基本信息
CAM中产品名 | CAM中简称 | 控制台访问 | 按标签授权 | 授权粒度 | IP限制 |
---|---|---|---|---|---|
密钥管理系统 | kms | 支持 | 支持 | 资源级 | 部分支持 |
说明:云产品的授权粒度按照粒度粗细分为服务级、操作级和资源级三个级别。
- 服务级:定义对服务的整体是否拥有访问权限,分为允许对服务拥有全部操作权限或者拒绝对服务拥有全部操作权限。服务级授权粒度的云产品,不支持对具体的接口进行授权。
- 操作级:定义对服务的特定接口(API)是否拥有访问权限,例如:授权某账号对云服务器服务进行只读操作。
- 资源级:定义对特定资源是否有访问权限,这是最细的授权粒度,例如:授权某账号仅读写操作某台云服务器实例。能支持资源级接口授权的产品,则会被认定为资源级授权粒度。
接口授权粒度
接口授权粒度分为资源级和操作级两个级别:
- 资源级接口:此类型接口支持对某一个具体特定的资源进行授权。
- 操作级接口:此类型接口不支持对某一个特定的资源进行授权。授权时策略语法若限定了具体的资源,CAM会判断此接口不在授权范围,判断为无权限。
写操作
接口名 | 接口描述 | 授权粒度 | 资源六段式 | IP限制 |
---|---|---|---|---|
ArchiveKey | 密钥存档 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
BindCloudResource | 绑定密钥和云产品资源的使用关系 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 不支持 |
CancelKeyArchive | 取消密钥存档 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
CancelKeyDeletion | 取消计划删除主密钥 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
CreateKey | 创建主密钥 | 操作级 | * | 支持 |
CreateWhiteBoxKey | 创建白盒密钥 | 操作级 | * | 支持 |
DeleteImportedKeyMaterial | 删除导入的密钥材料 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
DeleteWhiteBoxKey | 删除白盒密钥 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
DisableKey | 禁用主密钥 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
DisableKeyRotation | 禁止密钥轮换 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
DisableKeys | 批量禁用主密钥 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
DisableWhiteBoxKey | 禁用白盒密钥 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
DisableWhiteBoxKeys | 批量禁用白盒密钥 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
EnableKey | 启用主密钥 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
EnableKeyRotation | 开启密钥轮换 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
EnableKeys | 批量启动主密钥 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
EnableWhiteBoxKey | 启用白盒密钥 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
EnableWhiteBoxKeys | 批量启用白盒密钥 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
ImportKeyMaterial | 导入密钥材料 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
OverwriteWhiteBoxDeviceFingerprints | 覆盖指定密钥的设备指纹信息 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
ScheduleKeyDeletion | 计划删除主密钥 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
SetKeyAttributes | 修改主密钥属性 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 不支持 |
UnbindCloudResource | 解绑CMK和云资源的关联关系 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
UpdateAlias | 修改别名 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
UpdateKeyDescription | 修改主密钥描述信息 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
读操作
接口名 | 接口描述 | 授权粒度 | 资源六段式 | IP限制 |
---|---|---|---|---|
AsymmetricRsaDecrypt | 非对称密钥RSA解密 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
AsymmetricSm2Decrypt | 非对称密钥Sm2解密 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
Decrypt | 解密 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
DescribeKey | 获取主密钥属性 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
DescribeWhiteBoxDecryptKey | 获取白盒解密密钥 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
DescribeWhiteBoxKey | 展示白盒密钥的信息 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
DescribeWhiteBoxServiceStatus | 获取白盒密钥服务状态 | 操作级 | * | 支持 |
Encrypt | 加密 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
EncryptByWhiteBox | 使用白盒密钥进行加密 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
GenerateDataKey | 生成数据密钥 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
GenerateRandom | 随机数生成接口 | 操作级 | * | 支持 |
GetEncryptionSDKDownloadLink | 获取 Encryption SDK 下载链接。 | 操作级 | * | 支持 |
GetKeyAttributes | 获取主密钥属性 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 不支持 |
GetKeyRotationStatus | 查询密钥轮换状态 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
GetParametersForImport | 获取导入主密钥(CMK)材料的参数 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
GetPublicKey | 获取非对称密钥的公钥 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
GetRegions | 获取服务可用的地域 | 操作级 | * | 支持 |
GetSDKDownloadLink | 获取白盒 SDK 下载链接。 | 操作级 | * | 支持 |
GetServiceStatus | 查询服务状态 | 操作级 | * | 支持 |
ListAlgorithms | 列出当前Region支持的加密方式 | 操作级 | * | 支持 |
ListEncryptionSDKVariants | 获取 Encryption SDK 列表 | 操作级 | * | 支持 |
ListSDKVariants | 获取 SDK 列表 | 操作级 | * | 支持 |
ReEncrypt | 密文刷新 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
SignByAsymmetricKey | 签名 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
VerifyByAsymmetricKey | 验证签名 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
列表操作
接口名 | 接口描述 | 授权粒度 | 资源六段式 | IP限制 |
---|---|---|---|---|
DescribeKeys | 获取多个主密钥属性 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
DescribeResourceIds | 获得资源ID列表 | 操作级 | * | 支持 |
DescribeWhiteBoxDeviceFingerprints | 获取指定密钥的设备指纹列表 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
DescribeWhiteBoxKeyDetails | 获取白盒密钥列表 | 资源级 | qcs::kms:$region:uin/$uin:key/creatorUin/$creatorUin/$keyId | 支持 |
ListKey | 获取主密钥列表 | 操作级 | * | 不支持 |
ListKeyDetail | 获取主密钥列表详情 | 操作级 | * | 支持 |
ListKeys | 获取主密钥列表(API3.0) | 操作级 | * | 支持 |
ListKmsPremiumInstances | 列出账号下的 KMS 高级实例。 | 操作级 | * | 支持 |
其他操作
接口名 | 接口描述 | 授权粒度 | 资源六段式 | IP限制 |
---|---|---|---|---|
PostQuantumCryptoDecrypt | 后量子密码解密 | 资源级 | qcs::kms:${region}:uin/${uin}:key/creatorUin/$creatorUin/$keyId | 支持 |
PostQuantumCryptoEncrypt | 后量子密码加密 | 资源级 | qcs::kms:${region}:uin/${uin}:key/creatorUin/$creatorUin/$keyId | 支持 |
PostQuantumCryptoSign | 后量子密码签名 | 资源级 | qcs::kms:${region}:uin/${uin}:key/creatorUin/$creatorUin/$keyId | 支持 |
PostQuantumCryptoVerify | 后量子密码验签 | 资源级 | qcs::kms:${region}:uin/${uin}:key/creatorUin/$creatorUin/$keyId | 支持 |