IBM Cloud Docs
授权使用钥匙

授权使用钥匙

您可以通过创建和修改 IBM Cloud IAM 访问策略,对 IBM® Key Protect 账户中的 IBM Cloud 资源启用不同级别的访问权限。

账户管理员应根据内部访问控制要求,为用户、服务 ID 和 访问组一组用户和服务标识,它们组织到用作访问策略的主体的组,该访问策略用于为所有组成员分配相同访问权。确定 访问策略类型。 这些访问控制可以分配到多个级别,从实例到单个按键。 例如,如果要授予用户对 Key Protect 的最小可用范围的访问权限,可以 为实例中的单个键分配访问权限

授予对实例中所有键的访问权限

查看 角色和权限,了解 IBM Cloud IAM 角色如何映射到 Key Protect 操作。

要授予 Key Protect 实例中的密钥访问权限,请使用 IBM Cloud 控制台:

  1. 从菜单栏单击 Manage > Access (IAM),然后选择 Users 浏览账户中的现有用户。

  2. 选择表格行,然后单击 ⋯ 图标,打开该用户的选项列表。

  3. 从选项菜单中,单击 指定访问权限

  4. 单击分配访问权

  5. 选择要将访问权限分配给组(单击 访问组)还是个人(单击 访问策略)。 单击左侧导航管理访问部分中的访问组,即可找到您的访问组。

  6. 从服务列表中,选择 Key Protect 并单击 Next 打开 Resources 部分。

  7. Resources 部分,使用单选按钮选择是为所有资源分配访问权限,还是仅为特定资源分配访问权限。 如果您选择 特定资源,系统会要求您提供 属性类型(例如,钥匙圈 ID,字符串等于 ID)。 添加条件框允许您在下一步创建的策略中添加更多属性。 准备就绪后,单击 Next 创建策略。 请注意,如果您想返回服务列表,可以单击 Edit

  8. 角色和访问权限部分,您可以为所选资源分配访问权限。 有关 服务访问角色和 平台访问角色之间区别的更多信息,请查看 平台角色和服务角色。 选择选项右侧的方框会动态更新,提供在保留所选选项的情况下分配的访问权限摘要。 仔细查看所提供的访问列表。 请注意,通过单击 创建策略标题右侧标记为 [UI|JSON] 的选项卡中的 JSON 可以查看(和复制)策略的 JSON 版本。

  9. 满意后,单击“添加”。 这将在所选资源上创建所选策略。 访问摘要列显示已创建的策略。 如果出现错误,您可以删除编辑本节中的访问。

授予对实例中单个密钥的访问权限

调用 list keys API 将不会返回您已分配个人访问权限的密钥(换句话说,即使您拥有这些密钥的访问权限,并且您是调用者,只有您可以访问这些密钥)。 不过,调用此 API 将返回您可以访问的钥匙圈中的钥匙。

如果需要在实例级别之外分配访问权限,可以选择将访问权限分配给特定按键或 按键环

要为特定密钥创建访问策略,您需要

  1. 读取密钥 ID.
  2. 创建访问策略

步骤 1. 读取密钥 ID

读取与要授予他人访问权限的密钥相关联的唯一标识符。

要获取特定密钥的 ID,您可以

步骤 2. 创建访问策略

您可以针对实例和密钥创建密钥访问策略:

  1. 从菜单栏单击 Manage > Access (IAM),然后选择 Users 浏览账户中的现有用户。

  2. 选择表格行,然后单击 ⋯ 图标,打开该用户的选项列表。

  3. 从选项菜单中,单击 指定访问权限

  4. 单击为用户分配访问权限

  5. 从服务列表中选择 Key Protect

  6. 从 Key Protect 实例列表中,选择包含要授予访问权限的密钥的 Key Protect 实例。

  7. 选择基于选定属性的资源

  8. 单击 Instance ID 框,然后从下拉列表中选择钥匙圈所在的实例。

  9. 单击 资源类型框,然后输入 key

  10. 单击 Resource ID 框,输入 Key Protect 服务分配给密钥的 ID。

  11. 选择 平台和服务访问角色的组合,为用户分配访问权限。

  12. 单击添加

  13. 根据需要继续增加平台和服务访问角色。 完成后,单击“分配”。

图片显示了如何授予用户访问密钥权限的示例。
Shows how to grant user access to a specific key.

允许访问实例中的钥匙圈

密钥环是位于服务实例中的密钥集合,您可以通过 IAM 访问策略限制对这些密钥的访问。 有关钥匙圈的信息,请参阅 分组钥匙

您可以通过 Key Protect 控制台、IAM API 或 IAM CLI 授予对 IBM Cloud 实例中的密钥环的访问权限。

查看 角色和权限,了解 IBM Cloud IAM 角色如何映射到 Key Protect 操作。

使用控制台授权访问实例中的钥匙圈

要通过控制台分配钥匙圈的访问权限:

  1. 从菜单栏单击 Manage > Access (IAM),然后选择 Users 浏览账户中的现有用户。

  2. 选择表格行,然后单击 ⋯ 图标,打开该用户的选项列表。

  3. 从选项菜单中,单击 指定访问权限

  4. 单击为用户分配访问权限

  5. 单击 IAM 服务磁贴。

  6. 从服务列表中选择 Key Protect

  7. 选择基于选定属性的资源

  8. 单击 Instance ID 框,然后从下拉列表中选择钥匙圈所在的实例。

  9. 单击 Key Ring ID 框,输入钥匙圈的名称。 请注意,钥匙圈 ID 区分大小写,必须准确无误。

  10. 选择希望该用户拥有的 平台和服务访问角色的组合

  11. 单击添加

  12. 根据需要继续添加平台和服务访问角色,完成后单击 Assign。 请注意,必须至少为用户分配 Reader 访问整个实例的权限,他们才能在实例中列出、创建和删除钥匙圈。

图片显示了如何授予用户访问钥匙圈权限的示例。
Shows how to grant user access to a key ring.

授予特定功能的访问权限

要使用 Key Protect 密钥清除功能,必须授予名为 KeyPurge 的特定角色,因为默认情况下,即使账户所有者也无法启用该功能。 按照本主题其他章节中列出的步骤为所有密钥或特定密钥授予访问此权限后,请选择 KeyPurge 角色,如图所示。

该图显示了如何授予使用密钥清除功能权限的示例。
Shows how to grant permission to use the Key Purge Feature.

后续步骤

您还可以通过 Key Protect API 或 Key Protect CLI 插件创建访问策略。