数据加密服务 DEW-创建用户并授权使用DEW:前提条件

时间：2024-05-15 17:38:45

数据加密服务 DEW 权限管理

给用户组授权之前，请您了解用户组可以添加的DEW权限，并结合实际需求进行选择，DEW支持的系统权限如表 KMS系统策略、表 KPS系统策略、表 CSMS系统策略所示。

如果您需要对除DEW之外的其它服务授权，IAM支持服务的所有权限请参见系统权限。

表1 KMS系统策略
系统角色/策略名称	描述	类别	依赖关系
KMS Administrator	密钥管理服务(KMS)管理员，拥有该服务下的所有权限。	系统角色	无
KMS CMKFullAccess	密钥管理服务(KMS)的加密密钥所有权限。拥有该权限的用户可以完成基于策略授权的所有操作。	系统策略	无
KMS CMKReadOnlyAccess	密钥管理服务(KMS)的加密密钥只读权限。拥有该权限的用户可以完成基于策略授权的所有操作。	系统策略	无

表2 KPS系统策略
系统角色/策略名称	描述	类别	依赖关系
DEW KeypairFullAccess	数据加密服务中密钥对管理服务(KPS)的所有权限。拥有该权限的用户可以完成基于策略授权的所有操作。	系统策略	无
DEW KeypairReadOnlyAccess	数据加密服务中密钥对管理服务(KPS)的查看权限。拥有该权限的用户仅能查看密钥对管理服务(KPS)数据。	系统策略	无

表3 CSMS系统策略
系统角色/策略名称	描述	类别	依赖关系
CSMS FullAccess	数据加密服务中凭据管理服务(CSMS)的所有权限。拥有该权限的用户可以完成基于策略授权的所有操作。	系统策略	无
CSMS ReadOnlyAccess	数据加密服务中凭据管理服务(CSMS)的只读权限。拥有该权限的用户可以完成基于策略授权的所有操作。	系统策略	无

表4列出了DEW常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。

表4 常用操作与系统权限的关系
操作	KMS Administrator	KMS CMKFullAccess	DEW KeypairFullAccess	DEW KeypairReadOnlyAccess
创建密钥	√	√	x	x
启用密钥	√	√	x	x
禁用密钥	√	√	x	x
计划删除密钥	√	√	x	x
取消计划删除密钥	√	√	x	x
修改密钥别名	√	√	x	x
修改密钥描述	√	√	x	x
创建随机数	√	√	x	x
创建数据密钥	√	√	x	x
创建不含明文数据密钥	√	√	x	x
加密数据密钥	√	√	x	x
解密数据密钥	√	√	x	x
获取密钥导入参数	√	√	x	x
导入密钥材料	√	√	x	x
删除密钥材料	√	√	x	x
创建授权	√	√	x	x
撤销授权	√	√	x	x
退役授权	√	√	x	x
查询授权列表	√	√	x	x
查询可退役授权列表	√	√	x	x
加密数据	√	√	x	x
解密数据	√	√	x	x
签名消息	√	√	x	x
验证签名	√	√	x	x
开启密钥轮换	√	√	x	x
修改密钥轮换周期	√	√	x	x
关闭密钥轮换	√	√	x	x
查询密钥轮换状态	√	√	x	x
查询密钥实例	√	√	x	x
查询密钥标签	√	√	x	x
查询项目标签	√	√	x	x
批量添加删除密钥标签	√	√	x	x
添加密钥标签	√	√	x	x
删除密钥标签	√	√	x	x
查询密钥列表	√	√	x	x
查询密钥信息	√	√	x	x
查询公钥信息	√	√	x	x
查询实例数	√	√	x	x
查询配额	√	√	x	x
查询密钥对列表	x	x	√	√
创建或导入密钥对	x	x	√	x
查询密钥对	x	x	√	√
删除密钥对	x	x	√	x
更新密钥对描述	x	x	√	x
绑定密钥对	x	x	√	x
解绑密钥对	x	x	√	x
查询绑定任务信息	x	x	√	√
查询失败的任务	x	x	√	√
删除所有失败的任务	x	x	√	x
删除失败的任务	x	x	√	x
查询正在处理的任务	x	x	√	√