應用存取點AAP(Application Access Point)是KMS提供的一種身分識別驗證和存取控制機制,當自建應用使用密鑰或憑據時,對其進行身份認證和行為鑒權。本文介紹什麼是應用存取點。
什麼是應用存取點
應用存取點AAP包含兩個關鍵資訊:權限原則和身份憑證。
建議您為每個整合KMS的應用單獨建立應用存取點,以確保存取權限的獨立性。
權限原則
用於設定允許哪些應用使用指定的密鑰和憑據。每個應用存取點可以配置1~3個權限原則。每個權限原則包含如下內容:
RBAC許可權:
允許訪問資源:應用允許訪問的密鑰、憑據。
網路控制規則:設定基於網路來源IP的控制規則,即配置允許哪些來源IP地址訪問。
身份憑證
身份憑證用於對KMS資源訪問者進行身份認證和行為鑒權。支援兩種身份憑證,本文以ClientKey為例進行介紹。
ClientKey:應用與KMS之間通過ClientKey對請求進行數位簽章和驗證。ClientKey包含應用身份憑證內容(ClientKeyContent)和憑證口令(ClientKeyPassword)。
重要KMS不會儲存ClientKey,如果您未儲存或不慎遺失,請刪除後新建立一個ClientKey。
ClientKey的有效期間預設為5年,您也可以在建立ClientKey時指定有效期間,推薦您設定為1年。請務必在到期前更換,以免無法正常訪問KMS。具體操作,請參見更換ClientKey。建議您在更換完成後,在KMS刪除不再使用的ClientKey。
如果ClientKey泄露,請刪除並建立新的ClientKey。每個應用存取點最多可以建立3個ClientKey。
RAMRole:當您應用程式的運行環境是ECS執行個體、ACK叢集或Function Compute並綁定了RAM角色,且需要通過KMS服務Endpoint擷取憑據值時,可使用本方式。KMS將通過存取控制RAM對OpenAPI要求者進行委託認證。
支援使用ClientKey的SDK
應用整合SDK時,請您先瞭解KMS提供的SDK,不同SDK的認證方式不同。關於SDK的詳細介紹,請參見SDK參考。
如下SDK支援使用ClientKey作為認證方式:
KMS執行個體SDK:通過KMS執行個體Endpoint,使用KMS執行個體中的密鑰和憑據。認證方式只支援ClientKey。
憑據SDK:可以通過KMS執行個體Endpoint使用KMS執行個體中的憑據,也可以通過KMS服務Endpoint使用當前阿里雲帳號下的憑據。
說明使用憑據SDK時,如通過KMS服務Endpoint,除ClientKey外還支援使用RAM使用者AccessKey或RAM角色認證方式。
建立應用存取點時,如果權限原則的範圍是指定的KMS執行個體,表示通過KMS執行個體Endpoint使用憑據。如果權限原則的範圍是KMS共用網關,表示通過KMS服務Endpoint使用憑據。
ClientKey到期提醒
ClientKey到期前6個月、3個月、1個月、7天,阿里雲會通過郵件、站內信提醒您。您也可以設定CloudMonitor警示,在ClientKey到期前的180天、90天、30天、7天,阿里雲會為您發送警示通知。詳細內容,請參見警示事件。
日誌與審計
KMS支援和Action Trail整合,記錄應用存取點的管控類操作事件。詳細內容,請參見Key Management Service支援被審計的事件說明、使用Action Trail查詢Key Management Service的操作事件。
KMS支援和Log Service整合,記錄應用存取點中ClientKey的調用情況。您可以在Log Service查看近180天的日誌,在搜尋方塊中直接輸入ClientKey的Key ID值進行全文檢索索引,如果查詢結果顯示存在access_key_id欄位值為ClientKey的Key ID,則說明ClientKey被調用。具體操作,請參見Log Service。
相關文檔
關於如何建立應用存取點,請參見建立應用存取點。
關於應用整合SDK的詳細介紹,請參見SDK參考。
關於KMS執行個體Endpoint和KMS服務Endpoint的詳細介紹,請參見Endpoint說明。
關於QPS的詳細介紹,請參見效能資料。