全部產品
Search
文件中心

Key Management Service:同地區多VPC訪問KMS執行個體

更新時間:Dec 27, 2024

當自建應用部署在同一地區但分布在多個VPC時,您可以在其中一個VPC內購買KMS執行個體,並將其他VPC綁定到該KMS執行個體,實現多個VPC的應用使用同一個KMS執行個體。本文介紹如何配置同地區下多個VPC內的應用訪問KMS執行個體。

功能介紹

配置完成後,VPC中的應用即可通過KMS執行個體Endpoint,使用該KMS執行個體中的密鑰或憑據。具體請參見下圖。image.png

注意事項

  • 要綁定的VPC和KMS執行個體必須在同一個地區。

  • 要綁定的VPC和KMS執行個體可以屬於同一個阿里雲帳號,也可以屬於不同阿里雲帳號。

    如果屬於不同的阿里雲帳號,您需要先配置資源共用,將VPC內的任一交換器資源共用給KMS執行個體所屬的阿里雲帳號,實現VPC間網路互連。

  • 綁定VPC時需要選擇一個交換器,請確保交換器下至少有一個可用IP。

    在該VPC,KMS執行個體Endpoint的網域名稱將被解析至該IP地址。

  • KMS執行個體每綁定一個VPC,就消耗一個访问管理总量配額。如何提升配額,請參見升級KMS執行個體

    說明

    访问管理总量包含執行個體關聯的VPC數量以及共用KMS時資源使用者的數量。例如,您的KMS執行個體需要關聯3個VPC,並共用給2個資源使用者,那麼訪問管理數量配額最少為5才能滿足業務需求。

前提條件

  • 已購買和啟用KMS執行個體。具體操作,請參見購買和啟用KMS執行個體

  • 如果要綁定的VPC與KMS執行個體屬於不同阿里雲帳號,請將VPC內的任一交換器資源,共用給KMS執行個體所屬的阿里雲帳號。具體操作,請參見開啟VPC共用

操作步驟

通過控制台配置

  1. 登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊资源 > 实例管理

  2. 实例管理頁面,單擊對應的執行個體頁簽。

  3. 定位到目標KMS執行個體,單擊操作列的详情,在頁面最下方單擊多VPC頁簽。

  4. 單擊配置VPC,在配置专有网络面板,選中待选专有网络中的VPC,單擊左箭頭表徵圖。

  5. 请选择需要绑定VPC的交换机對話方塊中,為每個VPC選擇一個交換器,單擊確定

    重要

    可以選擇任一交換器,不限制是否為您的應用綁定的交換器,但請確保該交換器下至少有一個可用IP。

  6. 配置专有网络頁面,單擊確定

通過OpenAPI配置

調用UpdateKmsInstanceBindVpc介面。

通過Terraform配置

具體操作,請參見購買並啟用軟體密鑰管理執行個體

後續操作

  1. 在KMS執行個體中建立應用存取點(AAP),並在AAP中建立Client Key,應用通過Client Key訪問KMS執行個體。具體操作,請參見建立應用存取點

    說明

    建議您為每個應用單獨建立應用存取點,確保應用的存取權限的獨立性。

  2. 應用通過SDK使用KMS執行個體的密鑰或憑據。