[英]Grant permission to use specific KMS key in GCP
我在 GCP 中創建了密鑰環和密鑰環中的密鑰,如何才能授予特定服務帳戶或用戶帳戶僅訪問此密鑰的權限? 似乎要使用 KMS 中的密鑰,在 GCP 中我們需要授予服務帳戶角色“cloudkms.cryptokeyEncrypterDecrypter”角色,是否意味着具有此角色的服務帳戶可以使用 KMS 中的任何密鑰?
謝謝
要管理對 Cloud KMS 資源(例如密鑰和密鑰環)的訪問權限,您需要授予身份和訪問管理(IAM) 角色。 您可以授予或限制執行特定加密操作的能力,例如輪換密鑰或加密數據。
要允許用戶或服務帳戶使用密鑰使用特定密鑰進行加密或解密,他們必須具有 cloudkms.cryptoKeyEncrypterDecrypter、cloudkms.cryptoKeyEncrypter、cloudkms.cryptoKeyDecrypter 或所有者角色,如權限和角色中的圖表所示。
授予服務帳戶權限的示例命令:
gcloud kms keys add-iam-policy-binding name of the key --location global --keyring golden-goose --member serviceAccount:my-service-account@my-project.iam.gserviceaccount.com --role roles/cloudkms.cryptoKeyEncrypterDecrypter
授予用戶權限的類似命令:
gcloud kms keys add-iam-policy-binding name of the key --location global --keyring golden-goose --member user:sillygoose@gmail.com --role roles/cloudkms.cryptoKeyEncrypterDecrypter
請參閱鏈接Granting permissions to use keys 。
編輯:
您可以使用gcloud
命令通過雲UI
授予權限,也可以通過導航 IAM & Admin → IAM → Select 來授予權限,服務帳戶需要授予角色並通過添加角色編輯權限。 請參閱屏幕截圖以供參考。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.