当您为专属KMS实例创建应用接入点后,应用接入点权限策略作用域会显示专属KMS。您可以根据需要更新应用接入点、删除应用接入点或者删除Client Key。

创建应用接入点

当专属KMS实例处于已启用状态时,您可以为实例快速创建应用接入点(AAP)和应用身份凭证(Client Key),以便应用程序正常访问专属KMS。

  1. 登录密钥管理服务控制台
  2. 在页面左上角的地域下拉列表,选择专属KMS实例所在的地域。
  3. 在左侧导航栏,单击专属KMS
  4. 专属KMS页面,找到目标专属KMS实例,在操作列单击详情
  5. 应用接入指南区域,单击快速创建应用接入点
  6. 快速配置应用身份凭证和权限面板,设置应用接入点信息。
    1. 输入应用接入点名称
    2. 设置访问控制策略
      • 允许访问资源:默认填写Key/*,表示允许访问当前专属KMS实例的全部密钥。
      • 允许网络来源:允许访问的网络类型和IP地址。您可以设置私网IP地址或者私网网段,多个IP地址之间用半角逗号(,)分隔。
    3. 单击创建
  7. 应用身份凭证对话框,获取凭证口令应用身份凭证内容(Client Key)。
    • 凭证口令:单击复制口令,获取凭证口令。
    • 应用身份凭证内容:单击下载应用身份凭证,保存应用身份凭证信息。

      应用身份凭证信息包含凭证ID(KeyId)和凭证内容(PrivateKeyData),示例如下:

      {
        "KeyId": "KAAP.71be72c8-73b9-44e0-bb75-81ee51b4****",
        "PrivateKeyData": "MIIJwwIBAz****ICNXX/pOw=="
      }
      说明 专属KMS不会保存Client Key的凭证内容,因此您只能在创建Client Key时获取到加密的PKCS12文件(凭证内容),请妥善保管。
  8. 单击关闭
    应用接入点创建成功后,您可以在左侧导航栏单击应用管理查看应用接入点信息,包括认证方式、权限策略、网络控制规则、Client Key等。
  9. 应用接入指南区域,单击获取实例CA证书下方的下载,下载.pem格式的CA证书文件。

更新应用接入点

您可以根据需要更新应用接入点的权限策略,更新应用使用专属KMS实例的权限,从而实现不同应用拥有不同实例访问权限的目的。

  1. 登录密钥管理服务控制台
  2. 在页面左上角的地域下拉列表,选择应用接入点所在的地域。
  3. 在左侧导航栏,单击应用管理
  4. 找到目标应用接入点名称,然后单击右上角的更新
  5. 更新应用接入点对话框,更新权限策略。
    1. 单击可选策略右侧的加号图标。
    2. 创建权限策略对话框,配置以下参数,然后单击创建
      配置项说明
      权限策略名称权限策略的名称。
      作用域权限策略的适用范围。

      选择专属KMS实例的服务ID。

      RBAC权限权限管理模板,表示权限策略对具体资源的操作。

      选择CryptoServiceKeyUser。

      允许访问资源权限策略被授权的具体对象。可以通过以下两种方法设置:
      • 方法一:在可选资源区域,选择已有资源,然后单击箭头图标。
      • 方法二:在已选资源区域,单击加号图标,然后手动输入资源,最后单击添加
        说明 资源支持通配符(*)作为后缀。
      网络控制规则权限策略允许访问的网络类型和IP地址。

      您可以在可选规则区域,选择已有规则,或者按照以下步骤创建并添加新规则。

      1. 单击加号图标。
      2. 创建网络访问规则对话框,设置以下参数:
        • 名称:网络访问规则的名称。
        • 网络类型:应用访问KMS的网络类型。

          选择Private,适用于应用程序访问部署到VPC内的专属服务。

        • 描述信息:网络访问规则的详细信息。
        • 允许私网地址:允许应用程序访问的网络地址。

          您可以设置私网IP地址或者网段,多个IP地址之间用半角逗号(,)间隔。

      3. 单击创建
      4. 选择已有规则,然后单击箭头图标。
    3. 选择已有策略,然后单击箭头图标。
  6. 输入描述信息,然后单击更新

删除应用接入点

删除应用接入点将同步删除应用接入点绑定的所有Client Key。

警告 删除应用接入点前,请确认该应用接入点已不再使用,否则会导致您的业务不可用。
  1. 登录密钥管理服务控制台
  2. 在页面左上角的地域下拉列表,选择应用接入点所在的地域。
  3. 在左侧导航栏,单击应用管理
  4. 单击目标应用接入点操作列的删除
  5. 删除应用接入点对话框,单击确定

删除Client Key

Client Key是应用接入点用于身份认证的凭证,其凭证内容需要在首次创建时妥善保存。如果您忘记了Client Key的凭证内容,可以删除该Client Key,然后创建一个新的Client Key。

警告 删除Client Key前,请确认该Client Key已不再使用,否则会导致您的业务不可用。
  1. 登录密钥管理服务控制台
  2. 在页面左上角的地域下拉列表,选择应用接入点所在的地域。
  3. 在左侧导航栏,单击应用管理
  4. 单击应用接入点名称。
  5. Client Key区域,单击目标Client Key操作列的删除
  6. 删除Client Key对话框,单击确定