使用KMS管理RAM凭据
背景介绍
RAM凭据是指RAM用户的访问密钥(AccessKey),包括AccessKey ID和AccessKey Secret,用于RAM用户在调用阿里云API时完成身份验证。在KMS托管RAM凭据后,您无需在应用程序中配置AccessKey,只需配置凭据名称,通过凭据名称获取有效的AccessKey用于调用阿里云API,减少直接使用AK硬编码的风险。
使用方式
使用限制和前提
KMS只支持托管RAM用户(子账号)的AccessKey,不支持托管阿里云账号(主账号)的AccessKey;
已购买和启用KMS实例。具体操作,请参见购买和启用KMS实例;
已创建RAM用户AccessKey,请参见 创建AccessKey。
操作步骤
一、授予KMS管理RAM用户AccessKey的权限
创建自定义权限策略
使用RAM管理员登录RAM控制台;
在左侧导航栏,选择权限管理->权限策略:
在权限策略页面,单击创建权限策略;
选择脚本编辑并输入以下脚本;
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ram:ListAccessKeys", "ram:CreateAccessKey", "ram:DeleteAccessKey", "ram:UpdateAccessKey" ], "Resource": "*" } ] }单击继续编辑基本信息,设置名称和备注。其中名称设置为AliyunKMSManagedRAMCrendentialsRolePolicy,单击确定。
创建RAM角色并授权
使用RAM管理员登录RAM控制台;
在左侧导航栏,选择身份管理>角色;
在角色页面,单击创建角色;
在创建角色页面,选择可信实体类型为阿里云服务,然后单击下一步;
选择角色类型为普通服务角色;
输入角色名称和备注。其中角色名称为AliyunKMSManagedRAMCrendentialsRole;
选择受信服务为密钥管理服务,单击完成;
单击为角色授权,被授权主体会自动填入;
在新增授权面板,选择自定义策略,然后选中权限策略AliyunKMSManagedRAMCrendentialsRolePolicy,单击确定,然后单击完成。
二、使用KMS创建RAM凭据
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击资源>凭据管理;
单击RAM凭据页签,选择实例ID后,单击创建凭据,完成各项配置后单击确定。
三、应用程序集成RAM凭据
KMS提供了阿里云SDK、KMS实例SDK、凭据客户端、RAM凭据插件,用于获取凭据值,应用可以通过这些SDK集成RAM凭据。RAM凭据插件根据凭据名称,从KMS获取RAM凭据值并缓存在应用程序的内存中,应用程序使用阿里云SDK时,通过RAM凭据插件本地缓存的AccessKey向云产品发起请求。
四、轮转RAM凭据
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击资源>凭据管理;
单击RAM凭据页签,选择实例ID后,定位到要立即轮转的凭据名称,单击操作列的详情;
在凭据详情页面配置凭据轮转策略:
周期性自动轮转:在页面右上角单击设置轮转策略,开启或关闭周期性自动轮转,然后单击确定;
立即轮转:在页面右上角单击立即轮转,在设置轮转策略对话框中设置轮转窗口(10分钟~2天),然后单击确定。
五、删除RAM凭据
您可以选择计划删除凭据和立即删除凭据两种方式,删除不需要的凭据。删除RAM凭据仅在凭据管家中删除RAM凭据,不会在RAM中删除RAM用户的AccessKey。
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击资源>凭据管理;
单击RAM凭据页签,选择实例ID后,定位到要删除的凭据名称,单击操作列的计划删除凭据;
在计划删除凭据对话框中,选择凭据删除方式,并单击确定:
计划删除凭据:设置预删除周期(7~30天),系统将在预删除周期结束后删除凭据。
立即删除凭据:系统将立即删除凭据。
在预删除周期内,您可以单击目标凭据操作列的还原凭据,取消删除操作。