文档中心 密钥管理服务 最佳实践 访问控制 KMS API 操作支持的资源级权限

KMS API 操作支持的资源级权限

最近更新时间:2019-04-30 16:09:45

在 CAM 中,可对主密钥资源进行以下 API 操作的授权, 具体 API 支持的资源和条件的对应关系如下:

API 操作 资源 备注
kms:CreateKey qcs::kms:$region:$account:key/* creatorUin 表示资源创建者的 uin,资源创建者可为根帐号或子账号。
kms:ListKey qcs::kms:$region:$account:key/*
kms:ListKeys qcs::kms:$region:$account:key/*
kms:ListKeyDetail qcs::kms:$region:$account:key/*
kms:GetServiceStatus qcs::kms:$region:$account:key/*
kms:Encrypt qcs::kms:$region:$account:key/creatorUin/$creatorUin/$keyid(授权单个资源) qcs::kms:$region:$account:key/creatorUin/$creatorUin/* (授权某个创建者的所有资源) qcs::kms:$region:$account:key/* (授权某个根帐号的所有资源)
kms:Decrypt qcs::kms:$region:$account:key/creatorUin/$creatorUin/$keyid(授权单个资源) qcs::kms:$region:$account:key/creatorUin/$creatorUin/* (授权某个创建者的所有资源) qcs::kms:$region:$account:key/* (授权某个根帐号的所有资源)
kms::GenerateDataKey qcs::kms:$region:$account:key/creatorUin/$creatorUin/$keyid(授权单个资源) qcs::kms:$region:$account:key/creatorUin/$creatorUin/* (授权某个创建者的所有资源) qcs::kms:$region:$account:key/* (授权某个根帐号的所有资源)
kms::EnableKey qcs::kms:$region:$account:key/creatorUin/$creatorUin/$keyid(授权单个资源) qcs::kms:$region:$account:key/creatorUin/$creatorUin/* (授权某个创建者的所有资源) qcs::kms:$region:$account:key/* (授权某个根帐号的所有资源)
kms::DisableKey qcs::kms:$region:$account:key/creatorUin/$creatorUin/$keyid(授权单个资源) qcs::kms:$region:$account:key/creatorUin/$creatorUin/*(授权某个创建者的所有资源) qcs::kms:$region:$account:key/*(授权某个根帐号的所有资源)
kms::GetKeyAttributes qcs::kms:$region:$account:key/creatorUin/$creatorUin/$keyid(授权单个资源) qcs::kms:$region:$account:key/creatorUin/$creatorUin/*(授权某个创建者的所有资源) qcs::kms:$region:$account:key/*(授权某个根帐号的所有资源)
kms::SetKeyAttributes qcs::kms:$region:$account:key/creatorUin/$creatorUin/$keyid(授权单个资源) qcs::kms:$region:$account:key/creatorUin/$creatorUin/* (授权某个创建者的所有资源) qcs::kms:$region:$account:key/* (授权某个根帐号的所有资源)
kms:GetKeyRotationStatus qcs::kms:$region:$account:key/creatorUin/$creatorUin/$keyid(授权单个资源) qcs::kms:$region:$account:key/creatorUin/$creatorUin/*(授权某个创建者的所有资源) qcs::kms:$region:$account:key/*(授权某个根帐号的所有资源)
kms:ReEncrypt qcs::kms:$region:$account:key/creatorUin/$creatorUin/$keyid(授权单个资源) qcs::kms:$region:$account:key/creatorUin/$creatorUin/* (授权某个创建者的所有资源) qcs::kms:$region:$account:key/* (授权某个根帐号的所有资源)
kms:DescribeKey qcs::kms:$region:$account:key/creatorUin/$creatorUin/$keyid(授权单个资源) qcs::kms:$region:$account:key/creatorUin/$creatorUin/*(授权某个创建者的所有资源) qcs::kms:$region:$account:key/*(授权某个根帐号的所有资源)
kms:UpdateKeyDescription qcs::kms:$region:$account:key/creatorUin/$creatorUin/$keyid(授权单个资源) qcs::kms:$region:$account:key/creatorUin/$creatorUin/* (授权某个创建者的所有资源) qcs::kms:$region:$account:key/* (授权某个根帐号的所有资源)
kms:UpdateAlias qcs::kms:$region:$account:key/creatorUin/$creatorUin/$keyid(授权单个资源) qcs::kms:$region:$account:key/creatorUin/$creatorUin/*(授权某个创建者的所有资源) qcs::kms:$region:$account:key/*(授权某个根帐号的所有资源)
kms:DisableKeyRotation qcs::kms:$region:$account:key/creatorUin/$creatorUin/$keyid(授权单个资源) qcs::kms:$region:$account:key/creatorUin/$creatorUin/* (授权某个创建者的所有资源) qcs::kms:$region:$account:key/* (授权某个根帐号的所有资源)
kms:EnableKeyRotation qcs::kms:$region:$account:key/creatorUin/$creatorUin/$keyid(授权单个资源) qcs::kms:$region:$account:key/creatorUin/$creatorUin/*(授权某个创建者的所有资源) qcs::kms:$region:$account:key/*(授权某个根帐号的所有资源)
kms:EnableKeys qcs::kms:$region:$account:key/creatorUin/$creatorUin/$keyid(授权单个资源) qcs::kms:$region:$account:key/creatorUin/$creatorUin/* (授权某个创建者的所有资源) qcs::kms:$region:$account:key/* (授权某个根帐号的所有资源)
kms:DisableKeys qcs::kms:$region:$account:key/creatorUin/$creatorUin/$keyid(授权单个资源) qcs::kms:$region:$account:key/creatorUin/$creatorUin/*(授权某个创建者的所有资源) qcs::kms:$region:$account:key/*(授权某个根帐号的所有资源)
kms:DescribeKeys qcs::kms:$region:$account:key/creatorUin/$creatorUin/$keyid(授权单个资源) qcs::kms:$region:$account:key/creatorUin/$creatorUin/* (授权某个创建者的所有资源) qcs::kms:$region:$account:key/* (授权某个根帐号的所有资源)