您可以建立應用存取點AAP(Application Access Point),控制應用程式如何使用憑據。
本文僅適用於舊版本使用者,如果您購買的是KMS 3.0產品,應用如何接入KMS,請參見SDK參考。
建立應用存取點
在頁面左上方的地區下拉式清單,選擇應用存取點所在的地區。
在左側導覽列,單擊應用管理。
單擊建立應用存取點。
在建立應用存取點對話方塊,設定基本資料。
輸入名稱和描述資訊。
說明應用存取點名稱在阿里雲帳號下的當前地區內唯一。
在認證方式地區,選擇認證方式。
認證方式
說明
樣本
RAMRole
如果您為應用程式的運行環境(例如:ECS執行個體、ACK叢集、Function Compute)綁定了RAM角色,可以使用RAMRole的認證方式。此時需指定以下資訊:
委託信任:對應用程式進行身份認證時,KMS會校正RAM角色的委託信任規則。您可以指定綁定的RAM角色類型,自動設定委託信任規則。
取值:
ECS執行個體角色:應用部署在ECS執行個體。
ACK Worker角色:應用部署在ACK叢集。
Function Compute角色:應用部署在Function Compute。
角色名稱:綁定的RAM角色名稱。
委託信任:ECS執行個體角色
角色名稱:ECSRole
Client Key
您可以使用Client Key的認證方式,為AAP綁定用戶端認證。AAP使用認證的公開金鑰,對應用程式進行身份認證。
選擇該方式時,您需要在AAP建立完成後,綁定Client Key。具體操作,請參見為AAP綁定Client Key。
-
單擊下一步。
設定權限原則。
單擊可選策略右側的表徵圖。
在建立權限原則對話方塊,設定以下參數,然後單擊建立。
參數名稱
參數說明
樣本
權限原則名稱
權限原則的名稱。
RAMPolicy
範圍
權限原則的適用範圍。
取值:
共用KMS:權限原則適用於KMS。
專屬KMS執行個體ID:權限原則適用於指定的專屬KMS執行個體。
共用KMS
RBAC許可權
許可權系統管理範本,表示權限原則對具體資源的操作。
取值:
SecretUser:對KMS進行憑據相關操作,可操作的介面為GetSecretValue。
CryptoServiceKeyUser:對專屬KMS執行個體進行密碼運算操作。
SecretUser
允許訪問資源
權限原則被授權的具體對象。可以通過以下兩種方法設定:
方法一:在可選資源地區,選擇已有資源,然後單擊表徵圖。
方法二:在已選資來源區域,單擊表徵圖,然後手動輸入資源,最後單擊添加。
說明資源支援萬用字元(*)作為尾碼。
secret/dataKey****
網路控制規則
權限原則允許訪問的網路類型和IP地址。
您可以在可選規則地區,選擇已有規則,或者按照以下步驟建立並添加新規則。
單擊表徵圖。
在建立網路訪問規則對話方塊,設定以下參數:
名稱:網路訪問規則的名稱。
網路類型:應用訪問KMS的網路類型。
取值:
Public:適用於應用程式訪問KMS的公網Endpoint。
VPC:適用於應用程式訪問KMS的VPC Endpoint。
Private:適用於應用程式訪問部署到VPC內的專屬服務。
描述資訊:網路訪問規則的詳細資料。
允許地址:允許應用程式訪問的網路地址。
取值:
當網路類型為Public時:公網IP地址。
當網路類型為VPC時:VPC ID,以及VPC內的IP地址或者網段。
當網路類型為Private時:私網IP地址或者網段。
說明多個IP地址間用半形逗號(,)分隔。
單擊建立。
選擇已有規則,然後單擊表徵圖。
名稱:Network
網路類型:VPC
描述資訊:訪問指定的VPC
VPC ID:vpc-bp1drih00fwsrgz2p****
來源IP:192.168.0.0/16
選擇已有策略,然後單擊表徵圖。
單擊下一步。
檢查應用存取點資訊,然後單擊建立。
為AAP綁定Client Key
認證方式為Client Key的AAP建立完成後,您可以為其綁定用於身份認證的Client Key。
單擊應用存取點名稱。
在Client Key地區,單擊建立Client Key。
在建立Client Key對話方塊,設定以下參數。
認證方式
說明
樣本
Client Key加密口令
在您使用Client Key訪問KMS時需要使用該口令對Client Key私密金鑰檔案進行解密,請妥善保管。
Test****
有效期間
有效期間時間範圍外使用Client Key會訪問失敗。
2022年4月3日-2027年3月4日
單擊確定。
在建立成功對話方塊,擷取口令和Client Key。
口令:單擊Client Key解密口令右側的複製,擷取口令。
Client Key:單擊下載Client Key,擷取Client Key的憑證資訊。
憑證資訊包含Key ID和私密金鑰(PrivateKeyData),樣本如下:
{ "KeyId": "KAAP.71be72c8-73b9-44e0-bb75-81ee51b4****", "PrivateKeyData": "MIIJwwIBAz****ICNXX/pOw==" }
說明KMS不會儲存Client Key的私密金鑰,因此您只能在建立Client Key時擷取到加密的PKCS12檔案(私密金鑰檔案),請妥善保管。