全部产品
Search

搜索本产品

    密钥管理服务:管理应用接入点

    文档中心

    密钥管理服务:管理应用接入点

    更新时间:Nov 24, 2023

    您可以创建应用接入点AAP(Application Access Point),控制应用程序如何使用凭据。

    说明

    本文仅适用于旧版本用户,如果您购买的是KMS 3.0产品,应用如何接入KMS,请参见SDK参考

    创建应用接入点

    1. 登录密钥管理服务控制台

    2. 在页面左上角的地域下拉列表,选择应用接入点所在的地域。

    3. 在左侧导航栏,单击应用管理

    4. 单击创建应用接入点

    5. 创建应用接入点对话框,设置基本信息。

      1. 输入名称描述信息

        说明

        应用接入点名称在阿里云账号下的当前地域内唯一。

      2. 认证方式区域,选择认证方式。

        认证方式

        说明

        示例

        RAMRole

        如果您为应用程序的运行环境(例如:ECS实例、ACK集群、函数计算)绑定了RAM角色,可以使用RAMRole的认证方式。此时需指定以下信息:

        • 委托信任:对应用程序进行身份认证时,KMS会校验RAM角色的委托信任规则。您可以指定绑定的RAM角色类型,自动配置委托信任规则。

          取值:

          • ECS实例角色:应用部署在ECS实例。

          • ACK Worker角色:应用部署在ACK集群。

          • 函数计算角色:应用部署在函数计算。

        • 角色名称:绑定的RAM角色名称。

        • 委托信任:ECS实例角色

        • 角色名称:ECSRole

        Client Key

        您可以使用Client Key的认证方式,为AAP绑定客户端证书。AAP使用证书的公钥,对应用程序进行身份认证。

        选择该方式时,您需要在AAP创建完成后,绑定Client Key。具体操作,请参见为AAP绑定Client Key

        -

      3. 单击下一步

    6. 设置权限策略。

      1. 单击可选策略右侧的加号图标。

      2. 创建权限策略对话框,设置以下参数,然后单击创建

        参数名称

        参数说明

        示例

        权限策略名称

        权限策略的名称。

        RAMPolicy

        作用域

        权限策略的适用范围。

        取值:

        • 共享KMS:权限策略适用于KMS。

        • 专属KMS实例ID:权限策略适用于指定的专属KMS实例。

        共享KMS

        RBAC权限

        权限管理模板,表示权限策略对具体资源的操作。

        取值:

        • SecretUser:对KMS进行凭据相关操作,可操作的接口为GetSecretValue。

        • CryptoServiceKeyUser:对专属KMS实例进行密码运算操作。

        SecretUser

        允许访问资源

        权限策略被授权的具体对象。可以通过以下两种方法设置:

        • 方法一:在可选资源区域,选择已有资源,然后单击箭头图标。

        • 方法二:在已选资源区域,单击加号图标,然后手动输入资源,最后单击添加

          说明

          资源支持通配符(*)作为后缀。

        secret/dataKey****

        网络控制规则

        权限策略允许访问的网络类型和IP地址。

        您可以在可选规则区域,选择已有规则,或者按照以下步骤创建并添加新规则。

        1. 单击加号图标。

        2. 创建网络访问规则对话框,设置以下参数:

          • 名称:网络访问规则的名称。

          • 网络类型:应用访问KMS的网络类型。

            取值:

            • Public:适用于应用程序访问KMS的公网Endpoint。

            • VPC:适用于应用程序访问KMS的VPC Endpoint。

            • Private:适用于应用程序访问部署到VPC内的专属服务。

          • 描述信息:网络访问规则的详细信息。

          • 允许地址:允许应用程序访问的网络地址。

            取值:

            • 当网络类型为Public时:公网IP地址。

            • 当网络类型为VPC时:VPC ID,以及VPC内的IP地址或者网段。

            • 当网络类型为Private时:私网IP地址或者网段。

            说明

            多个IP地址间用半角逗号(,)分隔。

        3. 单击创建

        4. 选择已有规则,然后单击箭头图标。

        • 名称:Network

        • 网络类型:VPC

        • 描述信息:访问指定的VPC

        • VPC ID:vpc-bp1drih00fwsrgz2p****

        • 来源IP:192.168.0.0/16

      3. 选择已有策略,然后单击箭头图标。

      4. 单击下一步

    7. 检查应用接入点信息,然后单击创建

    为AAP绑定Client Key

    认证方式为Client Key的AAP创建完成后,您可以为其绑定用于身份认证的Client Key。

    1. 单击应用接入点名称。

    2. Client Key区域,单击创建Client Key

    3. 创建Client Key对话框,设置以下参数。

      认证方式

      说明

      示例

      Client Key加密口令

      在您使用Client Key访问KMS时需要使用该口令对Client Key私钥文件进行解密,请妥善保管。

      Test****

      有效期

      有效期时间范围外使用Client Key会访问失败。

      2022年4月3日-2027年3月4日

    4. 单击确定

    5. 创建成功对话框,获取口令Client Key

      • 口令:单击Client Key解密口令右侧的复制,获取口令。

      • Client Key:单击下载Client Key,获取Client Key的凭证信息。

        凭证信息包含Key ID和私钥(PrivateKeyData),示例如下:

        {
  "KeyId": "KAAP.71be72c8-73b9-44e0-bb75-81ee51b4****",
  "PrivateKeyData": "MIIJwwIBAz****ICNXX/pOw=="
}
        说明

        KMS不会保存Client Key的私钥,因此您只能在创建Client Key时获取到加密的PKCS12文件(私钥文件),请妥善保管。