當自建應用整合SDK時(KMS執行個體SDK和憑據SDK),需要通過應用存取點AAP中的ClientKey完成身份和許可權驗證。本文介紹如何建立應用存取點。
注意事項
建議您為每個整合KMS的應用單獨建立應用存取點,以確保存取權限的獨立性。
ClientKey的有效期間預設為5年,您可以在建立ClientKey時指定有效期間,推薦您設定為1年。請務必在到期前更換,以免無法正常訪問KMS。具體操作,請參見更換ClientKey。
前提條件
已購買和啟用KMS執行個體。具體操作,請參見購買和啟用KMS執行個體。
通過控制台建立
支援快速建立和標準建立。當您的應用需要快速整合SDK時,可以使用快速建立方式,相比於標準建立該方式有以下限制:
快速建立僅支援通過KMS執行個體Endpoint使用密鑰和憑據,標準建立既支援通過KMS執行個體Endpoint使用密鑰和憑據,也支援通過KMS服務Endpoint使用憑據。
應用存取點中的ClientKey有效期間為5年,不支援自訂有效期間。建議您使用1年後及時更換,具體操作,請參見更換ClientKey。
應用存取點中的權限原則,允許訪問資源預設為指定KMS執行個體中的所有密鑰和憑據。您可以在建立完成後修改權限原則。具體操作,請參見管理應用存取點。
方式一:快速建立
登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊。
在应用接入頁簽,單擊创建应用接入点,在创建应用接入点面板完成各項配置。
配置項
說明
创建模式
選擇快速创建。
作用域(KMS实例)
選擇應用要訪問的KMS執行個體。
应用接入点名称
自訂應用存取點的名稱。
认证方式
預設為ClientKey,不支援修改。
默认权限策略
預設為
key/*secret/*,不支援修改。即應用可以訪問指定KMS執行個體中的所有密鑰和憑據。單擊確定,瀏覽器會自動下載ClientKey。
ClientKey包含應用身份憑證內容(ClientKeyContent)和憑證口令(ClientKeyPassword)。 應用身份憑證內容(ClientKeyContent)檔案名稱預設為
clientKey_****.json。憑證口令(ClientKeyPassword)檔案名稱預設為clientKey_****_Password.txt。
方式二:標準建立
登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊。
建立網路規則。
說明如果您不需要基於來源IP限制訪問,則不需要設定網路規則。但為了更高的安全性,通常建議您合理設定。
單擊网络规则頁簽,然後單擊创建网络规则。
在创建网络规则面板完成各項配置後,單擊確定。
配置項
說明
规则名称
自訂網路規則的名稱。
网络类型
Private:應用通過KMS執行個體Endpoint使用密鑰和憑據。
Public:應用通過KMS服務Endpoint(公網接入地址)使用憑據。
VPC:應用通過KMS服務Endpoint(VPC接入地址)使用憑據。僅華東1(杭州)、華東2(上海)、華南1(深圳)、華北3(張家口)支援該選項。
說明密碼運算操作:僅支援使用KMS執行個體SDK通過KMS執行個體Endpoint訪問。您建立應用存取點時,網路類型請選擇Private。
擷取憑據值:可以使用KMS執行個體SDK,也可以使用憑據SDK。建議您使用憑據SDK,並且應用存取點中網路類型選擇Private,以擷取更高的QPS和更高的安全性。
KMS執行個體SDK:網路類型只能選擇Private,來源IP只能設定為KMS執行個體綁定的VPC中的IP。
憑據SDK:網路類型可以選擇Private、Public、VPC。
允许访问的源IP地址
一般情況下,請填寫您應用伺服器相應網路類型的IP地址。如果使用Proxy 伺服器等,請填寫Proxy 伺服器的IP地址。
網路類型是Private,請填寫KMS執行個體關聯的VPC中的IP。
網路類型是Public,請填寫公網IP地址。
網路類型是VPC,請填寫VPC ID和VPC IP地址。
描述信息
自訂描述資訊。
建立權限原則。
單擊权限策略,然後單擊创建权限策略。
在创建权限策略面板,完成各項配置後,單擊確定。
配置項
說明
权限策略名称
自訂權限原則名稱。
作用域
如果您建立網路規則時,网络类型選擇Private,則此處選擇指定的KMS執行個體,网络类型選擇Public或VPC,則此處選擇KMS共享网关。
RBAC权限
允许访问的资源
勾選應用需要訪問的密鑰和憑據。
重要勾選多個憑據時,如果憑據名稱總長度超限會報“參數非法”錯誤,此時請使用萬用字元配置允許訪問的憑據。
例如,配置為
secret/rds-ibm*,表示允許訪問首碼為rds-ibm的憑據。网络控制规则
選擇您已經建立的網路規則。
說明如果您不需要基於來源IP限制訪問,則不需要選擇網路規則。但為了更高的安全性,通常建議您合理設定。
描述信息
自訂描述資訊。
建立應用存取點AAP。
單擊应用接入頁簽,然後單擊创建应用接入点。
在创建应用接入点面板,完成各項配置後。
配置項
說明
创建模式
選擇标准创建。
应用接入点名称
自訂應用存取點名稱。
认证方式
支援ClientKey和RAMRole。本文以ClientKey為例介紹。
Client Key加密口令
ClientKey的加密口令。8~64位,支援數字、英文大小寫、特殊字元
~!@#$%^&*?_-,且需要包含其中兩種類型。有效期
ClientKey的有效期間。
重要推薦您設定為1年,以降低ClientKey被泄露的風險。請務必在到期前更換,以免無法正常訪問KMS。具體操作,請參見更換ClientKey。
权限策略
選擇您已經建立的權限原則。
描述信息
自訂描述資訊。
單擊確定,瀏覽器會自動下載ClientKey。
ClientKey包含應用身份憑證內容(ClientKeyContent)和憑證口令(ClientKeyPassword)。 應用身份憑證內容(ClientKeyContent)檔案名稱預設為
clientKey_****.json。憑證口令(ClientKeyPassword)檔案名稱預設為clientKey_****_Password.txt。
通過OpenAPI建立
調用CreateNetworkRule介面設定允許訪問KMS的私網IP或私網網段。
調用CreatePolicy介面設定允許應用訪問的密鑰和憑據,並綁定網路控制規則。
調用CreateApplicationAccessPoint介面設定認證方式,並綁定權限原則。
調用CreateClientKey介面設定ClientKey的加密口令、有效期間,並綁定應用存取點。
通過Terraform建立
具體操作,請參見建立應用存取點。
相關操作
當應用存取點的範圍是KMS執行個體時,應用整合SDK時需要配置執行個體CA認證、KMS執行個體網域名稱地址。範圍是KMS共用網關時不需要。
擷取KMS執行個體CA認證
KMS執行個體內建SSL/TLS認證,使用HTTPS協議用於身分識別驗證和加密通訊。KMS執行個體CA認證,用於檢查KMS執行個體SSL/TLS認證的有效性。例如:檢查KMS執行個體SSL/TLS認證是否由對應的CA中心簽發、是否在有效期間內、以及對應的網域名稱是否為KMS執行個體的網域名稱地址(endpoint)。
KMS執行個體僅支援TLS 1.2版本。
在实例管理頁面,單擊获取实例CA证书地區的下载。
在获取实例CA证书對話方塊中選擇執行個體ID,單擊下载並妥善保管。
CA認證下載後檔案名稱預設為PrivateKmsCA_kst-******.pem。
擷取KMS執行個體網域名稱地址
在实例管理頁面,單擊软件密钥管理或硬件密钥管理頁簽後,選擇目標KMS執行個體。
單擊執行個體ID進入到詳情頁,查看实例VPC地址。
將实例VPC地址中的
https://去掉,即KMS執行個體網域名稱地址(也稱為KMS執行個體Endpoint)。
相關文檔
對於長期不使用的應用存取點,建議您及時刪除。具體操作,請參見管理應用存取點。
對於使用超過1年的ClientKey,建議及時更換。具體操作,請參見更換ClientKey。
KMS會在ClientKey即將到期時發送警示事件,請您務必關注和及時處理。詳細內容,請參見警示事件。