如果您的应用使用到数据库账号密码、OAuth密钥和Token等敏感数据,您可以将这些敏感数据托管在凭据管家中,应用通过调用凭据管家的API来获取敏感数据,帮助您规避在代码中硬编码凭据带来的敏感信息泄露风险。本文介绍如何创建、查看、修改、删除以及还原凭据。

背景信息

专属KMS的凭据管家支持4种凭据类型:通用凭据、RDS凭据、RAM凭据、ECS凭据。不同类型凭据的详细说明见下表。
凭据类型说明
通用凭据通用凭据(Generic Secret)是凭据管家支持的基础类型凭据。您可以使用通用凭据存储账号口令、访问密钥、OAuth密钥和Token、API Key等任意的敏感数据。更多信息,请参见通用凭据概述
RDS凭据RDS凭据是指RDS(阿里云关系型数据库)实例的数据库账号和密码。凭据管家支持托管RDS凭据,对凭据进行全自动的定期轮换,降低业务数据面临的安全威胁。更多信息,请参见动态RDS凭据概述
RAM凭据RAM凭据是指RAM用户的访问密钥(AccessKey),包括AccessKey ID和AccessKey Secret,用于RAM用户在调用阿里云API时完成身份验证。

凭据管家支持托管RAM凭据(即RAM用户的AK),对RAM凭据进行全自动定期轮转和立即轮转,从而帮助您降低RAM凭据泄漏风险。通过使用托管RAM凭据插件,您在应用程序开发时可更方便的集成托管RAM凭据。更多信息,请参见动态RAM凭据概述

ECS凭据ECS凭据是指您登录ECS实例时用于身份验证的口令和公私钥。凭据管家支持您对托管ECS凭据进行定期或人工轮转,为ECS实例更换高强度口令和公私钥,从而降低ECS凭据泄露的风险。更多信息,请参见动态ECS凭据概述

前提条件

  • 已购买专属KMS实例且购买时已选择凭据数量。具体操作,请参见购买专属KMS实例
  • 确保专属KMS实例已启用。

创建凭据

创建凭据时您可以根据业务需要,创建不同类型的凭据,将凭据值存入凭据的初始版本。

  1. 登录密钥管理服务控制台,在页面左上角的地域下拉列表,选择专属KMS实例所在的地域。
  2. 在左侧导航栏,单击专属KMS
  3. 专属KMS页面,单击目标实例的实例ID后,单击凭据页签。
  4. 单击创建凭据,在创建凭据对话框中完成凭据配置,单击下一步
    根据您的凭据类型不同,配置项不同。
    • 通用凭据
      配置项说明
      选择凭据类型选择通用凭据
      凭据名称输入自定义的凭据名称。
      设置凭据值根据您要托管的敏感数据类型,选择凭据键/值纯文本
      初始版本号凭据的初始版本号。默认为v1,也支持自定义版本号。
      描述信息输入凭据的描述信息。
      加密主密钥选择同实例的一个用户主密钥作为凭据的加密主密钥。
    • 托管RDS凭据
      配置项说明
      选择凭据类型选择托管RDS凭据
      凭据名称输入自定义的凭据名称。
      择RDS实例选择阿里云账号下已有的RDS实例。
      设置凭据值
      • 双账号托管(推荐):适用于程序化访问数据库场景。托管两个相同权限的账号,保证口令重置切换的瞬间,程序访问不被中断。
        • 单击一键创建和授权页签,配置账号名、选择数据库并指定权限。
          说明 一键创建和授权不会立即为您配置新的账号,而是在您审核确认凭据信息之后进行配置。
        • 单击导入已有账号页签,选择用户名、配置口令。
          说明 建议您将口令配置为创建RDS实例用户账号时对应的密码。如果导入的账号和口令不匹配,您可以在凭据首次轮转之后,获取正确的账号和口令。
      • 单账号托管:适用于高权限账号或者人工运维账号托管场景。口令重置切换的瞬间,凭据的当前版本可能暂时无法使用。
        • 单击一键创建和授权页签,配置账号名、选择账号类型。

          您可以选择普通账号高权限账号两种账号类型。当您选择普通账号时,还需选择数据库并指定权限。

        • 单击导入已有账号页签,选择用户名、配置口令。
      描述信息输入凭据的描述信息。
      加密主密钥选择同实例的一个用户主密钥作为凭据的加密主密钥。
    • 托管RAM凭据
      配置项说明
      选择凭据类型选择托管RAM凭据
      选择RAM用户选择您要托管凭据的RAM用户,所选RAM用户需要至少有一个AccessKey。
      设置凭据值在AccessKey ID右侧输入对应的AccessKey Secret。
      说明 建议您输入正确的AccessKey Secret。如果AccessKey Secret不正确,您将在RAM凭据首次轮转后获取一组新的AccessKey ID和AccessKey Secret。
      描述信息输入凭据的描述信息。
      加密主密钥选择同实例的一个用户主密钥作为凭据的加密主密钥。
    • 托管ECS凭据
      配置项说明
      选择凭据类型选择托管ECS凭据
      凭据名称输入自定义的凭据名称。
      托管实例选择阿里云账号下已有的ECS实例。
      托管用户填写ECS实例上已有的用户名称,例如:root(Linux系统)或Administrator(Windows系统)。
      初始凭据值选择口令密钥对,填入对应的初始凭据值。
      • 口令:用户登录ECS实例的密码。
      • 密钥对:用户登录ECS实例的SSH密钥对。
      说明 建议输入正确的凭据值。如果输入的凭据值不正确,在ECS凭据首次轮转前,您从凭据管家获取到的口令或密钥对将不能正常登录ECS实例。
      描述信息输入凭据的描述信息。
      加密主密钥选择同实例的一个用户主密钥作为凭据的加密主密钥。
  5. 配置凭据轮转,然后单击下一步
    凭据类型说明
    通用凭据不支持在控制台配置凭据轮转,您可以构建定时轮转任务对通用凭据进行轮转。具体操作,请参见轮转通用凭据
    托管RDS凭据托管RAM凭据托管ECS凭据选中开启自动轮转,配置轮转周期,凭据管家将定期为您更新凭据值。如果您无需自动轮转凭据,请选择关闭自动轮转

查看及修改凭据

您可以根据需要查看或修改凭据的具体信息,不同类型凭据的信息略有不同,以下操作以通用凭据为例。

  1. 登录密钥管理服务控制台,在页面左上角的地域下拉列表,选择专属KMS实例所在的地域。
  2. 在左侧导航栏,单击专属KMS
  3. 专属KMS页面,单击目标实例的实例ID后,单击凭据页签。
  4. 凭据页签,单击目标凭据的名称或者操作列的凭据详情,查看或者修改凭据。
    • 查看凭据:您可以在凭据详情页查看凭据详情版本列表以及标签

      如果您需要查看指定版本的凭据值,也可以单击指定版本操作列的查看,阅读提示后单击 确认继续查看,完成手机验证后查看凭据值。

    • 修改凭据:具体支持修改的项目见下表。
      修改项操作
      凭据的描述信息单击描述信息后的编辑 图标,更新凭据描述后,单击确定
      存入新版本的凭据值单击存入凭据值,在存入凭据值对话框中输入版本号设置凭据值后,单击确定
      为凭据值设置自定义的版本状态版本列表区域,找到目标版本,单击版本状态列的状态管理您,输入版本状态后单击确定
      说明 您可以将版本设置为内建的或者自定义的状态。每个版本可以被设置为多个状态,但是每个状态只能标记一个版本。添加凭据对象内已经存在的状态,会将此状态从其他版本上同步移除。
      为凭据添加标签单击添加标签,输入标签键标签值后单击确定

删除及还原凭据

您可以选择立即删除凭据,也可以设置凭据的计划删除时间,凭据会在设置的时间后自动删除。如果您设置了计划删除时间,在删除之前您可以通过还原凭据操作撤销删除。

警告 删除凭据前,请确认该凭据已不再使用,否则会导致您的业务不可用。
  1. 登录密钥管理服务控制台,在页面左上角的地域下拉列表,选择专属KMS实例所在的地域。
  2. 在左侧导航栏,单击专属KMS
  3. 专属KMS页面,单击目标实例的实例ID后,单击凭据页签。
  4. 凭据页签,定位到目标凭据,单击操作列的更多图标后,单击计划删除凭据,选择凭据删除方式,单击确定
    • 计划删除凭据:设置预删除周期(7~30天)。系统将在预删除周期后删除凭据。
      说明 在凭据被删除之前,如果您需要撤销删除的操作,可以执行如下步骤:单击目标凭据,单击操作列的更多后,单击还原凭据撤销删除凭据。
    • 立即删除凭据:凭据会被立即删除。