管理应用接入点、权限策略、网络规则以及ClientKey。 - 密钥管理服务

本文介绍如何管理应用接入点、权限策略、网络规则以及ClientKey。

管理应用接入点

查看应用接入点详情

登录密钥管理服务控制台，在顶部菜单栏选择地域后，在左侧导航栏单击应用接入 > 接入点。
在应用接入页签，通过实例ID或者应用接入点名称筛选，定位到目标应用接入点。
单击应用接入点，查看详情。
1. 权限策略：关于各项的详细信息，请参见权限策略。
2. 身份凭证：仅能查看到ClientKey的Key ID、算法、有效期、创建日期，不支持查看Client Key的具体内容。

更换应用接入点绑定的权限策略

在应用接入页签，定位到目标应用接入点。
单击应用接入点进入详情页面，在权限策略页签，单击配置权限策略。
在更新应用接入点面板，重新选择权限策略，您最多可以选择3个。
如果已有策略不符合您要求，请先创建权限策略。

删除应用接入点

警告

应用接入点删除后立即生效。如果您使用ClientKey作为访问凭证，删除前请确保ClientKey已不再使用，否则会导致应用无法访问KMS。您可以在日志服务查看近180天的日志，在搜索框中直接输入ClientKey的Key ID值进行全文检索，如果查询结果显示存在access_key_id字段值为ClientKey的Key ID，则说明仍有调用。具体操作，请参见查询和分析日志。

在应用接入页签，定位到目标应用接入点，单击操作列的删除。
完成安全验证后KMS会删除该应用接入点。

管理权限策略

创建权限策略

登录密钥管理服务控制台，在顶部菜单栏选择地域后，在左侧导航栏单击应用接入 > 接入点。

在权限策略页签，单击创建权限策略，在创建权限策略面板完成各项配置，然后单击确定。

配置项	说明
权限策略名称	自定义权限策略名称。
作用域	如果您创建网络规则时，网络类型选择Private，则此处选择指定的KMS实例，网络类型选择Public或VPC，则此处选择KMS共享网关。
RBAC权限	作用域选择指定的KMS实例： CryptoServiceKeyUser：允许使用KMS实例中的密钥。支持实例API中的密码运算接口，具体请参见密钥接口。 CryptoServiceSecretUser：允许使用KMS实例中的凭据。支持实例API中的凭据接口，具体请参见凭据接口。作用域选择KMS共享网关： SecretUser：允许使用当前账号下的所有凭据。支持的接口为OpenAPI中的GetSecretVaule。
允许访问的资源	勾选应用需要访问的密钥和凭据。
网络控制规则	选择您已经创建的网络规则。说明如果您不需要基于来源IP限制访问，则不需要选择网络规则。但为了更高的安全性，通常建议您合理设置。
描述信息	自定义描述信息。

权限策略创建成功后，您需要将权限策略绑定到应用接入点中。

编辑权限策略

警告

修改权限策略，会影响所有关联该策略的应用接入点，请您谨慎操作。

场景一：我知道权限策略名称

在权限策略页签，定位到目标策略，单击操作列的编辑。
在编辑权限策略面板，修改RBAC权限、允许访问的资源或网络控制规则，然后单击确定。

场景二：我只知道应用接入点名称，不知道具体权限策略名称

在应用接入页签，定位到目标应用接入点。
单击应用接入点进入详情页面，在权限策略页签，找到目标策略。
单击操作列的编辑，在弹出的编辑权限策略面板，修改RBAC权限、允许访问的资源或网络控制规则，然后单击确定。

删除权限策略

警告

删除前请确保该权限策略没有被任何应用接入点绑定，否则会导致相关应用无法正常访问KMS。

在权限策略页签，定位到目标策略，单击操作列的删除。
确认无误后，在删除权限策略对话框，单击确定。

管理网络规则

创建网络规则

登录密钥管理服务控制台，在顶部菜单栏选择地域后，在左侧导航栏单击应用接入 > 接入点。
单击网络规则页签，然后单击创建网络规则。

在创建网络规则面板完成各项配置后，单击确定。

配置项	说明
规则名称	自定义网络规则的名称。
网络类型	Private：应用通过KMS实例Endpoint使用密钥和凭据。 Public：应用通过KMS服务Endpoint（公网接入地址）使用凭据。 VPC：应用通过KMS服务Endpoint（VPC接入地址）使用凭据。仅华东1（杭州）、华东2（上海）、华南1（深圳）、华北3（张家口）支持该选项。说明密码运算操作：仅支持使用KMS实例SDK通过KMS实例Endpoint访问。您创建应用接入点时，网络类型请选择Private。获取凭据值：可以使用KMS实例SDK，也可以使用凭据SDK。建议您使用凭据SDK，并且应用接入点中网络类型选择Private，以获取更高的QPS和更高的安全性。 KMS实例SDK：网络类型只能选择Private，来源IP只能设置为KMS实例绑定的VPC中的IP。凭据SDK：网络类型可以选择Private、Public、VPC。
允许访问的源IP地址	一般情况下，请填写您应用服务器相应网络类型的IP地址。如果使用代理服务器等，请填写代理服务器的IP地址。网络类型是Private，请填写KMS实例关联的VPC中的IP。网络类型是Public，请填写公网IP地址。网络类型是VPC，请填写VPC ID和VPC IP地址。
描述信息	自定义描述信息。

创建完成后，您需要将网络规则和权限策略绑定。

编辑网络规则

警告

修改权限策略，会影响所有关联该规则的应用接入点，请您谨慎操作。

在网络规则页签，定位到目标规则，然后单击操作列的编辑。
在编辑网络规则面板，修改允许访问的源IP地址，然后单击确定。

删除网络规则

警告

删除前请确保该网络控制规则没有被任何权限策略绑定，否则会导致相关应用无法正常访问KMS。

在网络规则页签，定位到目标规则，然后单击操作列的删除。
确认无误后，在删除网络规则面板，单击确定。

管理ClientKey

创建ClientKey

登录密钥管理服务控制台，在顶部菜单栏选择地域后，在左侧导航栏单击应用接入 > 接入点。
单击应用接入页签，通过实例ID或者应用接入点名称筛选，定位到目标应用接入点。
单击应用接入点名称，在详情页面单击身份凭证页签后，单击创建凭证。
在创建凭证对话框设置Client Key加密口令和有效期。
- Client Key加密口令：8~64位，支持数字、英文大小写、特殊字符~!@#$%^&*?_-。
- 有效期：默认为5年，建议您设置为1年，以降低ClientKey被泄露的风险。
单击确定，浏览器会自动下载ClientKey。
ClientKey包含应用身份凭证内容（ClientKeyContent）和凭证口令（ClientKeyPassword）。 应用身份凭证内容（ClientKeyContent）文件名默认为clientKey_****.json。凭证口令（ClientKeyPassword）文件名默认为clientKey_****_Password.txt。

删除ClientKey

警告

ClientKey删除后立即生效，删除前请确保已不再使用，否则会导致应用无法访问KMS。

在应用接入页签，定位到目标应用接入点。
单击应用接入点进入详情页面，在身份凭证页签，定位到目标ClientKey，单击操作列的删除。
在弹出的删除Client Key对话框中确认无误后，单击确定。
完成安全验证后，KMS会删除该ClientKey。