创建授权_数据加密服务 DEW_用户指南_密钥管理_管理授权

前提条件

• 已获取管理控制台的登录帐号与密码。
• 已获取被授权IAM用户或帐号的ID。
• 用户主密钥需处于“启用”状态。

约束条件

用户主密钥的所有者可通过KMS界面或者调用API接口的方式为用户主密钥创建授权；被用户主密钥所有者授予了“创建授权”操作权限的用户或帐号仅能通过调用API接口的方式为用户主密钥创建授权。

操作步骤

1. 登录管理控制台。
2. 单击管理控制台左上角，选择区域或项目。
3. 单击，选择“安全 > 数据加密服务”，默认进入数据加密服务的“密钥管理”界面。
4. 单击目标用户主密钥的别名，进入密钥详细信息授权页面。
5. 单击“授权”，进入授权管理界面，如图1所示。
   图1 授权页面
   

6. 单击“创建授权”，弹出“创建授权”对话框。
   图2 创建授权（用户）
   
   图3 创建授权（租户）
   

7. 在弹出的对话框中，输入被授权用户ID，并勾选授权操作的权限。
   

   被授权用户只有通过调用API接口的方式，才能使用“授权操作”的权限，详细信息请参考《数据加密服务API参考》。

   表1 创建授权参数说明

   参数	参数说明	配置样例
   密钥ID	自动读取用户主密钥的ID。	-
   被授权对象	支持对用户和租户进行授权。 用户 用户ID：请填写在“用户名 > 我的凭证 > API凭证”中的“IAM用户ID”。 授权完成后，该IAM用户能使用授权中指定的密钥 租户 租户ID：请填写在“用户名 > 我的凭证 > API凭证”中的“帐号ID”。 授权完成后，该帐号下所有的IAM用户均能使用授权中指定的密钥。	d9a6b2bdaedd4ba586cabe6372d1b312
   授权操作	用户可选择以下授权操作： 说明： 一个用户主密钥可以多次授权给同一个用户不同的权限，用户最终的权限为所有授权的并集。 授权操作选项不能为空。 不能仅授予“创建授权”操作。 创建不含明文数据密钥 创建数据密钥 加密数据密钥 解密数据密钥 查询密钥信息 创建授权 退役授权 当被授权用户不再使用授权用户授予的用户主密钥的操作权限时，被授权用户可退役该授权。 如果被授权用户在退役授权前，已将用户主密钥的操作权限授予给其他用户，那么被授权用户退役授权后，对其他用户操作用户主密钥的权限无影响。 加密数据 解密数据	-

8. 单击“确定”，页面右上角弹出“授权创建成功”，则说明授权成功。

   授权列表中可查看到“授权ID”、“被授权用户ID”、“授权操作”和“创建时间”。