组织 ORGANIZATIONS-数据加密服务 DEW:条件(Condition)
下载组织 ORGANIZATIONS用户手册完整版
条件(Condition)
条件键(Condition)是SCP生效的特定条件,包括条件键和运算符。
- 条件键表示SCP的Condition元素中的键值。根据适用范围,分为全局级条件键和服务级条件键。
- 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,组织将自动获取并鉴权。详情请参见:全局条件键。
- 服务级条件键(前缀通常为服务缩写,如DEW:)仅适用于对应服务的操作,详情请参见表 DEW支持的服务级条件键。
- 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值,多值条件键在API调用时请求可以包含多个值。例如:g:SourceVpce是单值条件键,表示仅允许通过某个 VPC终端节点 发起请求访问某资源,一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键,表示请求中携带的所有标签的key组成的列表,当用户在调用API请求时传入标签可以传入多个值。
- 运算符与条件键、条件值一起构成完整的条件判断语句,当请求信息满足该条件时,SCP才能生效。支持的运算符请参见:运算符。
DEW定义了以下可以在SCP的Condition元素中使用的条件键,您可以使用这些条件键进一步细化SCP语句应用的条件。
KPS服务不支持在身份策略中的条件键中配置服务级的条件键。
服务级条件键 |
类型 |
单值/多值 |
说明 |
|---|---|---|---|
kms:EncryptionAlgorithm |
string |
单值 |
根据请求中的加解密算法的值过滤对加解密操作的访问。 |
kms:GranteePrincipalType |
string |
单值 |
根据请求中的授权主体类型约束过滤对CreateGrant操作的访问。 |
kms:GrantOperations |
string |
多值 |
根据需要授权的操作过滤对CreateGrant操作的访问权限。 |
kms:GranteePrincipal |
string |
单值 |
根据授权中的被授权方主体过滤对CreateGrant操作的访问权限。 |
kms:KeyOrigin |
string |
单值 |
根据创建或使用操作KMS密钥的origin属性过滤对API操作的访问。 |
kms:KeySpec |
string |
单值 |
根据创建或使用操作KMS密钥的key_spec属性过滤对API操作的访问。 |
kms:KeyUsage |
string |
单值 |
根据创建或使用操作KMS密钥的key_usage属性过滤对API操作的访问。 |
kms:MessageType |
string |
单值 |
根据请求中的message_type参数的值过滤对签名和验证签名操作的访问。 |
kms:RetiringPrincipal |
string |
单值 |
根据授权中的retiring_principal筛选对CreateGrant操作的访问。 |
kms:SigningAlgorithm |
string |
单值 |
根据请求中的signing_algorithm过滤对签名和验证操作的访问。 |
kms:ExpirationTime |
date |
单值 |
根据请求中的expiration_time参数的值过滤对ImportKeyMaterial操作的访问。 |
kms:WrappingAlgorithm |
string |
单值 |
根据请求中的wrapping_algorithm参数的值过滤对CreateParametersForImport操作的访问。 |
kms:RecipientAttestation |
string |
单值 |
根据请求中证明文档的平台配置寄存器(PCR)值控制CreateDatakey、DecryptData、DecryptDatakey和CreateRandom操作的访问。 |
kms:MacAlgorithm |
string |
单值 |
根据请求中的mac_algorithm过滤对生成/校验消息验证码操作的访问。 |
csms:Type |
string |
单值 |
根据凭据的类型筛选访问权限。 |
