华为云首页用户手册

数据加密服务 DEW-创建轮转凭据:约束条件

时间：2025-03-04 16:49:59

数据加密服务 DEW 创建凭据

约束条件

用户最多可创建200个凭据。
默认使用凭据管理为您创建的默认密钥“csms/default”作为当前凭据的加密密钥。您也可以前往KMS服务页面创建自定义对称密钥，并使用自定义加密密钥。
RDS凭据支持的数据库引擎为：MySQL。
TaurusDB凭据支持选择TaurusDB类型数据库。
首次开启轮转时，当用户确认授权后， CS MS会在当前区域当前项目下，帮助用户自动创建委托授权。因此，用户需要确认账号拥有 IAM 相关权限：iam:permissions:grantRoleToAgencyOnProject、iam:agencies:listAgencies、iam:roles:listRoles、iam:agencies:createAgency、iam:permissions:checkRoleForAgencyOnProject、iam:roles:createRole。
根据轮转凭据类型不同，创建的委托不同：
- RDS凭据
  - 创建一个名为C SMS AccessFunctionGraph的委托，账号是op_svc_kms，权限名称是CSMSAccessFunctionGraph，使用项目级服务策略，包含 函数工作流服务（FunctionGraph）的同步执行函数的权限（functiongraph:function:invoke）。
  - 创建一个名为FunctionGraphAgencyForRotateRDSByCSMSV3委托，云服务是FunctionGraph，权限名称是FunctionGraphAgencyForRotateRDSByCSMSV3，使用项目级服务策略，包含：
    - 凭据管理服务（CSMS）的相关权限：csms:secret:getVersion、csms:secret:listVersion、csms:secret:createVersion、csms:secret:getStage、csms:secret:get、csms:secret:updateStage。
    - 虚拟私有云云服务（VPC）的相关权限：vpc:ports:create、vpc:vpcs:get、vpc:ports:get、vpc:ports:delete、vpc:subnets:get。
    - 密钥管理服务（KMS）的相关权限：kms:cmk:createDataKey、kms:cmk:decryptDataKey。
    - 云数据库（RDS）的相关权限：rds:password:update。
- TaurusDB凭据
  - 创建一个名为CSMSAccessFunctionGraph的委托，账号是op_svc_kms，权限名称是CSMSAccessFunctionGraph，使用项目级服务策略，包含函数工作流服务（FunctionGraph）的同步执行函数的权限（functiongraph:function:invoke）。
  - 创建一个名为FunctionGraphAgencyForRotate GaussDB ByCSMSV3委托，云服务是FunctionGraph，权限名称是FunctionGraphAgencyForRotateGaussDBByCSMSV3，使用项目级服务策略，包含：
    - 凭据管理服务（CSMS）的相关权限：csms:secretVersion:get、csms:secretVersion:list、csms:secretVersion:create、csms:secretStage:get、csms:secret:get、csms:secretStage:update。
    - 虚拟私有云云服务（VPC）的相关权限：vpc:ports:create、vpc:vpcs:get、vpc:ports:get、vpc:ports:delete、vpc:subnets:get。
    - 密钥管理服务（KMS）的相关权限：kms:dek:create、kms:dek:decrypt。
    - 云数据库TaurusDB的相关权限：gaussdb:user:modify。