如果您的应用使用到数据库账号密码、OAuth密钥和Token等敏感数据,您可以将这些敏感数据托管在凭据管家中,应用通过调用凭据管家的API来获取敏感数据,帮助您规避在代码中硬编码凭据带来的敏感信息泄露风险。本文介绍如何创建、查看、修改、删除以及还原凭据。
背景信息
专属KMS的凭据管家支持4种凭据类型:通用凭据、RDS凭据、RAM凭据、ECS凭据。不同类型凭据的详细说明见下表。
| 凭据类型 | 说明 |
|---|---|
| 通用凭据 | 通用凭据(Generic Secret)是凭据管家支持的基础类型凭据。您可以使用通用凭据存储账号口令、访问密钥、OAuth密钥和Token、API Key等任意的敏感数据。更多信息,请参见通用凭据概述。 |
| RDS凭据 | RDS凭据是指RDS(阿里云关系型数据库)实例的数据库账号和密码。凭据管家支持托管RDS凭据,对凭据进行全自动的定期轮换,降低业务数据面临的安全威胁。更多信息,请参见动态RDS凭据概述。 |
| RAM凭据 | RAM凭据是指RAM用户的访问密钥(AccessKey),包括AccessKey ID和AccessKey Secret,用于RAM用户在调用阿里云API时完成身份验证。 凭据管家支持托管RAM凭据(即RAM用户的AK),对RAM凭据进行全自动定期轮转和立即轮转,从而帮助您降低RAM凭据泄漏风险。通过使用托管RAM凭据插件,您在应用程序开发时可更方便的集成托管RAM凭据。更多信息,请参见动态RAM凭据概述。 |
| ECS凭据 | ECS凭据是指您登录ECS实例时用于身份验证的口令和公私钥。凭据管家支持您对托管ECS凭据进行定期或人工轮转,为ECS实例更换高强度口令和公私钥,从而降低ECS凭据泄露的风险。更多信息,请参见动态ECS凭据概述。 |
前提条件
- 已购买专属KMS实例且购买时已选择凭据数量。具体操作,请参见购买专属KMS实例。
- 确保专属KMS实例已启用。
创建凭据
创建凭据时您可以根据业务需要,创建不同类型的凭据,将凭据值存入凭据的初始版本。
- 登录密钥管理服务控制台,在页面左上角的地域下拉列表,选择专属KMS实例所在的地域。
- 在左侧导航栏,单击专属KMS。
- 在专属KMS页面,单击目标实例的实例ID后,单击凭据页签。
- 单击创建凭据,在创建凭据对话框中完成凭据配置,单击下一步。根据您的凭据类型不同,配置项不同。
- 通用凭据:
配置项 说明 选择凭据类型 选择通用凭据。 凭据名称 输入自定义的凭据名称。 设置凭据值 根据您要托管的敏感数据类型,选择凭据键/值或纯文本。 初始版本号 凭据的初始版本号。默认为v1,也支持自定义版本号。 描述信息 输入凭据的描述信息。 加密主密钥 选择同实例的一个用户主密钥作为凭据的加密主密钥。 - 托管RDS凭据:
配置项 说明 选择凭据类型 选择托管RDS凭据。 凭据名称 输入自定义的凭据名称。 择RDS实例 选择阿里云账号下已有的RDS实例。 设置凭据值 - 双账号托管(推荐):适用于程序化访问数据库场景。托管两个相同权限的账号,保证口令重置切换的瞬间,程序访问不被中断。
- 单击一键创建和授权页签,配置账号名、选择数据库并指定权限。说明 一键创建和授权不会立即为您配置新的账号,而是在您审核确认凭据信息之后进行配置。
- 单击导入已有账号页签,选择用户名、配置口令。说明 建议您将口令配置为创建RDS实例用户账号时对应的密码。如果导入的账号和口令不匹配,您可以在凭据首次轮转之后,获取正确的账号和口令。
- 单击一键创建和授权页签,配置账号名、选择数据库并指定权限。
- 单账号托管:适用于高权限账号或者人工运维账号托管场景。口令重置切换的瞬间,凭据的当前版本可能暂时无法使用。
- 单击一键创建和授权页签,配置账号名、选择账号类型。
您可以选择普通账号和高权限账号两种账号类型。当您选择普通账号时,还需选择数据库并指定权限。
- 单击导入已有账号页签,选择用户名、配置口令。
- 单击一键创建和授权页签,配置账号名、选择账号类型。
描述信息 输入凭据的描述信息。 加密主密钥 选择同实例的一个用户主密钥作为凭据的加密主密钥。 - 双账号托管(推荐):适用于程序化访问数据库场景。托管两个相同权限的账号,保证口令重置切换的瞬间,程序访问不被中断。
- 托管RAM凭据:
配置项 说明 选择凭据类型 选择托管RAM凭据。 选择RAM用户 选择您要托管凭据的RAM用户,所选RAM用户需要至少有一个AccessKey。 设置凭据值 在AccessKey ID右侧输入对应的AccessKey Secret。 说明 建议您输入正确的AccessKey Secret。如果AccessKey Secret不正确,您将在RAM凭据首次轮转后获取一组新的AccessKey ID和AccessKey Secret。描述信息 输入凭据的描述信息。 加密主密钥 选择同实例的一个用户主密钥作为凭据的加密主密钥。 - 托管ECS凭据:
配置项 说明 选择凭据类型 选择托管ECS凭据。 凭据名称 输入自定义的凭据名称。 托管实例 选择阿里云账号下已有的ECS实例。 托管用户 填写ECS实例上已有的用户名称,例如:root(Linux系统)或Administrator(Windows系统)。 初始凭据值 选择口令或密钥对,填入对应的初始凭据值。 - 口令:用户登录ECS实例的密码。
- 密钥对:用户登录ECS实例的SSH密钥对。
说明 建议输入正确的凭据值。如果输入的凭据值不正确,在ECS凭据首次轮转前,您从凭据管家获取到的口令或密钥对将不能正常登录ECS实例。描述信息 输入凭据的描述信息。 加密主密钥 选择同实例的一个用户主密钥作为凭据的加密主密钥。
- 通用凭据:
- 配置凭据轮转,然后单击下一步。
凭据类型 说明 通用凭据 不支持在控制台配置凭据轮转,您可以构建定时轮转任务对通用凭据进行轮转。具体操作,请参见轮转通用凭据。 托管RDS凭据、托管RAM凭据、托管ECS凭据 选中开启自动轮转,配置轮转周期,凭据管家将定期为您更新凭据值。如果您无需自动轮转凭据,请选择关闭自动轮转。
查看及修改凭据
您可以根据需要查看或修改凭据的具体信息,不同类型凭据的信息略有不同,以下操作以通用凭据为例。
- 登录密钥管理服务控制台,在页面左上角的地域下拉列表,选择专属KMS实例所在的地域。
- 在左侧导航栏,单击专属KMS。
- 在专属KMS页面,单击目标实例的实例ID后,单击凭据页签。
- 在凭据页签,单击目标凭据的名称或者操作列的凭据详情,查看或者修改凭据。
- 查看凭据:您可以在凭据详情页查看凭据详情、版本列表以及标签。
如果您需要查看指定版本的凭据值,也可以单击指定版本操作列的查看,阅读提示后单击 确认继续查看,完成手机验证后查看凭据值。
- 修改凭据:具体支持修改的项目见下表。
修改项 操作 凭据的描述信息 单击描述信息后的 
图标,更新凭据描述后,单击确定。存入新版本的凭据值 单击存入凭据值,在存入凭据值对话框中输入版本号、设置凭据值后,单击确定。 为凭据值设置自定义的版本状态 在版本列表区域,找到目标版本,单击版本状态列的状态管理您,输入版本状态后单击确定。 说明 您可以将版本设置为内建的或者自定义的状态。每个版本可以被设置为多个状态,但是每个状态只能标记一个版本。添加凭据对象内已经存在的状态,会将此状态从其他版本上同步移除。为凭据添加标签 单击添加标签,输入标签键和标签值后单击确定。
- 查看凭据:您可以在凭据详情页查看凭据详情、版本列表以及标签。
删除及还原凭据
您可以选择立即删除凭据,也可以设置凭据的计划删除时间,凭据会在设置的时间后自动删除。如果您设置了计划删除时间,在删除之前您可以通过还原凭据操作撤销删除。
警告 删除凭据前,请确认该凭据已不再使用,否则会导致您的业务不可用。
- 登录密钥管理服务控制台,在页面左上角的地域下拉列表,选择专属KMS实例所在的地域。
- 在左侧导航栏,单击专属KMS。
- 在专属KMS页面,单击目标实例的实例ID后,单击凭据页签。
- 在凭据页签,定位到目标凭据,单击操作列的
图标后,单击计划删除凭据,选择凭据删除方式,单击确定。- 计划删除凭据:设置预删除周期(7~30天)。系统将在预删除周期后删除凭据。说明 在凭据被删除之前,如果您需要撤销删除的操作,可以执行如下步骤:单击目标凭据,单击操作列的后,单击还原凭据撤销删除凭据。
- 立即删除凭据:凭据会被立即删除。
- 计划删除凭据:设置预删除周期(7~30天)。系统将在预删除周期后删除凭据。