全部產品
Search

搜尋本產品

    Key Management Service:管理應用存取點

    文件中心

    Key Management Service:管理應用存取點

    更新時間:Jul 06, 2024

    當您為專屬KMS執行個體建立應用存取點後,應用存取點權限原則範圍會顯示專屬KMS。您可以根據需要更新應用存取點、刪除應用存取點或者刪除Client Key。

    建立應用存取點

    當專屬KMS執行個體處於已啟用狀態時,您可以為執行個體快速建立應用存取點(AAP)和應用身份憑證(Client Key),以便應用程式正常訪問專屬KMS。

    1. 登入Key Management Service控制台

    2. 在頁面左上方的地區下拉式清單,選擇專屬KMS執行個體所在的地區。

    3. 在左側導覽列,單擊專屬KMS

    4. 專屬KMS頁面,找到目標專屬KMS執行個體,在操作列單擊詳情
    5. 應用接入指南地區,單擊快速建立應用存取點
    6. 快速配置應用身份憑證和許可權面板,設定應用存取點資訊。
      1. 輸入應用存取點名稱
      2. 設定存取控制策略
        • 允許訪問資源:預設填寫Key/*,表示允許訪問當前專屬KMS執行個體的全部密鑰。
        • 允許網路來源:允許訪問的網路類型和IP地址。您可以設定私網IP地址或者私網網段,多個IP地址之間用半形逗號(,)分隔。
      3. 單擊建立
    7. 應用身份憑證對話方塊,擷取憑證口令應用身份憑證內容(Client Key)。
      • 憑證口令:單擊複製口令,擷取憑證口令。
      • 應用身份憑證內容:單擊下載應用身份憑證,儲存應用身份憑證資訊。

        應用身份憑證資訊包含憑證ID(KeyId)和憑證內容(PrivateKeyData),樣本如下:

        {
  "KeyId": "KAAP.71be72c8-73b9-44e0-bb75-81ee51b4****",
  "PrivateKeyData": "MIIJwwIBAz****ICNXX/pOw=="
}
        說明 專屬KMS不會儲存Client Key的憑證內容,因此您只能在建立Client Key時擷取到加密的PKCS12檔案(憑證內容),請妥善保管。
    8. 單擊關閉
      應用存取點建立成功後,您可以在左側導覽列單擊應用管理查看應用存取點資訊,包括認證方式、權限原則、網路控制規則、Client Key等。
    9. 應用接入指南地區,單擊擷取執行個體CA認證下方的下載,下載.pem格式的CA認證檔案。

    更新應用存取點

    您可以根據需要更新應用存取點的權限原則,更新應用使用專屬KMS執行個體的許可權,從而實現不同應用擁有不同執行個體存取權限的目的。

    1. 登入Key Management Service控制台

    2. 在頁面左上方的地區下拉式清單,選擇應用存取點所在的地區。

    3. 在左側導覽列,單擊應用管理

    4. 找到目標應用存取點名稱,然後單擊右上方的更新
    5. 更新應用存取點對話方塊,更新權限原則。
      1. 單擊可選策略右側的加號表徵圖。
      2. 建立權限原則對話方塊,配置以下參數,然後單擊建立
        配置項說明
        權限原則名稱權限原則的名稱。
        範圍權限原則的適用範圍。

        選擇專屬KMS執行個體的服務ID。

        RBAC許可權許可權系統管理範本,表示權限原則對具體資源的操作。

        選擇CryptoServiceKeyUser。

        允許訪問資源權限原則被授權的具體對象。可以通過以下兩種方法設定:
        • 方法一:在可選資源地區,選擇已有資源,然後單擊箭頭表徵圖。
        • 方法二:在已選資來源區域,單擊加號表徵圖,然後手動輸入資源,最後單擊添加
          說明 資源支援萬用字元(*)作為尾碼。
        網路控制規則權限原則允許訪問的網路類型和IP地址。

        您可以在可選規則地區,選擇已有規則,或者按照以下步驟建立並添加新規則。

        1. 單擊加號表徵圖。
        2. 建立網路訪問規則對話方塊,設定以下參數:
          • 名稱:網路訪問規則的名稱。
          • 網路類型:應用訪問KMS的網路類型。

            選擇Private,適用於應用程式訪問部署到VPC內的專屬服務。

          • 描述資訊:網路訪問規則的詳細資料。
          • 允許私網地址:允許應用程式訪問的網路地址。

            您可以設定私網IP地址或者網段,多個IP地址之間用半形逗號(,)間隔。

        3. 單擊建立
        4. 選擇已有規則,然後單擊箭頭表徵圖。
      3. 選擇已有策略,然後單擊箭頭表徵圖。
    6. 輸入描述資訊,然後單擊更新

    刪除應用存取點

    刪除應用存取點將同步刪除應用存取點綁定的所有Client Key。

    警告 刪除應用存取點前,請確認該應用存取點已不再使用,否則會導致您的業務不可用。

    1. 登入Key Management Service控制台

    2. 在頁面左上方的地區下拉式清單,選擇應用存取點所在的地區。

    3. 在左側導覽列,單擊應用管理

    4. 單擊目標應用存取點操作列的刪除
    5. 刪除應用存取點對話方塊,單擊確定

    刪除Client Key

    Client Key是應用存取點用於身份認證的憑證,其憑證內容需要在首次建立時妥善儲存。如果您忘記了Client Key的憑證內容,可以刪除該Client Key,然後建立一個新的Client Key。

    警告 刪除Client Key前,請確認該Client Key已不再使用,否則會導致您的業務不可用。

    1. 登入Key Management Service控制台

    2. 在頁面左上方的地區下拉式清單,選擇應用存取點所在的地區。

    3. 在左側導覽列,單擊應用管理

    4. 單擊應用存取點名稱。
    5. Client Key地區,單擊目標Client Key操作列的刪除
    6. 刪除Client Key對話方塊,單擊確定