全部产品
Search
文档中心

密钥管理服务:管理应用接入点

更新时间:Jan 09, 2024

本文介绍如何管理应用接入点、权限策略、网络规则以及ClientKey。

管理应用接入点

查看应用接入点详情

  1. 登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击应用接入 > 接入点

  2. 应用接入页签,通过实例ID或者应用接入点名称筛选,定位到目标应用接入点。

  3. 单击应用接入点,查看详情。

    1. 权限策略:关于各项的详细信息,请参见权限策略

    2. 身份凭证:仅能查看到ClientKey的Key ID算法有效期创建日期,不支持查看Client Key的具体内容。

更换应用接入点绑定的权限策略

  1. 应用接入页签,定位到目标应用接入点。

  2. 单击应用接入点进入详情页面,在权限策略页签,单击配置权限策略

  3. 更新应用接入点面板,重新选择权限策略,您最多可以选择3个。

    如果已有策略不符合您要求,请先创建权限策略。

删除应用接入点

警告

应用接入点删除后立即生效。如果您使用ClientKey作为访问凭证,删除前请确保ClientKey已不再使用,否则会导致应用无法访问KMS。您可以在日志服务查看近180天的日志,在搜索框中直接输入ClientKey的Key ID值进行全文检索,如果查询结果显示存在access_key_id字段值为ClientKey的Key ID,则说明仍有调用。具体操作,请参见查询和分析日志

  1. 应用接入页签,定位到目标应用接入点,单击操作列的删除

  2. 完成安全验证后KMS会删除该应用接入点。

管理权限策略

创建权限策略

  1. 登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击应用接入 > 接入点

  2. 权限策略页签,单击创建权限策略,在创建权限策略面板完成各项配置,然后单击确定

    配置项

    说明

    权限策略名称

    自定义权限策略名称。

    作用域

    如果您创建网络规则时,网络类型选择Private,则此处选择指定的KMS实例,网络类型选择PublicVPC,则此处选择KMS共享网关

    RBAC权限

    • 作用域选择指定的KMS实例:

      • CryptoServiceKeyUser:允许使用KMS实例中的密钥。支持实例API中的密码运算接口,具体请参见密钥接口

      • CryptoServiceSecretUser:允许使用KMS实例中的凭据。支持实例API中的凭据接口,具体请参见凭据接口

    • 作用域选择KMS共享网关

      SecretUser:允许使用当前账号下的所有凭据。支持的接口为OpenAPI中的GetSecretVaule。

    允许访问的资源

    勾选应用需要访问的密钥和凭据。

    网络控制规则

    选择您已经创建的网络规则。

    说明

    如果您不需要基于来源IP限制访问,则不需要选择网络规则。但为了更高的安全性,通常建议您合理设置。

    描述信息

    自定义描述信息。

    权限策略创建成功后,您需要将权限策略绑定到应用接入点中。

编辑权限策略

警告

修改权限策略,会影响所有关联该策略的应用接入点,请您谨慎操作。

场景一:我知道权限策略名称

  1. 权限策略页签,定位到目标策略,单击操作列的编辑

  2. 编辑权限策略面板,修改RBAC权限允许访问的资源网络控制规则,然后单击确定

场景二:我只知道应用接入点名称,不知道具体权限策略名称

  1. 应用接入页签,定位到目标应用接入点。

  2. 单击应用接入点进入详情页面,在权限策略页签,找到目标策略。

  3. 单击操作列的编辑,在弹出的编辑权限策略面板,修改RBAC权限允许访问的资源网络控制规则,然后单击确定

删除权限策略

警告

删除前请确保该权限策略没有被任何应用接入点绑定,否则会导致相关应用无法正常访问KMS。

  1. 权限策略页签,定位到目标策略,单击操作列的删除

  2. 确认无误后,在删除权限策略对话框,单击确定

管理网络规则

创建网络规则

  1. 登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击应用接入 > 接入点

  2. 单击网络规则页签,然后单击创建网络规则

  3. 创建网络规则面板完成各项配置后,单击确定

    配置项

    说明

    规则名称

    自定义网络规则的名称。

    网络类型

    • Private:应用通过KMS实例Endpoint使用密钥和凭据。

    • Public:应用通过KMS服务Endpoint(公网接入地址)使用凭据。

    • VPC:应用通过KMS服务Endpoint(VPC接入地址)使用凭据。仅华东1(杭州)、华东2(上海)、华南1(深圳)、华北3(张家口)支持该选项。

    说明
    • 密码运算操作:仅支持使用KMS实例SDK通过KMS实例Endpoint访问。您创建应用接入点时,网络类型请选择Private。

    • 获取凭据值:可以使用KMS实例SDK,也可以使用凭据SDK。建议您使用凭据SDK,并且应用接入点中网络类型选择Private,以获取更高的QPS和更高的安全性。

      • KMS实例SDK:网络类型只能选择Private,来源IP只能设置为KMS实例绑定的VPC中的IP。

      • 凭据SDK:网络类型可以选择Private、Public、VPC。

    允许访问的源IP地址

    一般情况下,请填写您应用服务器相应网络类型的IP地址。如果使用代理服务器等,请填写代理服务器的IP地址。

    • 网络类型是Private,请填写KMS实例关联的VPC中的IP。

    • 网络类型是Public,请填写公网IP地址。

    • 网络类型是VPC,请填写VPC ID和VPC IP地址。

    描述信息

    自定义描述信息。

    创建完成后,您需要将网络规则和权限策略绑定。

编辑网络规则

警告

修改权限策略,会影响所有关联该规则的应用接入点,请您谨慎操作。

  1. 网络规则页签,定位到目标规则,然后单击操作列的编辑

  2. 编辑网络规则面板,修改允许访问的源IP地址,然后单击确定

删除网络规则

警告

删除前请确保该网络控制规则没有被任何权限策略绑定,否则会导致相关应用无法正常访问KMS。

  1. 网络规则页签,定位到目标规则,然后单击操作列的删除

  2. 确认无误后,在删除网络规则面板,单击确定

管理ClientKey

创建ClientKey

  1. 登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击应用接入 > 接入点

  2. 单击应用接入页签,通过实例ID或者应用接入点名称筛选,定位到目标应用接入点。

  3. 单击应用接入点名称,在详情页面单击身份凭证页签后,单击创建凭证

  4. 创建凭证对话框设置Client Key加密口令有效期

    • Client Key加密口令:8~64位,支持数字、英文大小写、特殊字符~!@#$%^&*?_-

    • 有效期:默认为5年,建议您设置为1年,以降低ClientKey被泄露的风险。

  5. 单击确定,浏览器会自动下载ClientKey。

    ClientKey包含应用身份凭证内容(ClientKeyContent)凭证口令(ClientKeyPassword)应用身份凭证内容(ClientKeyContent)文件名默认为clientKey_****.json凭证口令(ClientKeyPassword)文件名默认为clientKey_****_Password.txt

删除ClientKey

警告

ClientKey删除后立即生效,删除前请确保已不再使用,否则会导致应用无法访问KMS。

  1. 应用接入页签,定位到目标应用接入点。

  2. 单击应用接入点进入详情页面,在身份凭证页签,定位到目标ClientKey,单击操作列的删除

  3. 在弹出的删除Client Key对话框中确认无误后,单击确定

  4. 完成安全验证后,KMS会删除该ClientKey。