中指定的密钥。
d9a6b2bdaedd 4ba586cabe63 72d1b312
授权操作 用户可选择以下授权操作:
授权列表中可查看到“授权ID”、“授权类型”、“被授权ID”、“授权操作”和
“创建时间”。
----结束
1.8.2 查询授权
该任务指导用户通过KMS界面查看用户主密钥的授权信息,包括授权ID、被授权ID、
授权操作、创建时间等。
前提条件
● 已获取管理控制台的登录帐号与密码。
● 用户已创建授权。
操作步骤
步骤1 登录管理控制台。
步骤2 单击管理控制台左上角 ,选择区域或项目。
步骤3 单击页面左侧 ,选择“安全与合规 > 数据加密服务”,默认进入“密钥管理”界 面。
步骤4 单击目标用户主密钥的别名,进入密钥详细信息页面。
步骤5 用户可查看当前用户主密钥的授权信息,如图1-34所示。
图1-34 查询授权
用户主密钥的授权信息如表1-15所示。
表1-15 授权信息参数说明
参数 参数说明
授权ID 随机生成的授权的唯一标识。
授权类型 授权类型:用户和账号。
被授权ID 被授权的ID。
授权操作 被授予用户对用户主密钥的操作权限(例如:创建数据密钥)。
创建时间 创建该授权的时间。
操作 用户可以在操作栏中,执行撤销授权操作。
步骤6 单击“授权ID”,可以查看授权详情,如图1-35所示。
图1-35 授权详情
----结束
1.8.3 撤销授权
在以下两种情况下,授权用户可以通过密钥管理界面撤销授权:
● 当被授权用户不再使用授权用户的用户主密钥时,被授权用户可告知授权用户撤 销授权,或者通过API接口直接退役授权。
● 当授权用户想收回用户主密钥的操作权限时,授权用户可强制撤销授权。
撤销授权后,被授权用户不再持有被授予的权限,而撤销授权前被授权用户已授予给 其他用户的权限不受影响。
该任务指导用户通过KMS界面撤销授权。
前提条件
● 已获取管理控制台的登录帐号与密码。
● 用户已创建授权。
操作步骤
步骤1 登录管理控制台。
步骤2 单击管理控制台左上角 ,选择区域或项目。
步骤3 单击页面左侧 ,选择“安全与合规 > 数据加密服务”,默认进入“密钥管理”界 面。
步骤4 单击目标用户主密钥的别名,进入密钥详细信息页面。
步骤5 在目标授权ID所在行,单击“撤销授权”。
步骤6 在弹出的对话框中单击“是”,页面右上角弹出“授权撤销成功”,则说明撤销授权 成功。
----结束