当您为专属KMS实例创建应用接入点后,应用接入点权限策略作用域会显示专属KMS。您可以根据需要更新应用接入点、删除应用接入点或者删除Client Key。

创建应用接入点

当专属KMS实例处于已启用状态时,您可以为实例快速创建应用接入点(AAP)和应用身份凭证(Client Key),以便应用程序正常访问专属KMS。

  1. 专属KMS页面,找到目标专属KMS实例,在操作列单击详情
  2. 应用接入指南区域,单击快速创建应用接入点
  3. 快速配置应用身份凭证和权限面板,设置应用接入点信息。
    1. 输入应用接入点名称
    2. 设置访问控制策略
      • 允许访问资源:默认填写Key/*,表示允许访问当前专属KMS实例的全部密钥。
      • 允许网络来源:允许访问的网络类型和IP地址。您可以设置私网IP地址或者私网网段,多个IP地址之间用半角逗号(,)分隔。
    3. 单击创建
  4. 应用身份凭证对话框,获取凭证口令应用身份凭证内容(Client Key)。
    • 凭证口令:单击复制口令,获取凭证口令。
    • 应用身份凭证内容:单击下载应用身份凭证,保存应用身份凭证信息。

      应用身份凭证信息包含凭证ID(KeyId)和凭证内容(PrivateKeyData),示例如下:

      {
        "KeyId": "KAAP.71be72c8-73b9-44e0-bb75-81ee51b4****",
        "PrivateKeyData": "MIIJwwIBAz****ICNXX/pOw=="
      }
      说明 专属KMS不会保存Client Key的凭证内容,因此您只能在创建Client Key时获取到加密的PKCS12文件(凭证内容),请妥善保管。
  5. 单击关闭
    应用接入点创建成功后,您可以在左侧导航栏单击应用管理查看应用接入点信息,包括认证方式、权限策略、网络控制规则、Client Key等。
  6. 应用接入指南区域,单击获取实例CA证书下方的下载,下载.pem格式的CA证书文件。

更新应用接入点

您可以根据需要更新应用接入点的权限策略,更新应用使用专属KMS实例的权限,从而实现不同应用拥有不同实例访问权限的目的。

  1. 登录密钥管理服务控制台
  2. 在页面左上角的地域下拉列表,选择应用接入点所在的地域。
  3. 在左侧导航栏,单击应用管理
  4. 找到目标应用接入点名称,然后单击右上角的更新
  5. 更新应用接入点对话框,更新权限策略。
    1. 单击可选策略右侧的加号图标。
    2. 创建权限策略对话框,配置以下参数,然后单击创建
      参数名称 参数说明
      权限策略名称 权限策略的名称。
      作用域 权限策略的适用范围。

      选择专属KMS实例的服务ID。

      RBAC权限 权限管理模板,表示权限策略对具体资源的操作。

      选择CryptoServiceKeyUser。

      允许访问资源 权限策略被授权的具体对象。可以通过以下两种方法设置:
      • 方法一:在可选资源区域,选择已有资源,然后单击箭头图标。
      • 方法二:在已选资源区域,单击加号图标,然后手动输入资源,最后单击添加
        说明 资源支持通配符(*)作为后缀。
      网络控制规则 权限策略允许访问的网络类型和IP地址。

      您可以在可选规则区域,选择已有规则,或者按照以下步骤创建并添加新规则。

      1. 单击加号图标。
      2. 创建网络访问规则对话框,设置以下参数:
        • 名称:网络访问规则的名称。
        • 网络类型:应用访问KMS的网络类型。

          选择Private,适用于应用程序访问部署到VPC内的专属服务。

        • 描述信息:网络访问规则的详细信息。
        • 允许私网地址:允许应用程序访问的网络地址。

          您可以设置私网IP地址或者网段,多个IP地址之间用半角逗号(,)间隔。

      3. 单击创建
      4. 选择已有规则,然后单击箭头图标。
    3. 选择已有策略,然后单击箭头图标。
  6. 输入描述信息,然后单击更新

删除应用接入点

应用接入点是使用专属KMS实例需要的凭证,删除后您可能无法正常使用专属KMS实例,请谨慎操作。删除应用接入点将同步删除应用接入点绑定的所有Client Key。

  1. 在左侧导航栏,单击应用管理
  2. 单击目标应用接入点操作列的删除
  3. 删除应用接入点对话框,单击确定

删除Client Key

Client Key是应用接入点用于身份认证的凭证,其凭证内容需要在首次创建时妥善保存。如果您忘记了Client Key的凭证内容,可以删除该Client Key,然后创建一个新的Client Key。

Client Key删除方法如下:

  1. 在左侧导航栏,单击应用管理
  2. 单击应用接入点名称。
  3. Client Key区域,单击目标Client Key操作列的删除
  4. 删除Client Key对话框,单击确定