使用RAM实现KMS资源授权__API 参考_密钥管理服务-阿里云

用户创建的主密钥，都是该用户自己拥有的资源。默认情况下，用户对自己的资源拥有完整的操作权限，可以使用本文档中列举的所有 API 对资源进行操作。

但在主子账号的场景下，子账号刚创建时是没有资格去操作主账号的资源的。需要通过 RAM 授权的方式，给予子账号操作主账号资源的权限。

在了解如何使用 RAM 来授权和访问主密钥之前，请确保您已详细阅读了 RAM 产品文档和 API文档。

RAM中可授权的KMS资源类型

目前KMS有两种key资源，arn格式如下：

acs:kms:${region-id}:${resource-owner-id}:key/${key-uuid}
acs:kms:${region-id}:${resource-owner-id}:key

Api	Action	Resource
CreateKey	kms:CreateKey	acs:kms:$regionid:${resource-owner-id}:key
ListKeys	kms:ListKeys	acs:kms:$regionid:${resource-owner-id}:key
GenerateDataKey	kms:GenerateDataKey	acs:kms:$regionid:${resource-owner-id}:key/${keyid}
Encrypt	kms:Encrypt	acs:kms:$regionid:${resource-owner-id}:key/${keyid}
Decrypt	kms:Decrypt	acs:kms:$regionid:${resource-owner-id}:key/${keyid}
DescribeKey	kms:DescribeKey	acs:kms:$regionid:${resource-owner-id}:key/${keyid}
EnableKey	kms:EnableKey	acs:kms:$regionid:${resource-owner-id}:key/${keyid}
DisableKey	kms:DisableKey	acs:kms:$regionid:${resource-owner-id}:key/${keyid}
ScheduleKeyDeletion	kms:ScheduleKeyDeletion	acs:kms:$regionid:${resource-owner-id}:key/${keyid}
CancelKeyDeletion	kms:CancelKeyDeletion	acs:kms:$regionid:${resource-owner-id}:key/${keyid}

最后更新：2016-11-23 16:04:02