权限管理

2025-01-07 07:19:23

天翼云提供统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。您通过IAM服务定义企业项目、创建子用户，轻松实现IAM子用户对KMS资源的访问控制、权限分配等。

KMS权限管理

默认情况下，主账号创建的IAM用户没有任何权限，需要将其加入特定的用户组，并给用户组授予KMS产品的权限策略（包括系统策略和自定义策略），授权后IAM用户就能获得策略中定义的KMS产品的使用权限。

KMS产品支持企业项目管理，若您需要对KMS服务中的资源进行分组和管理，形成逻辑隔离，您可以创建企业项目，并将资源划分至不同的企业项目中，不同的企业项目可以绑定不同的用户组，并给用户组授予KMS产品的权限策略（包括系统策略和自定义策略），从而实现对特定资源的授权。

KMS权限配置

IAM权限管理：进入天翼云IAM权限配置界面，可以进行IAM用户及用户组的创建，并在用户组列表中点击“授权”，为用户组添加KMS产品对应的权限策略。KMS权限策略分为系统策略和自定义策略，系统策略默认提供，您也可以在“策略管理”界面创建自定义策略。用户组授权记录均可在“授权管理”界面查看并管理。

企业项目管理：进入天翼云IAM权限配置界面，在“企业项目”界面可以创建并管理企业项目，创建企业项目后可进行资源的迁入迁出，绑定用户组，并给用户组授予KMS产品的权限策略（包括系统策略贺自定义策略）。

KMS权限及授权项说明

策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下：

权限：允许或拒绝IAM用户某项操作；

对应API接口：权限策略所作用的实际调用接口；

授权项：授权操作对应的权限三元组，创建自定义策略时，支持可视化JSON视图写入权限三元组实现策略配置；

权限类型：授权操作对应的读写类型。

KMS支持的授权项

密钥管理

权限	对应API接口	授权项	读写类型
服务开通	——	kms:kmsService:open	写
创建密钥	/v1/cmkManage/createKey	kms:cmk:create	写
启用密钥	/v1/cmkManage/enableKey	kms:cmk:enable	写
禁用密钥	/v1/cmkManage/disableKey	kms:cmk:disable	写
计划删除密钥	/v1/cmkManage/scheduleKeyDeletion	kms:cmk:delete	写
取消计划删除密钥	/v1/cmkManage/cancelKeyDeletion	kms:cmk:undelete	写
更新密钥描述	/v1/keyManage/updateKeyDescription	kms:cmk:update	写
查看密钥列表	/v1/keyManage/listAliasKeys	kms:cmk:list	读
查看密钥详情	/v1/keyManage/describeKey	kms:cmk:describe	读
开启删除保护	/v1/cmkManage/deleteProtect	kms:cmk:deleteProtect	写
取消删除保护	/v1/cmkManage/cancelDeleteProtect	kms:cmk:cancelDeleteProtect	写
获取导入密钥材料参数	/v1/importKey/getParametersForImport	kms:cmk:getParameters	写
导入密钥材料	/v1/importKey/importKeyMaterial	kms:cmk:importMaterial	写
删除密钥材料	/v1/importKey/deleteKeyMaterial	kms:cmk:deleteMaterial	写
设置/更新轮转策略	/v1/versionControl/updateRotationPolicy	kms:cmk:updateRotation	写
创建密钥版本	/v1/versionControl/createKeyVersion	kms:cmk:createVersion	写
列出主密钥所有密钥版本	/v1/versionControl/listKeyVersions	kms:cmk:listVersions	读
查看指定密钥版本信息	/v1/versionControl/describeKeyVersion	kms:cmk:describeVersion	读
创建别名	/v1/keyName/createAlias	kms:cmk:createAlias	写
删除别名	/v1/keyName/deleteAlias	kms:cmk:deleteAlias	写
更新别名（非控制台功能）	/v1/keyName/updateAlias	kms:cmk:updateAlias	写
列出与指定密钥绑定的别名	/v1/keyName/listAliasByUuid	kms:cmk:listAliasByUuid	读
列出所有别名（非控制台功能）	/v1/keyName/listAlias	kms:cmk:listAlias	读
在线加密	/v1/keyCompute/encrypt	kms:cmk:encrypt	写
产品数据密钥（信封加密）	/v1/keyCompute/generateDataKey	kms:cmk:generateDataKey	写
产生无明文返回值的数据密钥（信封加密）	/v1/keyCompute/generateDataKeyWithoutPlaintext	kms:cmk:generateDataKeyWithoutPlaintext	写
导出数据密钥	/v1/keyCompute/exportDataKey	kms:cmk:exportDataKey	写
产生并导出数据密钥	/v1/keyCompute/generateAndExportDataKey	kms:cmk:generateAndExportDataKey	写
解密	/v1/keyCompute/decrypt	kms:cmk:decrypt	写
转加密	/v1/cmkManage/reEncrypt	kms:cmk:reEncrypt	写
产生数字签名	/v1/asymmetric/asymmetricSign	kms:cmk:asymmetricSign	写
验证签名	/v1/asymmetric/asymmetricVerify	kms:cmk:asymmetricVerify	写
非对称密钥加密	/v1/asymmetric/asymmetricEncrypt	kms:cmk:asymmetricEncrypt	写
非对称密钥解密	/v1/asymmetric/asymmetricDecrypt	kms:cmk:asymmetricDecrypt	写
获取非对称密钥公钥	/v1/asymmetric/getPublicKey	kms:cmk:getPublicKey	写

证书管理

权限	对应API接口	授权项	读写类型
创建证书csr	/v1/manageCertificate/createCertificate	kms:cert:create	写
导入证书	/v1/manageCertificate/importCertificate	kms:cert:import	写
查看证书列表	/manageCertificate/listCertificate	kms:cert:list	读
查询证书信息	/v1/manageCertificate/describeCertificate	kms:cert:describe	读
更新证书状态	/v1/manageCertificate/updateCertificateStatus	kms:cert:update	写
获取证书	/v1/manageCertificate/getCertificate	kms:cert:get	写
导出证书私钥	/v1/manageCertificate/exportCertifiicatePrivatkey	kms:cert:exportPrivatkey	写
删除证书	/v1/manageCertificate/deleteCertificate	kms:cert:delete	写
证书私钥签名	/v1/certificateCompute/certificatePrivateKeySign	kms:cert:privateKeySign	写
证书公钥验签	/v1/certificateCompute/certificatePublicKeyVerify	kms:cert:publicKeyVerity	写
证书公钥加密	/v1/certificateCompute/certificatePublicKeyEncrypt	kms:cert:publicKeyEncrypt	写
证书私钥解密	/v1/certificateCompute/certificatePrivateKeyDecrypt	kms:cert:privateKeyDecrypt	写
生成随机数	/v1/certificatecompute/getRandom	kms:cert:getRandom	写

密钥管理服务

权限管理