當自建應用部署在同一地區但分布在多個VPC時,您可以在其中一個VPC內購買KMS執行個體,並將其他VPC綁定到該KMS執行個體,實現多個VPC的應用使用同一個KMS執行個體。本文介紹如何配置同地區下多個VPC內的應用訪問KMS執行個體。
功能介紹
配置完成後,VPC中的應用即可通過KMS執行個體Endpoint,使用該KMS執行個體中的密鑰或憑據。具體請參見下圖。
注意事項
要綁定的VPC和KMS執行個體必須在同一個地區。
要綁定的VPC和KMS執行個體可以屬於同一個阿里雲帳號,也可以屬於不同阿里雲帳號。
如果屬於不同的阿里雲帳號,您需要先配置資源共用,將VPC內的任一交換器資源共用給KMS執行個體所屬的阿里雲帳號,實現VPC間網路互連。
綁定VPC時需要選擇一個交換器,請確保交換器下至少有一個可用IP。
在該VPC,KMS執行個體Endpoint的網域名稱將被解析至該IP地址。
KMS執行個體每綁定一個VPC,就消耗一個访问管理总量配額。如何提升配額,請參見升級KMS執行個體。
說明访问管理总量包含執行個體關聯的VPC數量以及共用KMS時資源使用者的數量。例如,您的KMS執行個體需要關聯3個VPC,並共用給2個資源使用者,那麼訪問管理數量配額最少為5才能滿足業務需求。
前提條件
已購買和啟用KMS執行個體。具體操作,請參見購買和啟用KMS執行個體。
如果要綁定的VPC與KMS執行個體屬於不同阿里雲帳號,請將VPC內的任一交換器資源,共用給KMS執行個體所屬的阿里雲帳號。具體操作,請參見開啟VPC共用。
操作步驟
通過控制台配置
登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊。
在实例管理頁面,單擊對應的執行個體頁簽。
定位到目標KMS執行個體,單擊操作列的详情,在頁面最下方單擊多VPC頁簽。
單擊配置VPC,在配置专有网络面板,選中待选专有网络中的VPC,單擊
表徵圖。在请选择需要绑定VPC的交换机對話方塊中,為每個VPC選擇一個交換器,單擊確定。
重要可以選擇任一交換器,不限制是否為您的應用綁定的交換器,但請確保該交換器下至少有一個可用IP。
在配置专有网络頁面,單擊確定。
通過OpenAPI配置
通過Terraform配置
具體操作,請參見購買並啟用軟體密鑰管理執行個體。
後續操作
在KMS執行個體中建立應用存取點(AAP),並在AAP中建立Client Key,應用通過Client Key訪問KMS執行個體。具體操作,請參見建立應用存取點。
說明建議您為每個應用單獨建立應用存取點,確保應用的存取權限的獨立性。
應用通過SDK使用KMS執行個體的密鑰或憑據。
使用密鑰:僅支援通過KMS執行個體SDK。
使用憑據:KMS提供了KMS執行個體SDK、憑據用戶端、憑據JDBC用戶端、RAM憑據外掛程式。如何選擇合適的SDK,請參見SDK參考。