IAM-роли
Для управления доступом к ключам в сервисе Key Management Service можно использовать:
При назначении ролей рекомендуется придерживаться принципа минимальных привилегий.
Сервисные роли
kms.cryptoKey.viewer
Роль kms.cryptoKey.viewer позволяет получать список криптографических ключей и детальную информацию о каждом ключе.
kms.cryptoKey.user
Роль kms.cryptoKey.user позволяет шифровать данные и получать информацию о криптографических ключах.
С этой ролью вы можете:
- получать список криптографических ключей и детальную информацию о каждом ключе;
- генерировать Data Encryption Key;
- выполнять операции зашифрования и расшифрования.
Роль включает все разрешения для роли kms.cryptoKey.viewer.
kms.cryptoKey.editor
Роль kms.cryptoKey.editor позволяет получать информацию о криптографических ключах и управлять ими, а также шифровать данные.
С этой ролью вы можете:
- получать список криптографических ключей и детальную информацию о каждом ключе;
- генерировать Data Encryption Key;
- выполнять операции зашифрования и расшифрования;
- создавать и удалять ключи, редактировать параметры ключей.
Роль включает все разрешения для ролей kms.cryptoKey.viewer и kms.cryptoKey.user.
kms.cryptoKey.admin
Роль kms.cryptoKey.admin позволяет управлять криптографическими ключами и доступом к ним, а также шифровать данные.
С этой ролью вы можете:
- получать список криптографических ключей и детальную информацию о каждом ключе;
- генерировать Data Encryption Key;
- выполнять операции зашифрования и расшифрования;
- создавать и удалять ключи, редактировать параметры ключей;
- управлять доступами (назначать IAM-роли).
Роль включает все разрешения для ролей kms.cryptoKey.editor, kms.cryptoKey.user, kms.cryptoKey.viewer.