常用操作与系统权限的关系 操作 KMS Administrator KMS CMKFullAccess DEW KeypairFullAccess DEW KeypairReadOnlyAccess 创建密钥 √ √ x x 启用密钥 √ √ x x 禁用密钥 √ √ x x 计划删除密钥
该任务指导用户通过密钥管理界面创建自定义密钥。 自定义密钥包括“对称密钥”和“非对称密钥”。 前提条件 账号拥有KMS CMKFullAccess及以上权限。 约束条件 用户最多可创建100个自定义密钥,不包含默认密钥。创建副本密钥会占用该区域自定义密钥配额。 创建的对称密钥使用
填写完成后,单击“下一步”,进入委托授权页面。 勾选需要授权给函数工作流的“Security Administrator”、“CSMS FullAccess”、“KMS CMKFullAccess”权限,如图 授权权限所示。 图2 授权权限 单击“下一步”,根据业务需要选择授权范围,如图 业务授权范围所示。 图3
"enabled": true, "pwd_status": false, "access_mode": "default", "is_domain_owner": false, "xuser_id":
如果您需要对您所拥有的数据加密服务(Data Encryption Workshop,DEW)进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,IAM),如果华为账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用DEW的其它功能。
状态码 状态码 编码 状态说明 200 OK 请求已成功。 202 Accept 任务提交成功,当前系统繁忙,下发的任务会延迟处理。 204 No Content 请求已成功,无内容返回。 300 multiple choices 被请求的资源存在多个可供选择的响应。 400 Bad
完成整个文件的加解密。 操作流程 操作步骤 获取AK/SK: ACCESS_KEY: 华为账号Access Key,获取方式请参见获取AK/SK。 SECRET_ACCESS_KEY: 华为账号Secret Access Key,获取方式请参见获取AK/SK。 认证用的ak和sk
是否必选 参数类型 描述 secret_name 否 String 凭据的名称。 status 否 String 任务状态。取值 : SUCCESS :任务轮转成功。 FAILED :任务轮转失败。 task_id 否 String 任务ID。 该参数与其他参数不能同时存在。 limit
teRole。 根据轮转凭据类型不同,创建的委托不同: RDS凭据 创建一个名为CSMSAccessFunctionGraph的委托 ,账号是op_svc_kms,权限名称是CSMSAccessFunctionGraph,使用项目级服务策略,包含函数工作流服务(FunctionG
为什么配置了数据加密服务的权限没有立即生效? 正常情况下,客户配置了数据加密服务相关的权限,如KMS Administrator, KMS CMKFullAccess等,权限是会立即生效的。 但如下情况会造成权限无法立即生效: 控制台Console未及时登出,会有Session缓存造成权限不生效。建议重新登录控制台。
密钥管理服务(KMS)管理员,拥有该服务下的所有权限。 系统角色 无 KMS CMKFullAccess 密钥管理服务(KMS)的加密密钥所有权限。拥有该权限的用户可以完成基于策略授权的所有操作。 系统策略 无 KMS CMKReadOnlyAccess 密钥管理服务(KMS)的加密密钥只读权限。拥有该权限的用户可以完成基于策略授权的所有操作。
单击“确定”,凭据创建完成。用户可在凭据列表查看已完成创建的凭据,凭据默认状态为“启用”。 凭据与CCE服务集成,通过插件将凭据挂载至业务Pod内,将敏感信息与集群环境解耦,有效避免程序硬编码或明文配置等问题导致的敏感信息泄密,具体操作参见CCE密钥管理。 父主题: 创建凭据
notification_content String 事件通知的内容。 notification_status String 事件通知状态。 SUCCESS:事件通知成功。 FAIL:事件通知失败。 INVALID:事件通知配置主题信息无效或不正确,无法触发通知。 表5 PageInfo 参数
createHsm 删除云加密实例 hsm deleteHsm 与统一身份认证服务的关系 统一身份认证服务(Identity and Access Management,IAM)为数据加密服务提供了权限管理的功能。 需要拥有KMS Administrator权限的用户才能使用DEW服务。
知,并通过函数工作流服务(FunctionGraph)配置函数,实现凭据自动更新或轮转等功能。 凭据安全调用 与CCE集成,通过CCE插件允许用户将凭据挂载至业务Pod内,从而将敏感信息与集群环境解耦,有效避免程序硬编码或明文配置等问题导致的敏感信息泄密。 父主题: 凭据管理
禁用专属密钥库 功能介绍 禁用租户专属密钥库 调用方法 请参见如何调用API。 URI POST /v1.0/{project_id}/keystores/{keystore_id}/disable 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String
启用专属密钥库 功能介绍 启用租户专属密钥库 调用方法 请参见如何调用API。 URI POST /v1.0/{project_id}/keystores/{keystore_id}/enable 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String
云服务使用凭据管理服务 CCE服务端使用凭据管理服务 通过凭据管理服务免AKSK硬编码访问OBS服务 父主题: 凭据管理
恢复凭据对象 功能介绍 通过上传凭据备份文件,恢复凭据对象 接口约束 此接口返回的信息为凭据的元数据信息,不包含凭据值。 调用方法 请参见如何调用API。 URI POST /v1/{project_id}/secrets/restore 表1 路径参数 参数 是否必选 参数类型
查询凭据实例 功能介绍 查询凭据实例。通过标签过滤,筛选用户凭据,返回凭据列表。 调用方法 请参见如何调用API。 URI POST /v1/{project_id}/csms/{resource_instances}/action 表1 路径参数 参数 是否必选 参数类型 描述
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
您即将访问非华为云网站,请注意账号财产安全
