如果系统预置的DEW权限,不满足您的授权要求,可以创建自定义策略。自定义策略 中可以添加的授权项(Action)请参见权限及授权项说明。
目前华为云支持以下两种方式创建自定义策略:
● 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择策略 内容,可自动生成策略。
创建KMS自定义策略时:
– “云服务”:数据加密服务(KMS)。
– “操作”:根据您的需求进行选择。
– “选择资源(可选)”:“资源”选择“特定资源”,“KeyId”选择“通过 资源路径指定”时,“路径”为创建密钥时生成的ID,可参考“查看密钥”
章节获取ID。
● JSON视图创建自定义策略:可以在选择策略模板后,根据具体需求编辑策略内 容;也可以直接在编辑框内编写JSON格式的策略内容。具体创建步骤请参见:创 建自定义策略。本章为您介绍常用的DEW自定义策略样例。
DEW 自定义策略样例
中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先。如果您给用户授予“KMS Administrator”的系统策略,但不希望用户拥有“KMS Administrator”中删除密钥标签权限(kms:cmkTag:delete),您可以创建一条 相同Action的自定义策略,并将自定义策略的Effect设置为Deny,然后同时将
“KMS Administrator”和拒绝策略授予用户,根据Deny优先原则用户可以对密 钥对执行除了删除密钥标签的所有操作。以下策略样例表示:拒绝用户删除密钥
● 示例:多个授权项策略
一个自定义策略中可以包含多个授权项,且除了可以包含本服务的授权项外,还 可以包含其他服务的授权项,可以包含的其他服务必须跟本服务同属性,即都是 项目级服务。多个授权语句策略描述如下:
{ "Version": "1.1", "Statement": [ {
"Effect": "Allow", "Action": [ "rds:task:list"
] }, {
"Effect": "Allow", "Action": [
"kms:dek:crypto", "kms:cmk:get", "kms:cmk:crypto", "kms:cmk:generate", "kms:cmk:list"
] } ] }
A 修订记录
发布日期 修改说明
2021-2-11 第四十八次正式发布。
● 分配至企业项目,默认主密钥已不支持切换企业
项目。
● 密钥轮换概述及两种方法,新增手动轮换密钥及
自动轮换密钥概述。
2021-12-17 第四十七次正式发布。
修改
● 导入密钥,支持导入非对称密钥。
● 删除密钥材料,添加约束条件:非对称密钥不支
持删除密钥材料功能。
2021-09-30 第四十六次正式发布。
● 修改创建密钥章节,新增国密算法相关描述。
● 修改导入密钥章节,新增国密算法相关描述。
● 修改管理密钥对章节,更新截图。
2021-08-30 第四十五次正式发布。
全文修改“基础版”为“标准版”,“专业版”为
“铂金版”。
发布日期 修改说明
2021-07-20 第四十四次正式发布。
● 新增“关闭密钥轮换”章节,增加关闭密钥轮换
2021-06-30 第四十三次正式发布。
● 新增凭据管理章节。
● 新增分配至企业项目章节。
● 修改绑定密钥对章节,增加约束条件。
● 修改管理密钥章节,更新截图。
2021-02-22 第四十二次正式发布。
● 修改购买标准版章节。
● 修改购买铂金版(国内)章节。
● 修改购买铂金版(海外)章节。
2020-12-21 第四十一次正式发布。
文档Section优化。
2020-12-17 第四十次正式发布。
修改购买铂金版(国内)章节,增加了关于Ukey相关 的描述。
2020-12-14 第三十九次正式发布。
修改创建密钥章节。
2020-09-25 第三十八次正式发布。
修改购买铂金版(海外)章节。
2020-08-25 第三十七次正式发布。
删除“数据安全治理”内容。
发布日期 修改说明
2020-08-24 第三十六次正式发布。
修改DEW自定义策略,增加了关于获取KeyId的相关 描述。
2020-08-12 第三十五次正式发布。
● 新增升级密钥对章节。
2020-07-14 第三十四次正式发布。
导入密钥章节,新增企业多项目功能及其描述。
2020-04-17 第三十三次正式发布。
创建密钥、查看密钥章节,新增企业多项目功能及其 描述。
2020-04-03 第三十二次正式发布。
更新界面截图。
2020-02-21 第三十一次正式发布。
● 新增2.4.4-删除记录章节。
● 修改2.4.3-下载报告和确认验收章节,增加可删除 记录的描述。
2020-02-10 第三十次正式发布。
DEW系统策略名称变更:“DEW Keypair Admin”
修改为“DEW KeypairFullAccess”,“DEW Keypair Viewer” 修改为“DEW
KeypairReadOnlyAccess”,“KMS CMK Admin”
修改为“KMS CMKFullAccess”。
2020-01-20 第二十九次正式发布。
根据IAM界面变化更新用户指南中权限管理章节的内 容。
发布日期 修改说明
2019-12-26 第二十八次正式发布。
● 修改创建授权章节,支持租户授权。
● 修改查询授权章节,更新截图。
2019-12-13 第二十七次正式发布。
● 删除“密钥管理 > 升级到专业版”章节。
● 修改创建密钥章节,修改可创建的密钥数量。
● 根据界面变化更新密钥管理章节的截图。
2019-10-16 第二十六次正式发布。
新增细粒度授权相关内容。
2019-09-26 第二十五次正式发布。
用户指南新增“数据安全治理”内容。
2019-07-26 第二十四次正式发布。
● 新增激活专属加密实例章节。
● 删除“实例化专属加密实例”章节。
2019-07-12 第二十三次正式发布。
新增以下章节:
● 密钥管理 > 升级到专业版
● 购买专属加密实例
2019-06-28 第二十二次正式发布。
根据界面变化更新密钥管理和专属加密章节的截图。
2019-06-24 第二十一次正式发布。
● 在计划删除密钥中新增查看密钥使用记录的方
2019-05-27 第二十次正式发布。
● 权限管理 > 权限管理基本概念
● 权限管理 > 创建用户并授权使用DEW
● 权限管理 > 策略语法:RBAC 2019-04-22 第十九次正式发布。
● 删除“开启密钥管理”章节。
● 根据界面变化更新截图。
● 优化流程图和架构图。
发布日期 修改说明
2018-10-25 第十八次正式发布。
● 新增“操作指引”章节。
● 修改查看密钥对章节,增加密钥对详情页面描 述。
2018-09-14 第十七次正式发布。
● 新增“实例化专属加密实例”章节。
● 修改查看专属加密实例章节,根据界面变化更新 截图。
2018-08-30 第十六次正式发布。
● 修改“用户业务系统使用专属加密实例加密”章 节,修改敏感数据加密场景图。
● 修改查看专属加密实例章节,增加专属加密实例 详细信息说明。
2018-07-05 第十五次正式发布。
修改查看专属加密实例章节,修改专属加密实例参数 说明。
2018-06-28 第十四次正式发布。
● 修改创建密钥章节,增加添加标签的操作步骤。
● 修改导入密钥材料章节,增加添加标签的操作步 骤。
● 根据界面变化更新截图。
2018-06-08 第十三次正式发布。
修改.1.3.2-导入密钥材料章节,增加通过调用API接 口获取的包装密钥转换格式的说明。
2018-05-25 第十二次正式发布。
● 新增“开启密钥管理”章节。
发布日期 修改说明
2018-05-17 第十一次正式发布。
● 新增使用私钥登录Linux ECS章节。
● 新增使用私钥获取Windows ECS的登录密码章 节。
2018-04-30 第十次正式发布。
● 新增支持云审计的操作列表章节。
2018-04-12 第九次正式发布。
● 新增绑定密钥对章节。
● 修改查看密钥对章节,增加“删除失败记录”的 描述。
2018-03-30 第八次正式发布。
● 新增添加标签章节。
2018-03-01 第七次正式发布。
根据界面变化更新截图。
发布日期 修改说明
2017-12-15 第六次正式发布。
● 新增“在线工具使用指导”章节。
● 删除“服务资费”章节。
2017-11-16 第五次正式发布。
● 新增支持云硬盘。
● 新增了“选择项目”的操作步骤。
2017-08-25 第四次正式发布。
● “与云审计服务的关系”操作列表中新增“修改 别名”、“修改密钥描述”、“密钥删除风险提 示”、“退役授权”和“撤销授权”的资源类型 和事件名称。
● 新增“更改密钥别名和描述”章节。
2017-04-20 第三次正式发布。
新增“服务资费”章节。
2017-01-20 第二次正式发布。
● 新增了密钥批量启用、禁用、删除、取消删除密 钥操作描述。
● 新增了默认主密钥说明。
● 优化了SSE-KMS相关描述和“云审计服务支持的 KMS操作列表”相关说明。
● 新增了创建DEK、不含明文的DEK方法相关说 明。
● 新增加了私有镜像的加密方法相关说明。
2016-08-25 第一次正式发布。