使用RAM實現KMS資源授權__API 參考_密鑰管理服務-阿裏雲

用戶創建的主密鑰，都是該用戶自己擁有的資源。默認情況下，用戶對自己的資源擁有完整的操作權限，可以使用本文檔中列舉的所有 API 對資源進行操作。

但在主子賬號的場景下，子賬號剛創建時是沒有資格去操作主賬號的資源的。需要通過 RAM 授權的方式，給予子賬號操作主賬號資源的權限。

在了解如何使用 RAM 來授權和訪問主密鑰之前，請確保您已詳細閱讀了 RAM 產品文檔和 API文檔。

RAM中可授權的KMS資源類型

目前KMS有兩種key資源，arn格式如下：

acs:kms:${region-id}:${resource-owner-id}:key/${key-uuid}
acs:kms:${region-id}:${resource-owner-id}:key

Api	Action	Resource
CreateKey	kms:CreateKey	acs:kms:$regionid:${resource-owner-id}:key
ListKeys	kms:ListKeys	acs:kms:$regionid:${resource-owner-id}:key
GenerateDataKey	kms:GenerateDataKey	acs:kms:$regionid:${resource-owner-id}:key/${keyid}
Encrypt	kms:Encrypt	acs:kms:$regionid:${resource-owner-id}:key/${keyid}
Decrypt	kms:Decrypt	acs:kms:$regionid:${resource-owner-id}:key/${keyid}
DescribeKey	kms:DescribeKey	acs:kms:$regionid:${resource-owner-id}:key/${keyid}
EnableKey	kms:EnableKey	acs:kms:$regionid:${resource-owner-id}:key/${keyid}
DisableKey	kms:DisableKey	acs:kms:$regionid:${resource-owner-id}:key/${keyid}
ScheduleKeyDeletion	kms:ScheduleKeyDeletion	acs:kms:$regionid:${resource-owner-id}:key/${keyid}
CancelKeyDeletion	kms:CancelKeyDeletion	acs:kms:$regionid:${resource-owner-id}:key/${keyid}

最後更新：2016-11-23 16:04:02