本文介紹如何基于標簽,控制RAM用戶或RAM角色對密鑰和憑據的訪問權限。
功能介紹
當您為RAM用戶或者RAM角色授予自定義權限策略、密鑰策略、憑據策略時,KMS支持通過標簽,設置允許或者禁止訪問帶有特定標簽的密鑰和憑據。標簽的條件關鍵字為kms:tag
,詳細內容,請參見密鑰管理服務自定義權限策略參考、密鑰策略、憑據策略、條件鍵。
由于多個密鑰和憑據允許有相同的標簽,因此該功能可以將權限應用于一組特定的密鑰或憑據。設置完成后,您還可以通過更改密鑰和憑據的標簽,修改允許或者禁止訪問的密鑰和憑據。例如,您的自定義權限策略允許訪問帶有標簽A的密鑰,其中帶有標簽A的密鑰有兩個(密鑰1和密鑰2),后續您又為密鑰3綁定了標簽A,那么該自定義權限策略會自動允許訪問密鑰3。
示例說明
企業的3個應用(App1、App2、App3)分布在不同的環境,企業分別購買了3個KMS實例(KMS實例A,KMS實例B,KMS實例C)。
管理員(阿里云主賬號)已經為3個KMS實例的密鑰和憑據設置了標簽,標簽與應用相關。例如應用App1訪問的密鑰和憑據,設置了標簽Application=App1。
管理員設置了3個子賬號(RAM用戶),App1 Admin、App2 Admin、App3 Admin。
管理員需要為每個子賬號設置權限策略,允許訪問指定的密鑰和憑據。例如,設置子賬號App2 Admin能訪問3個KMS實例中設置了標簽為Application=App2的密鑰和憑據。您可以為子賬號授予如下自定義權限策略。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": "kms:*",
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {
"kms:tag/Application": [
"App2"
]
}
}
}
]
}
相關文檔
權限策略由效果(Effect)、操作(Action)、資源(Resource)、條件(Condition)和授權主體(Principal)等基本元素組成。詳細介紹,請參見權限策略基本元素。