本文介绍如何管理应用接入点、权限策略、网络规则以及ClientKey。
管理应用接入点
查看应用接入点详情
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击 。
在应用接入页签,通过实例ID或者应用接入点名称筛选,定位到目标应用接入点。
单击应用接入点,查看详情。
权限策略:关于各项的详细信息,请参见权限策略。
身份凭证:仅能查看到ClientKey的Key ID、算法、有效期、创建日期,不支持查看Client Key的具体内容。
更换应用接入点绑定的权限策略
在应用接入页签,定位到目标应用接入点。
单击应用接入点进入详情页面,在权限策略页签,单击配置权限策略。
在更新应用接入点面板,重新选择权限策略,您最多可以选择3个。
如果已有策略不符合您要求,请先创建权限策略。
删除应用接入点
应用接入点删除后立即生效。如果您使用ClientKey作为访问凭证,删除前请确保ClientKey已不再使用,否则会导致应用无法访问KMS。您可以在日志服务查看近180天的日志,在搜索框中直接输入ClientKey的Key ID值进行全文检索,如果查询结果显示存在access_key_id
字段值为ClientKey的Key ID,则说明仍有调用。具体操作,请参见查询和分析日志。
在应用接入页签,定位到目标应用接入点,单击操作列的删除。
完成安全验证后KMS会删除该应用接入点。
管理权限策略
创建权限策略
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击 。
在权限策略页签,单击创建权限策略,在创建权限策略面板完成各项配置,然后单击确定。
配置项
说明
权限策略名称
自定义权限策略名称。
作用域
如果您创建网络规则时,网络类型选择Private,则此处选择指定的KMS实例,网络类型选择Public或VPC,则此处选择KMS共享网关。
RBAC权限
允许访问的资源
勾选应用需要访问的密钥和凭据。
网络控制规则
选择您已经创建的网络规则。
说明如果您不需要基于来源IP限制访问,则不需要选择网络规则。但为了更高的安全性,通常建议您合理设置。
描述信息
自定义描述信息。
权限策略创建成功后,您需要将权限策略绑定到应用接入点中。
编辑权限策略
修改权限策略,会影响所有关联该策略的应用接入点,请您谨慎操作。
场景一:我知道权限策略名称
在权限策略页签,定位到目标策略,单击操作列的编辑。
在编辑权限策略面板,修改RBAC权限、允许访问的资源或网络控制规则,然后单击确定。
场景二:我只知道应用接入点名称,不知道具体权限策略名称
在应用接入页签,定位到目标应用接入点。
单击应用接入点进入详情页面,在权限策略页签,找到目标策略。
单击操作列的编辑,在弹出的编辑权限策略面板,修改RBAC权限、允许访问的资源或网络控制规则,然后单击确定。
删除权限策略
删除前请确保该权限策略没有被任何应用接入点绑定,否则会导致相关应用无法正常访问KMS。
在权限策略页签,定位到目标策略,单击操作列的删除。
确认无误后,在删除权限策略对话框,单击确定。
管理网络规则
创建网络规则
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击 。
单击网络规则页签,然后单击创建网络规则。
在创建网络规则面板完成各项配置后,单击确定。
配置项
说明
规则名称
自定义网络规则的名称。
网络类型
Private:应用通过KMS实例Endpoint使用密钥和凭据。
Public:应用通过KMS服务Endpoint(公网接入地址)使用凭据。
VPC:应用通过KMS服务Endpoint(VPC接入地址)使用凭据。仅华东1(杭州)、华东2(上海)、华南1(深圳)、华北3(张家口)支持该选项。
说明密码运算操作:仅支持使用KMS实例SDK通过KMS实例Endpoint访问。您创建应用接入点时,网络类型请选择Private。
获取凭据值:可以使用KMS实例SDK,也可以使用凭据SDK。建议您使用凭据SDK,并且应用接入点中网络类型选择Private,以获取更高的QPS和更高的安全性。
KMS实例SDK:网络类型只能选择Private,来源IP只能设置为KMS实例绑定的VPC中的IP。
凭据SDK:网络类型可以选择Private、Public、VPC。
允许访问的源IP地址
一般情况下,请填写您应用服务器相应网络类型的IP地址。如果使用代理服务器等,请填写代理服务器的IP地址。
网络类型是Private,请填写KMS实例关联的VPC中的IP。
网络类型是Public,请填写公网IP地址。
网络类型是VPC,请填写VPC ID和VPC IP地址。
描述信息
自定义描述信息。
创建完成后,您需要将网络规则和权限策略绑定。
编辑网络规则
修改权限策略,会影响所有关联该规则的应用接入点,请您谨慎操作。
在网络规则页签,定位到目标规则,然后单击操作列的编辑。
在编辑网络规则面板,修改允许访问的源IP地址,然后单击确定。
删除网络规则
删除前请确保该网络控制规则没有被任何权限策略绑定,否则会导致相关应用无法正常访问KMS。
在网络规则页签,定位到目标规则,然后单击操作列的删除。
确认无误后,在删除网络规则面板,单击确定。
管理ClientKey
创建ClientKey
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击 。
单击应用接入页签,通过实例ID或者应用接入点名称筛选,定位到目标应用接入点。
单击应用接入点名称,在详情页面单击身份凭证页签后,单击创建凭证。
在创建凭证对话框设置Client Key加密口令和有效期。
Client Key加密口令:8~64位,支持数字、英文大小写、特殊字符
~!@#$%^&*?_-
。有效期:默认为5年,建议您设置为1年,以降低ClientKey被泄露的风险。
单击确定,浏览器会自动下载ClientKey。
ClientKey包含应用身份凭证内容(ClientKeyContent)和凭证口令(ClientKeyPassword)。 应用身份凭证内容(ClientKeyContent)文件名默认为
clientKey_****.json
。凭证口令(ClientKeyPassword)文件名默认为clientKey_****_Password.txt
。
删除ClientKey
ClientKey删除后立即生效,删除前请确保已不再使用,否则会导致应用无法访问KMS。
在应用接入页签,定位到目标应用接入点。
单击应用接入点进入详情页面,在身份凭证页签,定位到目标ClientKey,单击操作列的删除。
在弹出的删除Client Key对话框中确认无误后,单击确定。
完成安全验证后,KMS会删除该ClientKey。