管理应用接入点

您可以创建应用接入点AAP(Application Access Point),控制应用程序如何使用凭据。

说明

本文仅适用于旧版本用户,如果您购买的是KMS 3.0产品,应用如何接入KMS,请参见SDK参考

创建应用接入点

  1. 登录密钥管理服务控制台

  2. 在页面左上角的地域下拉列表,选择应用接入点所在的地域。

  3. 在左侧导航栏,单击应用管理

  4. 单击创建应用接入点

  5. 创建应用接入点对话框,设置基本信息。

    1. 输入名称描述信息

      说明

      应用接入点名称在阿里云账号下的当前地域内唯一。

    2. 认证方式区域,选择认证方式。

      认证方式

      说明

      示例

      RAMRole

      如果您为应用程序的运行环境(例如:ECS实例、ACK集群、函数计算)绑定了RAM角色,可以使用RAMRole的认证方式。此时需指定以下信息:

      • 委托信任:对应用程序进行身份认证时,KMS会校验RAM角色的委托信任规则。您可以指定绑定的RAM角色类型,自动配置委托信任规则。

        取值:

        • ECS实例角色:应用部署在ECS实例。

        • ACK Worker角色:应用部署在ACK集群。

        • 函数计算角色:应用部署在函数计算。

      • 角色名称:绑定的RAM角色名称。

      • 委托信任:ECS实例角色

      • 角色名称:ECSRole

      Client Key

      您可以使用Client Key的认证方式,为AAP绑定客户端证书。AAP使用证书的公钥,对应用程序进行身份认证。

      选择该方式时,您需要在AAP创建完成后,绑定Client Key。具体操作,请参见为AAP绑定Client Key

      -

    3. 单击下一步

  6. 设置权限策略。

    1. 单击可选策略右侧的加号图标。

    2. 创建权限策略对话框,设置以下参数,然后单击创建

      参数名称

      参数说明

      示例

      权限策略名称

      权限策略的名称。

      RAMPolicy

      作用域

      权限策略的适用范围。

      取值:

      • 共享KMS:权限策略适用于KMS。

      • 专属KMS实例ID:权限策略适用于指定的专属KMS实例。

      共享KMS

      RBAC权限

      权限管理模板,表示权限策略对具体资源的操作。

      取值:

      • SecretUser:对KMS进行凭据相关操作,可操作的接口为GetSecretValue。

      • CryptoServiceKeyUser:对专属KMS实例进行密码运算操作。

      SecretUser

      允许访问资源

      权限策略被授权的具体对象。可以通过以下两种方法设置:

      • 方法一:在可选资源区域,选择已有资源,然后单击箭头图标。

      • 方法二:在已选资源区域,单击加号图标,然后手动输入资源,最后单击添加

        说明

        资源支持通配符(*)作为后缀。

      secret/dataKey****

      网络控制规则

      权限策略允许访问的网络类型和IP地址。

      您可以在可选规则区域,选择已有规则,或者按照以下步骤创建并添加新规则。

      1. 单击加号图标。

      2. 创建网络访问规则对话框,设置以下参数:

        • 名称:网络访问规则的名称。

        • 网络类型:应用访问KMS的网络类型。

          取值:

          • Public:适用于应用程序访问KMS的公网Endpoint。

          • VPC:适用于应用程序访问KMS的VPC Endpoint。

          • Private:适用于应用程序访问部署到VPC内的专属服务。

        • 描述信息:网络访问规则的详细信息。

        • 允许地址:允许应用程序访问的网络地址。

          取值:

          • 当网络类型为Public时:公网IP地址。

          • 当网络类型为VPC时:VPC ID,以及VPC内的IP地址或者网段。

          • 当网络类型为Private时:私网IP地址或者网段。

          说明

          多个IP地址间用半角逗号(,)分隔。

      3. 单击创建

      4. 选择已有规则,然后单击箭头图标。

      • 名称:Network

      • 网络类型:VPC

      • 描述信息:访问指定的VPC

      • VPC ID:vpc-bp1drih00fwsrgz2p****

      • 来源IP:192.168.0.0/16

    3. 选择已有策略,然后单击箭头图标。

    4. 单击下一步

  7. 检查应用接入点信息,然后单击创建

为AAP绑定Client Key

认证方式为Client Key的AAP创建完成后,您可以为其绑定用于身份认证的Client Key。

  1. 单击应用接入点名称。

  2. Client Key区域,单击创建Client Key

  3. 创建Client Key对话框,设置以下参数。

    认证方式

    说明

    示例

    Client Key加密口令

    在您使用Client Key访问KMS时需要使用该口令对Client Key私钥文件进行解密,请妥善保管。

    Test****

    有效期

    有效期时间范围外使用Client Key会访问失败。

    2022年4月3日-2027年3月4日

  4. 单击确定

  5. 创建成功对话框,获取口令Client Key

    • 口令:单击Client Key解密口令右侧的复制,获取口令。

    • Client Key:单击下载Client Key,获取Client Key的凭证信息。

      凭证信息包含Key ID和私钥(PrivateKeyData),示例如下:

      {
        "KeyId": "KAAP.71be72c8-73b9-44e0-bb75-81ee51b4****",
        "PrivateKeyData": "MIIJwwIBAz****ICNXX/pOw=="
      }
      说明

      KMS不会保存Client Key的私钥,因此您只能在创建Client Key时获取到加密的PKCS12文件(私钥文件),请妥善保管。