授予在 GCP 中使用特定 KMS 密鑰的權限
[英]Grant permission to use specific KMS key in GCP
問題描述
我在 GCP 中創建了密鑰環和密鑰環中的密鑰,如何才能授予特定服務帳戶或用戶帳戶僅訪問此密鑰的權限? 似乎要使用 KMS 中的密鑰,在 GCP 中我們需要授予服務帳戶角色“cloudkms.cryptokeyEncrypterDecrypter”角色,是否意味着具有此角色的服務帳戶可以使用 KMS 中的任何密鑰?
謝謝
1 個解決方案
解決方案1
1 2022-02-12 08:55:50
要管理對 Cloud KMS 資源(例如密鑰和密鑰環)的訪問權限,您需要授予身份和訪問管理(IAM) 角色。 您可以授予或限制執行特定加密操作的能力,例如輪換密鑰或加密數據。
要允許用戶或服務帳戶使用密鑰使用特定密鑰進行加密或解密,他們必須具有 cloudkms.cryptoKeyEncrypterDecrypter、cloudkms.cryptoKeyEncrypter、cloudkms.cryptoKeyDecrypter 或所有者角色,如權限和角色中的圖表所示。
授予服務帳戶權限的示例命令:
gcloud kms keys add-iam-policy-binding name of the key --location global --keyring golden-goose --member serviceAccount:my-service-account@my-project.iam.gserviceaccount.com --role roles/cloudkms.cryptoKeyEncrypterDecrypter
授予用戶權限的類似命令:
gcloud kms keys add-iam-policy-binding name of the key --location global --keyring golden-goose --member user:sillygoose@gmail.com --role roles/cloudkms.cryptoKeyEncrypterDecrypter
請參閱鏈接Granting permissions to use keys 。
編輯:
您可以使用gcloud命令通過雲UI授予權限,也可以通過導航 IAM & Admin → IAM → Select 來授予權限,服務帳戶需要授予角色並通過添加角色編輯權限。 請參閱屏幕截圖以供參考。
GCP linux 啟動腳本授予所有用戶對目錄和文件的權限
[英]GCP linux startup script to grant all users permission to directory and files
使用 KMS 密鑰在 Terraform 中為 GCP 創建虛擬機時出錯(創建實例時出錯:googleapi:錯誤 503)
[英]Error creating a VM in Terraform for GCP with KMS key (Error creating instance: googleapi: Error 503)
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.