アプリケーションアクセスポイント (AAP) を作成して、アプリケーションでのシークレットの使用方法を制御できます。
このトピックは、古いバージョンのKey Management Service (KMS) のユーザーにのみ適用されます。 KMS 3.0を使用する場合は、「SDKリファレンス」をご参照ください。
AAPの作成
KMSコンソールにログインします。
上部のナビゲーションバーで、AAPを作成するリージョンを選択します。
左側のナビゲーションウィンドウで、[アプリケーション] をクリックします。
アプリケーションアクセスポイントの作成をクリックします。
アプリケーションアクセスポイントの作成ダイアログボックスで、基本的なAAP情報を設定します。
名前と説明を設定します。
説明AAPの名前は、Alibaba Cloudアカウント内の選択したリージョンで一意である必要があります。
認証方法セクションで、认证方法を指定します。
認証方法
説明
例
ラムロール
アプリケーションが実行されている環境にRAMロールをバインドする場合は、RAMRole認証方法を使用できます。 アプリケーションは、ECS (Elastic Compute Service) インスタンス、Container Service for Kubernetes (ACK) クラスター、またはFunction Computeで実行できます。 この場合、次のパラメーターを設定する必要があります。
信頼できるロール: KMSは、RAMロールの委任された信頼ルールを検証して、アプリケーションを認証します。 このパラメーターを設定して、RAMロールのタイプを指定できます。 その後、システムはRAMロールのタイプに基づいて委任された信頼ルールを自動的に構成します。
有効な値:
ECSインスタンスの役割: アプリケーションがECSインスタンスにデプロイされている場合、この値を選択します。
ACKワーカーの役割: アプリケーションがACKクラスターにデプロイされている場合は、この値を選択します。
Function Computeの役割: アプリケーションがFunction Computeにデプロイされている場合、この値を選択します。
ロール名: RAMロールの名前を入力する必要があります。
信頼できるロール: ECSインスタンスのロール
ロール名: ECSRole
クライアントキー
ClientKey認証メソッドを使用して、クライアントキーをAAPにバインドできます。 KMSはクライアントキーを使用してアプリケーションを認証します。
この方法を使用する場合は、AAPの作成後にクライアントキーをAAPにバインドする必要があります。 詳細については、「クライアントキーをAAPにバインドする」をご参照ください。
-
次へをクリックします。
権限ポリシーを設定します。
ポリシーの右でアイコン
をクリックします。RBACポリシーダイアログボックスでパラメーターを設定し、作成をクリックします。
パラメーター
説明
例
ポリシー名
権限ポリシーの名前。
RAMPolicy
スコープ
権限ポリシーのスコープ。
有効な値:
共有KMS: 権限ポリシーはKMSに適用されます。
専用KMSインスタンスのID: 権限ポリシーは、指定された専用KMSインスタンスに適用されます。
共有KMS
RBAC権限
権限管理テンプレート。 テンプレートは、特定のリソースに対して実行できる操作を指定します。
有効な値:
SecretUser: KMSでシークレット関連の操作を実行します。 GetSecretValue操作を呼び出すことができます。
CryptoServiceKeyUser: 専用KMSインスタンスで暗号化操作を実行します。
SecretUser
アクセス可能なリソース
権限ポリシーが有効になるリソース。 次のいずれかの方法でリソースを設定できます。
方法1: [リソース] セクションで、既存のリソースを選択し、
アイコンをクリックします。 方法2: [選択したリソース] セクションで、
アイコンをクリックしてリソースを入力し、[追加] をクリックします。 説明アスタリスク (*) ワイルドカード文字をサフィックスとして使用できます。
secret/dataKey ****
ネットワークアクセス規則
権限ポリシーに基づいてKMSにアクセスできるネットワークタイプとIPアドレス。
[使用可能なルール] セクションで、既存のルールを選択するか、次の手順を実行してルールを作成します。
アイコンをクリックし
ます。 [ネットワークアクセスルールの作成] ダイアログボックスで、次のパラメーターを設定します。
名前: ネットワークアクセスルールの名前を指定します。
ネットワークタイプ: KMSへのアクセスに使用するネットワークのタイプを選択します。
有効な値:
パブリック: アプリケーションがパブリックエンドポイントを使用してKMSインスタンスにアクセスする場合、この値を選択します。
VPC: アプリケーションが仮想プライベートクラウド (VPC) アドレスを使用してKMSインスタンスにアクセスする場合、この値を選択します。
プライベート: アプリケーションがVPC経由で専用KMSにアクセスする場合、この値を選択します。
説明: ネットワークアクセスルールの説明を入力します。
許可されたIPアドレス: KMSにアクセスできるアドレスを入力します。
有効な値:
ネットワークタイプをパブリックに設定した場合、パブリックIPアドレスを入力します。
ネットワークタイプをVPCに設定した場合、VPCのIDとVPCのIPアドレスまたはCIDRブロックを入力します。
ネットワークタイプをプライベートに設定する場合は、プライベートIPアドレスまたはCIDRブロックを入力します。
説明複数の IP アドレスはカンマ (,) で区切ります。
[作成] をクリックします。
ルールを選択し、アイコンをクリックし
ます。
名前: ネットワーク
ネットワークタイプ: VPC
説明: 指定されたVPCにアクセスする
VPC ID: vpc-bp1drih00fwsrgz2p ****
許可されたIPアドレス: 192.168.0.0/16
権限ポリシーを選択し、
アイコンが表示されます。 次へをクリックします。
情報を確認して、作成をクリックします。
クライアントキーをAAPにバインドする
クライアントキーベースのAAPを作成したら、クライアントキーをAAPにバインドする必要があります。 クライアントキーは、AAPを識別するために使用される。
AAPの名前をクリックします。
クライアントキーセクションで、クライアントキーの作成をクリックします。
クライアントキーの作成ダイアログボックスで、パラメーターを設定します。
パラメーター
説明
例
暗号化パスワード
クライアント鍵を使用してKMSにアクセスするときに、クライアント鍵の秘密鍵ファイルを復号化するために使用されるパスワード。 パスワードを秘密にしてください。
テスト ****
購入期間
クライアントキーの有効期間。
2022年4月3日から2027年3月4日まで
OKをクリックします。
作成済みダイアログボックスで、パスワードとクライアントキーのコンテンツを取得します。
パスワード: [暗号化パスワード] の右側にある [コピー] をクリックしてパスワードを取得します。
クライアントキー: [クライアントキーのダウンロード] をクリックして、クライアントキーの内容を取得します。
クライアント鍵は、秘密鍵 (PrivateKeyData) の鍵ID (keyID) で構成される。 例:
{ "KeyId": "KAAP.71be72c8-73b9-44e0-bb75-81ee51b4****", "PrivateKeyData": "MIIJwwIBAz****ICNXX/pOw==" }説明KMSは、クライアント鍵の秘密鍵を保存しません。 秘密鍵は、暗号化されたPKCS#12ファイルに格納される。 クライアントキーを作成する場合にのみ、ファイルを取得できます。 ファイルの機密を保持します。