为 Unified Key Orchestrator 设置定制角色
为了管理用户和对 Unified Key Orchestrator 密钥,密钥库和保险库文件的访问权,Hyper Protect Crypto Services 提供了 缺省服务级别 IAM 访问角色 来分配和控制访问权。 如果要设置更细粒度的定制角色来管理用户访问权以满足企业的需求,请遵循以下一些最佳实践。
步骤 1: 创建定制 IAM 角色
要创建定制角色,请完成以下步骤:
-
在 UI 中,转至 管理 > 访问权 (IAM),然后选择 角色。
-
单击创建。
-
输入角色的名称。 此名称在帐户中必须唯一。 分配对服务的访问权时,可以在 UI 中看到此角色名称。
-
输入角色的标识。 此标识在 CRN 中使用,在您使用 API 分配访问权时使用此标识。 角色标识必须以大写字母开头,并且仅使用字母数字字符; 例如,
MyVaultAdministrator
。 -
(可选) 您可以输入简洁且有用的描述,以帮助分配访问权的用户了解此角色分配给用户的访问权级别。 当您分配对服务的访问权时,此描述也会显示在 UI 中。
-
从服务列表中,选择 Hyper Protect Crypto Services。
-
选择 添加 以添加角色的操作。
下表列出了建议的定制角色以及供您参考的相应操作:
表 1. 对应于 Unified Key Orchestrator 操作的定制角色和操作 角色 描述 操作 我的保险库管理员 管理保险库文件。 hs-crypto.managed-keys.read
hs-crypto.managed-keys.list
hs-crypto.target-keystores.read
hs-crypto.target-keystores.list
hs-crypto.key-templates.read
hs-crypto.key-templates.list
hs-crypto.vaults.read
hs-crypto.vaults.list
hs-crypto.vaults.write
hs-crypto.vaults.delete
hs-crypto.uko.initiate-paid-upgrade
hs-crypto.uko.add-paid-keystore
我的密钥库管理员 管理密钥库。 hs-crypto.managed-keys.read
hs-crypto.managed-keys.list
hs-crypto.target-keystores.read
hs-crypto.target-keystores.list
hs-crypto.target-keystores.write
hs-crypto.target-keystores.delete
hs-crypto.key-templates.read
hs-crypto.key-templates.list
hs-crypto.vaults.read
hs-crypto.vaults.list
hs-crypto.uko.initiate-paid-upgrade
hs-crypto.uko.add-paid-keystore
我的密钥管理员 管理管理任务 (例如破坏性操作) 的特殊许可权。 hs-crypto.managed-keys.deactivated-destroy
hs-crypto.managed-keys.destroyed-remove
hs-crypto.managed-keys.read
hs-crypto.managed-keys.list
hs-crypto.managed-keys.delete
hs-crypto.target-keystores.read
hs-crypto.target-keystores.list
hs-crypto.key-templates.read
hs-crypto.key-templates.list
hs-crypto.key-templates.write
hs-crypto.key-templates.delete
hs-crypto.vaults.read
hs-crypto.vaults.list
我的关键管理人-创建者 管理和创建密钥。 对于完整的密钥生命周期,需要“创建者”和“部署者”角色。 要实现职责分离,请将“创建者”和“部署者”角色分配给不同的人员。 hs-crypto.managed-keys.preactivation-destroy
hs-crypto.managed-keys.active-install
hs-crypto.managed-keys.active-uninstall
hs-crypto.managed-keys.deactivated-install
hs-crypto.managed-keys.deactivated-uninstall
hs-crypto.managed-keys.read
hs-crypto.managed-keys.list
hs-crypto.managed-keys.write
hs-crypto.managed-keys.generate
hs-crypto.managed-keys.distribute
hs-crypto.managed-keys.write-dates
hs-crypto.managed-keys.write-tags
hs-crypto.target-keystores.read
hs-crypto.target-keystores.list
hs-crypto.key-templates.read
hs-crypto.key-templates.list
hs-crypto.key-templates.write
hs-crypto.vaults.read
hs-crypto.vaults.list
我的密钥管理人-部署者 管理和部署密钥。 对于完整的密钥生命周期,需要“创建者”和“部署者”角色。 要实现职责分离,请将“创建者”和“部署者”角色分配给不同的人员。 hs-crypto.managed-keys.preactivation-activate
hs-crypto.managed-keys.preactivation-destroy
hs-crypto.managed-keys.active-deactivate
hs-crypto.managed-keys.active-install
hs-crypto.managed-keys.active-uninstall
hs-crypto.managed-keys.deactivated-install
hs-crypto.managed-keys.deactivated-reactivate
hs-crypto.managed-keys.deactivated-uninstall
hs-crypto.managed-keys.read
hs-crypto.managed-keys.list
hs-crypto.managed-keys.write
hs-crypto.managed-keys.distribute
hs-crypto.managed-keys.write-dates
hs-crypto.managed-keys.write-tags
hs-crypto.target-keystores.read
hs-crypto.target-keystores.list
hs-crypto.key-templates.read
hs-crypto.key-templates.list
hs-crypto.vaults.read
hs-crypto.vaults.list
我的读者 执行只读操作以进行审计。 hs-crypto.managed-keys.read
hs-crypto.managed-keys.list
hs-crypto.target-keystores.read
hs-crypto.target-keystores.list
hs-crypto.key-templates.read
hs-crypto.key-templates.list
hs-crypto.vaults.read
hs-crypto.vaults.list
-
选择适合您的定制角色的操作后,单击 创建。
步骤 2: 向用户分配 IAM 角色
在用户可以访问 Unified Key Orchestrator 保险库文件,密钥库或密钥之前,您需要通过完成以下步骤向用户授予相应的 IAM 角色:
-
从菜单栏中,单击 管理 > 访问权 (IAM),然后选择 用户 以浏览帐户中的现有用户。
-
选择用户,然后单击 操作 图标
以打开该用户的选项列表。
单击 邀请用户 以将用户添加到您的帐户 (如果该用户不在表中)。 有关更多信息,请参阅 邀请用户加入帐户。
-
从选项菜单中,单击 分配访问权。
-
单击 访问策略。
-
在 服务下,选择 Hyper Protect Crypto Services,然后单击 下一步。
-
在 资源下,选择要分配访问权的资源,然后单击 下一步。
- 如果要为用户分配对帐户下所有 Hyper Protect Crypto Services 实例的访问权,请选择 所有资源。
- 如果要向用户分配对您帐户下的部分 Hyper Protect Crypto Services 资源的访问权,请选择 特定资源 并根据需要添加相应的条件。 例如,选择 服务实例标识 并从列表中指定实例。
-
在 角色和操作下,选择要为用户分配访问权的平台和服务访问角色的组合,然后单击 下一步。
如果您没有任何定制角色,那么可以选择涵盖要分配给用户的操作的现有 IAM 角色。 您可以通过单击数字来查看与角色对应的特定操作。
-
(可选) 在 条件 (可选) 下,单击 复审 以检查访问策略。
-
确认后,单击 添加 > 分配。
下一步
- 要了解如何授予对保险库的访问权,请参阅 授予对保险库的访问权。