ClientKey的有效期間可設定為1年~5年,建議您對ClientKey按一年為周期定期更換。如果您的ClientKey即將到期,請您務必及時更換,否則應用將無法正常訪問KMS。本文介紹如何更換ClientKey。
步驟一:建立一個新的ClientKey
登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊。
單擊应用接入頁簽,通過实例ID或者應用存取點名稱篩選,定位到目標應用存取點。
單擊應用存取點名稱,在詳情頁面單擊身份凭证頁簽後,單擊创建凭证。
在创建凭证對話方塊設定Client Key加密口令和有效期。
Client Key加密口令:8~64位,支援數字、英文大小寫、特殊字元
~!@#$%^&*?_-。有效期:預設為5年,建議您設定為1年,以降低ClientKey被泄露的風險。
單擊確定,瀏覽器會自動下載ClientKey。
ClientKey包含應用身份憑證內容(ClientKeyContent)和憑證口令(ClientKeyPassword)。 應用身份憑證內容(ClientKeyContent)檔案名稱預設為
clientKey_****.json。憑證口令(ClientKeyPassword)檔案名稱預設為clientKey_****_Password.txt。
步驟二:更換自建應用中的ClientKey
以KMS執行個體SDK(Java)為例,初始化Client執行個體時,你需要將clientKeyPass替換為新的憑證口令,clientKeyFilePath或clientKey替換為新的應用身份憑證內容。
步驟三:觀察舊ClientKey是否仍有調用
您可以通過觀察舊ClientKey是否仍有調用,判斷ClientKey是否已經全部更換。確認沒有調用後,對於不使用的ClientKey請及時刪除。
擷取舊ClientKey的Key ID。
在左側導覽列單擊安全运营 > 日志服务,選擇您的執行個體ID。
在搜尋方塊中輸入ClientKey的Key ID,查詢舊ClientKey是否仍有調用。
如果仍有調用,說明ClientKey未更換完全,您可以根據
client_ip、useragent等欄位的資訊追溯是哪些應用未替換。
步驟四:刪除舊ClientKey
ClientKey刪除後立即生效,刪除前請確保已不再使用,否則會導致應用無法訪問KMS。
定位到舊ClientKey,單擊操作列的删除。
在彈出的删除Client Key對話方塊中確認無誤後,單擊確定。
完成安全驗證後,KMS會刪除該ClientKey。