当专属KMS实例处于已连接状态时,您可以在专属KMS实例中创建应用接入点AAP(Application Access Point),控制应用正常访问专属KMS实例。您也可以获取专属KMS实例CA证书,以便验证专属KMS实例。
创建应用接入点
您可以为专属KMS实例快速创建应用接入点(AAP)和应用身份凭证(Client Key),以便应用程序正常访问专属KMS。
- 登录密钥管理服务控制台。
- 在页面左上角的地域下拉列表,选择专属KMS所在的地域。
- 在左侧导航栏,单击专属KMS。
- 单击目标专属KMS实例名称。
- 在应用接入指南区域,单击快速创建应用接入点。
- 在快速配置应用身份凭证和权限面板,设置应用接入点信息。
- 输入应用接入点名称。
- 设置访问控制策略。
- 允许访问资源:默认填写
Key/*
,表示允许访问当前专属KMS实例的全部密钥。
- 允许网络来源:允许访问的网络类型和IP地址。您可以设置私网IP地址或者私网网段,多个IP地址之间用半角逗号(,)间隔。
- 单击创建。
- 在应用身份凭证对话框,获取凭证口令和应用身份凭证内容(Client Key)。
- 凭证口令:单击复制口令,获取凭证口令。
- 应用身份凭证内容:单击下载应用身份凭证,保存应用身份凭证信息。
应用身份凭证信息包含凭证ID(KeyId)和凭证内容(PrivateKeyData),示例如下:
{
"KeyId": "KAAP.71be72c8-73b9-44e0-bb75-81ee51b4****",
"PrivateKeyData": "MIIJwwIBAz****ICNXX/pOw=="
}
说明 KMS不会保存Client Key的凭证内容,因此您只能在创建Client Key时获取到加密的PKCS12文件(凭证内容),请妥善保管。
- 单击关闭。
应用接入点创建成功后,您可以在左侧导航栏单击
应用管理查看应用接入点信息,包括认证方式、权限策略、网络控制规则、Client Key等。您也可以更新应用接入点。具体操作,请参见
管理应用接入点。
获取专属KMS实例CA证书
专属KMS实例CA证书是用于专属KMS实例客户端和服务端安全通信的数字证书,您可以通过密钥管理控制台获取专属KMS实例CA证书。
- 在左侧导航栏,单击专属KMS。
- 单击目标专属KMS实例名称。
- 在应用接入指南区域,单击获取实例CA证书下方的下载,下载.pem格式的CA证书文件。
使用应用接入点
您可以使用专属KMS SDK,通过已创建的Client Key进行数据加密解密、签名验签。具体操作,请参见专属KMS Java SDK。