功能介紹

當您為RAM用戶或者RAM角色授予自定義權限策略、密鑰策略、憑據策略時，KMS支持通過標簽，設置允許或者禁止訪問帶有特定標簽的密鑰和憑據。標簽的條件關鍵字為kms:tag，詳細內容，請參見密鑰管理服務自定義權限策略參考、密鑰策略、憑據策略、條件鍵。

由于多個密鑰和憑據允許有相同的標簽，因此該功能可以將權限應用于一組特定的密鑰或憑據。設置完成后，您還可以通過更改密鑰和憑據的標簽，修改允許或者禁止訪問的密鑰和憑據。例如，您的自定義權限策略允許訪問帶有標簽A的密鑰，其中帶有標簽A的密鑰有兩個（密鑰1和密鑰2），后續您又為密鑰3綁定了標簽A，那么該自定義權限策略會自動允許訪問密鑰3。

示例說明

• 企業的3個應用（App1、App2、App3）分布在不同的環境，企業分別購買了3個KMS實例（KMS實例A，KMS實例B，KMS實例C）。

• 管理員（阿里云主賬號）已經為3個KMS實例的密鑰和憑據設置了標簽，標簽與應用相關。例如應用App1訪問的密鑰和憑據，設置了標簽Application=App1。

• 管理員設置了3個子賬號（RAM用戶），App1 Admin、App2 Admin、App3 Admin。

管理員需要為每個子賬號設置權限策略，允許訪問指定的密鑰和憑據。例如，設置子賬號App2 Admin能訪問3個KMS實例中設置了標簽為Application=App2的密鑰和憑據。您可以為子賬號授予如下自定義權限策略。

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "kms:*",
      "Resource": "*",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "kms:tag/Application": [
            "App2"
          ]
        }
      }
    }
  ]
}

• Effect：授權效果。取值有允許（Allow）和拒絕（Deny）。

• Action：支持的操作，具體的API列表，請參見條件鍵。kms:*表示列表中的所有API接口。

• Resource：指被授權的具體對象，*表示KMS實例所有的密鑰和憑據。您也可以設置更精細的資源范圍，具體格式，請參見授權信息。

• Condition：指授權生效的條件。詳細取值，請參見權限策略基本元素。

相關文檔

權限策略由效果（Effect）、操作（Action）、資源（Resource）、條件（Condition）和授權主體（Principal）等基本元素組成。詳細介紹，請參見權限策略基本元素。