当专属KMS实例处于已连接状态时,您可以在专属KMS实例中创建应用接入点AAP(Application Access Point),控制应用正常访问专属KMS实例。您也可以获取专属KMS实例CA证书,以便验证专属KMS实例。

创建应用接入点

您可以为专属KMS实例快速创建应用接入点(AAP)和应用身份凭证(Client Key),以便应用程序正常访问专属KMS。

  1. 登录密钥管理服务控制台
  2. 在页面左上角的地域下拉列表,选择专属KMS所在的地域。
    支持专属KMS的地域,请参见支持的地域
  3. 在左侧导航栏,单击专属KMS
  4. 单击目标专属KMS实例名称。
  5. 应用接入指南区域,单击快速创建应用接入点
  6. 快速配置应用身份凭证和权限面板,设置应用接入点信息。
    1. 输入应用接入点名称
    2. 设置访问控制策略
      • 允许访问资源:默认填写Key/*,表示允许访问当前专属KMS实例的全部密钥。
      • 允许网络来源:允许访问的网络类型和IP地址。您可以设置私网IP地址或者私网网段,多个IP地址之间用半角逗号(,)间隔。
    3. 单击创建
  7. 应用身份凭证对话框,获取凭证口令应用身份凭证内容(Client Key)。
    • 凭证口令:单击复制口令,获取凭证口令。
    • 应用身份凭证内容:单击下载应用身份凭证,保存应用身份凭证信息。

      应用身份凭证信息包含凭证ID(KeyId)和凭证内容(PrivateKeyData),示例如下:

      {
  "KeyId": "KAAP.71be72c8-73b9-44e0-bb75-81ee51b4****",
  "PrivateKeyData": "MIIJwwIBAz****ICNXX/pOw=="
}
      说明 KMS不会保存Client Key的凭证内容,因此您只能在创建Client Key时获取到加密的PKCS12文件(凭证内容),请妥善保管。
  8. 单击关闭
    应用接入点创建成功后,您可以在左侧导航栏单击应用管理查看应用接入点信息,包括认证方式、权限策略、网络控制规则、Client Key等。您也可以更新应用接入点。具体操作,请参见管理应用接入点

获取专属KMS实例CA证书

专属KMS实例CA证书是用于专属KMS实例客户端和服务端安全通信的数字证书,您可以通过密钥管理控制台获取专属KMS实例CA证书。

  1. 在左侧导航栏,单击专属KMS
  2. 单击目标专属KMS实例名称。
  3. 应用接入指南区域,单击获取实例CA证书下方的下载,下载.pem格式的CA证书文件。

使用应用接入点

您可以使用专属KMS SDK,通过已创建的Client Key进行数据加密解密、签名验签。具体操作,请参见专属KMS Java SDK