当您为专属KMS实例创建应用接入点后,应用接入点权限策略作用域会显示专属KMS。您可以根据需要更新应用接入点、删除应用接入点或者删除Client Key。
创建应用接入点
当专属KMS实例处于已启用状态时,您可以为实例快速创建应用接入点(AAP)和应用身份凭证(Client Key),以便应用程序正常访问专属KMS。
- 登录密钥管理服务控制台。
- 在页面左上角的地域下拉列表,选择专属KMS实例所在的地域。
- 在左侧导航栏,单击专属KMS。
- 在专属KMS页面,找到目标专属KMS实例,在操作列单击详情。
- 在应用接入指南区域,单击快速创建应用接入点。
- 在快速配置应用身份凭证和权限面板,设置应用接入点信息。
- 在应用身份凭证对话框,获取凭证口令和应用身份凭证内容(Client Key)。
- 凭证口令:单击复制口令,获取凭证口令。
- 应用身份凭证内容:单击下载应用身份凭证,保存应用身份凭证信息。
应用身份凭证信息包含凭证ID(KeyId)和凭证内容(PrivateKeyData),示例如下:
{ "KeyId": "KAAP.71be72c8-73b9-44e0-bb75-81ee51b4****", "PrivateKeyData": "MIIJwwIBAz****ICNXX/pOw==" }说明 专属KMS不会保存Client Key的凭证内容,因此您只能在创建Client Key时获取到加密的PKCS12文件(凭证内容),请妥善保管。
- 单击关闭。应用接入点创建成功后,您可以在左侧导航栏单击应用管理查看应用接入点信息,包括认证方式、权限策略、网络控制规则、Client Key等。
- 在应用接入指南区域,单击获取实例CA证书下方的下载,下载.pem格式的CA证书文件。
更新应用接入点
您可以根据需要更新应用接入点的权限策略,更新应用使用专属KMS实例的权限,从而实现不同应用拥有不同实例访问权限的目的。
- 登录密钥管理服务控制台。
- 在页面左上角的地域下拉列表,选择应用接入点所在的地域。
- 在左侧导航栏,单击应用管理。
- 找到目标应用接入点名称,然后单击右上角的更新。
- 在更新应用接入点对话框,更新权限策略。
- 单击可选策略右侧的
图标。 - 在创建权限策略对话框,配置以下参数,然后单击创建。
配置项 说明 权限策略名称 权限策略的名称。 作用域 权限策略的适用范围。 选择专属KMS实例的服务ID。
RBAC权限 权限管理模板,表示权限策略对具体资源的操作。 选择CryptoServiceKeyUser。
允许访问资源 权限策略被授权的具体对象。可以通过以下两种方法设置: - 方法一:在可选资源区域,选择已有资源,然后单击
图标。 - 方法二:在已选资源区域,单击图标,然后手动输入资源,最后单击添加。说明 资源支持通配符(*)作为后缀。
网络控制规则 权限策略允许访问的网络类型和IP地址。 您可以在可选规则区域,选择已有规则,或者按照以下步骤创建并添加新规则。
- 单击图标。
- 在创建网络访问规则对话框,设置以下参数:
- 名称:网络访问规则的名称。
- 网络类型:应用访问KMS的网络类型。
选择Private,适用于应用程序访问部署到VPC内的专属服务。
- 描述信息:网络访问规则的详细信息。
- 允许私网地址:允许应用程序访问的网络地址。
您可以设置私网IP地址或者网段,多个IP地址之间用半角逗号(,)间隔。
- 单击创建。
- 选择已有规则,然后单击图标。
- 方法一:在可选资源区域,选择已有资源,然后单击
- 选择已有策略,然后单击图标。
- 单击可选策略右侧的
- 输入描述信息,然后单击更新。
删除应用接入点
删除应用接入点将同步删除应用接入点绑定的所有Client Key。
警告 删除应用接入点前,请确认该应用接入点已不再使用,否则会导致您的业务不可用。
- 登录密钥管理服务控制台。
- 在页面左上角的地域下拉列表,选择应用接入点所在的地域。
- 在左侧导航栏,单击应用管理。
- 单击目标应用接入点操作列的删除。
- 在删除应用接入点对话框,单击确定。
删除Client Key
Client Key是应用接入点用于身份认证的凭证,其凭证内容需要在首次创建时妥善保存。如果您忘记了Client Key的凭证内容,可以删除该Client Key,然后创建一个新的Client Key。
警告 删除Client Key前,请确认该Client Key已不再使用,否则会导致您的业务不可用。
- 登录密钥管理服务控制台。
- 在页面左上角的地域下拉列表,选择应用接入点所在的地域。
- 在左侧导航栏,单击应用管理。
- 单击应用接入点名称。
- 在Client Key区域,单击目标Client Key操作列的删除。
- 在删除Client Key对话框,单击确定。