创建KMS实例SDK的访问凭证_密钥管理服务(KMS)-阿里云帮助中心

KMS实例通过应用接入点验证调用者的身份信息和访问权限。通过KMS实例SDK调用KMS实例时，您需要配置应用接入点的访问凭据（ClientKey）信息。本文介绍如何创建KMS实例SDK适用的访问凭证（ClientKey）。

注意事项

建议您为每个集成KMS的应用单独创建应用接入点，以确保访问权限的独立性。
ClientKey的有效期默认为5年，您可以在创建ClientKey时指定有效期，推荐您设置为1年。请务必在到期前更换，以免无法正常访问KMS。具体操作，请参见更换ClientKey。

支持快速创建和标准创建两种方式，快速创建便捷高效适合于快速测试和开发场景，该方式创建的访问凭证可以访问KMS实例的全部资源。若您希望对资源设置更精细化的访问权限，建议您使用标准创建。

在应用接入页签，单击创建应用接入点，在创建应用接入点面板完成各项配置。

配置项	说明
创建模式	选择快速创建。
作用域（KMS实例）	选择应用要访问的KMS实例。
应用接入点名称	自定义应用接入点的名称。
认证方式	默认为ClientKey，不支持修改。
默认权限策略	默认为`key/secret/`，不支持修改。即应用可以访问指定KMS实例中的所有密钥和凭据。

单击确定，浏览器会自动下载ClientKey。
ClientKey包含应用身份凭证内容（ClientKeyContent）和凭证口令（ClientKeyPassword）。 应用身份凭证内容（ClientKeyContent）文件名默认为clientKey_****.json。凭证口令（ClientKeyPassword）文件名默认为clientKey_****_Password.txt。

创建网络规则。

说明

如果您不需要基于来源IP限制访问，则不需要设置网络规则。但为了更高的安全性，通常建议您合理设置。

在创建网络规则面板完成各项配置后，单击确定。

配置项	说明
规则名称	自定义网络规则的名称。
网络类型	选择Private。
允许访问的源IP地址	一般情况下，请填写您应用服务器相应网络类型的IP地址。如果使用代理服务器等，请填写代理服务器的IP地址。
描述信息	自定义描述信息。

创建权限策略。

在创建权限策略面板，完成各项配置后，单击确定。

配置项	说明
权限策略名称	自定义权限策略名称。
作用域	选择您的KMS实例。
RBAC权限	CryptoServiceKeyUser：允许使用KMS实例中的密钥。支持实例API中的密码运算接口，具体请参见密钥接口。 CryptoServiceSecretUser：允许使用KMS实例中的凭据。支持实例API中的凭据接口，具体请参见凭据接口。
允许访问的资源	勾选应用需要访问的密钥和凭据。重要勾选多个凭据时，如果凭据名称总长度超限会报“参数非法”错误，此时请使用通配符配置允许访问的凭据。例如，配置为`secret/rds-ibm*`，表示允许访问前缀为`rds-ibm`的凭据。
网络控制规则	选择您已经创建的网络规则。说明如果您不需要基于来源IP限制访问，则不需要选择网络规则。但为了更高的安全性，通常建议您合理设置。
描述信息	自定义描述信息。

创建应用接入点AAP。

在创建应用接入点面板，完成各项配置后。

配置项	说明
创建模式	选择标准创建。
应用接入点名称	自定义应用接入点名称。
认证方式	选择ClientKey。
Client Key加密口令	ClientKey的加密口令。8~64位，支持数字、英文大小写、特殊字符`~!@#$%^&*?_-`，且需要包含其中两种类型。
有效期	ClientKey的有效期。重要推荐您设置为1年，以降低ClientKey被泄露的风险。请务必在到期前更换，以免无法正常访问KMS。具体操作，请参见更换ClientKey。
权限策略	选择您已经创建的权限策略。
描述信息	自定义描述信息。

单击确定，浏览器会自动下载ClientKey。
ClientKey包含应用身份凭证内容（ClientKeyContent）和凭证口令（ClientKeyPassword）。 应用身份凭证内容（ClientKeyContent）文件名默认为clientKey_****.json。凭证口令（ClientKeyPassword）文件名默认为clientKey_****_Password.txt。

应用集成SDK时需要配置如下内容，请您妥善保存。

即应用身份凭证内容，创建ClientKey后浏览器会自动下载，文件名默认为clientKey_****.json。

创建ClientKey后浏览器会自动下载，文件名默认为clientKey_****_Password.txt。