为了确保敏感配置(数据源、Token、用户名、密码等)的安全性,降低用户配置的泄露风险,SAE提供了创建加密配置的功能。

背景信息

注意 使用加解密服务必须使用阿里云主账号或子账号的AccessKey,不支持使用ACM专用AccessKey。
SAE提供的配置加密方法有KMS加密和KMS AES-128加密。
  • KMS加密:配置内容禁止超过6KB。
  • KMS AES-128加密:配置内容允许超过6KB,建议不超过10KB,最大不超过100KB。配置内容的明文数据不会传输到KMS系统,安全性更高。

创建加密配置

在控制台创建加密配置。

  1. 登录SAE控制台
  2. 在左侧导航栏选择配置管理 > 配置列表,并在页面右侧单击新建配置
  3. 新建配置页面上打开数据加密开关。
    注意 首次使用此功能时,须开通密钥管理服务,并授权ACM使用您的密钥管理服务进行加解密,因为ACM数据加密功能依赖密钥管理服务,并为配置加密。
  4. 数据加密所在行选择加密方式,KMS加密KMS AES-128加密,并在配置内容中输入配置内容,填写完成后单击发布
    新建配置
    注意
    • 如果选择KMS加密,则直接调用KMS服务对配置进行加解密, KMS加解密数据须小于等于6KB。
    • 如果选择KMS AES-128加密,则使用KMS的信封加解密方法,配置内容允许超过6KB,禁止超100KB。

    为方便您管理配置,控制台上均显示明文,实际均为加密存储。

使用加密配置

加密配置创建完成后,可以在控制台获取加密所需的AccessKey、SecretKey等初始化参数。

  1. 配置列表页面单击列表右侧操作列的示例代码,即可获取示例代码。
    说明 Java、Python的SDK已经整合KMS-SDK,您可以添加解密过滤器来自动解密。其他语言解密,请参考Decrypt
  2. 单击列表上方的详情,并在命名空间详情对话框中单击获取得到初始化参数。
    命名空间详情
    说明 使用主账号的AccessKey/SecretKey可直接获取配置数据,建议您填写RAM用户的AccessKey/SecretKey。如果使用RAM用户的AccessKey/SecretKey,则必须提前为其授予AliyunACMFullAccess和AliyunKMSCryptoAccess权限。如需了解更多,请参见子账号管理

问题反馈

如果您在使用SAE过程中有任何疑问,欢迎您扫描下面的二维码加入钉钉群进行反馈。SAE钉钉群2