KMS实例API基于HTTP协议通信,并使用TLS协议保护通信安全。当您调用接口时,需要按照接口说明在请求数据中加入相应请求参数,通过HTTP POST请求发送至KMS,系统会返回响应数据。请求及返回数据都使用Protocol Buffers编码。 Protocol Buffers是一种跨语言、跨平台的数据结构序列化机制。相比XML更小、更快、更简单。关于Protocol Buffers的更多信息,请参见Protocol Buffers。
KMS实例API调用过程如下:
客户端根据请求消息类型定义对请求消息进行编码,得到请求数据。
客户端将请求数据和请求数据的签名一起发送至KMS。
KMS验证签名并响应请求。
客户端根据响应消息定义对响应数据进行解码,得到响应消息。
认证方式
实例API接口认证方式只支持ClientKey模式。如何获取ClientKey,请参考创建应用接入点。
此认证模式下,创建应用接入点时如果选择标准创建,需要注意以下两点:
配置网络规则时网络类型要选Private。
配置权限规则作用域要选对应的KMS实例ID。
接入点(接口地址)
实例API的访问入口为阿里云专属网关。接入点地址:实例id.cryptoservice.kms.aliyuncs.com,也可在实例详情页获取。
调用方式
自定义封装API调用(不推荐)
原生HTTP调用需要您自己实现签名算法,并根据接口入参构建自定义请求,发起HTTP调用。签名算法说明参见请求签名,除了需要传入所需业务参数外还需要拼接公共请求参数,详见公共请求头。自定义封装接口示例可参考V3版本请求体&签名机制。
实例SDK
实例SDK降低了用户编码难度,将复杂的签名过程封装在方法内,用户按照接口说明填入必填参数和认证信息即可,代码可读性和维护性增强。实例SDK调用示例,请参见KMS实例SDK。
凭据SDK
凭据SDK只适用于实例API中凭据接口,降低了凭据接口调用的复杂度。凭据SDK调用示例,请参见凭据SDK中的ClientKey认证方式下的相关内容。