全部產品
Search
文件中心

Key Management Service:管理應用存取點

更新時間:Jul 06, 2024

您可以建立應用存取點AAP(Application Access Point),控制應用程式如何使用憑據。

說明

本文僅適用於舊版本使用者,如果您購買的是KMS 3.0產品,應用如何接入KMS,請參見SDK參考

建立應用存取點

  1. 登入Key Management Service控制台

  2. 在頁面左上方的地區下拉式清單,選擇應用存取點所在的地區。

  3. 在左側導覽列,單擊應用管理

  4. 單擊建立應用存取點

  5. 建立應用存取點對話方塊,設定基本資料。

    1. 輸入名稱描述資訊

      說明

      應用存取點名稱在阿里雲帳號下的當前地區內唯一。

    2. 認證方式地區,選擇認證方式。

      認證方式

      說明

      樣本

      RAMRole

      如果您為應用程式的運行環境(例如:ECS執行個體、ACK叢集、Function Compute)綁定了RAM角色,可以使用RAMRole的認證方式。此時需指定以下資訊:

      • 委託信任:對應用程式進行身份認證時,KMS會校正RAM角色的委託信任規則。您可以指定綁定的RAM角色類型,自動設定委託信任規則。

        取值:

        • ECS執行個體角色:應用部署在ECS執行個體。

        • ACK Worker角色:應用部署在ACK叢集。

        • Function Compute角色:應用部署在Function Compute。

      • 角色名稱:綁定的RAM角色名稱。

      • 委託信任:ECS執行個體角色

      • 角色名稱:ECSRole

      Client Key

      您可以使用Client Key的認證方式,為AAP綁定用戶端認證。AAP使用認證的公開金鑰,對應用程式進行身份認證。

      選擇該方式時,您需要在AAP建立完成後,綁定Client Key。具體操作,請參見為AAP綁定Client Key

      -

    3. 單擊下一步

  6. 設定權限原則。

    1. 單擊可選策略右側的加號表徵圖。

    2. 建立權限原則對話方塊,設定以下參數,然後單擊建立

      參數名稱

      參數說明

      樣本

      權限原則名稱

      權限原則的名稱。

      RAMPolicy

      範圍

      權限原則的適用範圍。

      取值:

      • 共用KMS:權限原則適用於KMS。

      • 專屬KMS執行個體ID:權限原則適用於指定的專屬KMS執行個體。

      共用KMS

      RBAC許可權

      許可權系統管理範本,表示權限原則對具體資源的操作。

      取值:

      • SecretUser:對KMS進行憑據相關操作,可操作的介面為GetSecretValue。

      • CryptoServiceKeyUser:對專屬KMS執行個體進行密碼運算操作。

      SecretUser

      允許訪問資源

      權限原則被授權的具體對象。可以通過以下兩種方法設定:

      • 方法一:在可選資源地區,選擇已有資源,然後單擊箭頭表徵圖。

      • 方法二:在已選資來源區域,單擊加號表徵圖,然後手動輸入資源,最後單擊添加

        說明

        資源支援萬用字元(*)作為尾碼。

      secret/dataKey****

      網路控制規則

      權限原則允許訪問的網路類型和IP地址。

      您可以在可選規則地區,選擇已有規則,或者按照以下步驟建立並添加新規則。

      1. 單擊加號表徵圖。

      2. 建立網路訪問規則對話方塊,設定以下參數:

        • 名稱:網路訪問規則的名稱。

        • 網路類型:應用訪問KMS的網路類型。

          取值:

          • Public:適用於應用程式訪問KMS的公網Endpoint。

          • VPC:適用於應用程式訪問KMS的VPC Endpoint。

          • Private:適用於應用程式訪問部署到VPC內的專屬服務。

        • 描述資訊:網路訪問規則的詳細資料。

        • 允許地址:允許應用程式訪問的網路地址。

          取值:

          • 當網路類型為Public時:公網IP地址。

          • 當網路類型為VPC時:VPC ID,以及VPC內的IP地址或者網段。

          • 當網路類型為Private時:私網IP地址或者網段。

          說明

          多個IP地址間用半形逗號(,)分隔。

      3. 單擊建立

      4. 選擇已有規則,然後單擊箭頭表徵圖。

      • 名稱:Network

      • 網路類型:VPC

      • 描述資訊:訪問指定的VPC

      • VPC ID:vpc-bp1drih00fwsrgz2p****

      • 來源IP:192.168.0.0/16

    3. 選擇已有策略,然後單擊箭頭表徵圖。

    4. 單擊下一步

  7. 檢查應用存取點資訊,然後單擊建立

為AAP綁定Client Key

認證方式為Client Key的AAP建立完成後,您可以為其綁定用於身份認證的Client Key。

  1. 單擊應用存取點名稱。

  2. Client Key地區,單擊建立Client Key

  3. 建立Client Key對話方塊,設定以下參數。

    認證方式

    說明

    樣本

    Client Key加密口令

    在您使用Client Key訪問KMS時需要使用該口令對Client Key私密金鑰檔案進行解密,請妥善保管。

    Test****

    有效期間

    有效期間時間範圍外使用Client Key會訪問失敗。

    2022年4月3日-2027年3月4日

  4. 單擊確定

  5. 建立成功對話方塊,擷取口令Client Key

    • 口令:單擊Client Key解密口令右側的複製,擷取口令。

    • Client Key:單擊下載Client Key,擷取Client Key的憑證資訊。

      憑證資訊包含Key ID和私密金鑰(PrivateKeyData),樣本如下:

      {
        "KeyId": "KAAP.71be72c8-73b9-44e0-bb75-81ee51b4****",
        "PrivateKeyData": "MIIJwwIBAz****ICNXX/pOw=="
      }
      說明

      KMS不會儲存Client Key的私密金鑰,因此您只能在建立Client Key時擷取到加密的PKCS12檔案(私密金鑰檔案),請妥善保管。