本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
ClientKey的有效期可设置为1年~5年,建议您对ClientKey按一年为周期定期更换。如果您的ClientKey即将到期,请您务必及时更换,否则应用将无法正常访问KMS。本文介绍如何更换ClientKey。
步骤一:创建一个新的ClientKey
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击。
单击应用接入页签,通过实例ID或者应用接入点名称筛选,定位到目标应用接入点。
单击应用接入点名称,在详情页面单击身份凭证页签后,单击创建凭证。
在创建凭证对话框设置Client Key加密口令和有效期。
Client Key加密口令:8~64位,支持数字、英文大小写、特殊字符
~!@#$%^&*?_-。有效期:默认为5年,建议您设置为1年,以降低ClientKey被泄露的风险。
单击确定,浏览器会自动下载ClientKey。
ClientKey包含应用身份凭证内容(ClientKeyContent)和凭证口令(ClientKeyPassword)。 应用身份凭证内容(ClientKeyContent)文件名默认为
clientKey_****.json。凭证口令(ClientKeyPassword)文件名默认为clientKey_****_Password.txt。
步骤二:更换自建应用中的ClientKey
以KMS实例SDK for Java为例,初始化Client实例时,你需要将clientKeyPass替换为新的凭证口令,clientKeyFilePath或clientKey替换为新的应用身份凭证内容。
步骤三:观察旧ClientKey是否仍有调用
您可以通过观察旧ClientKey是否仍有调用,判断ClientKey是否已经全部更换。确认没有调用后,对于不使用的ClientKey请及时删除。
获取旧ClientKey的Key ID。
在左侧导航栏单击,选择您的实例ID。
在搜索框中输入ClientKey的Key ID,查询旧ClientKey是否仍有调用。
如果仍有调用,说明ClientKey未更换完全,您可以根据
client_ip、useragent等字段的信息追溯是哪些应用未替换。
步骤四:删除旧ClientKey
ClientKey删除后立即生效,删除前请确保已不再使用,否则会导致应用无法访问KMS。
定位到旧ClientKey,单击操作列的删除。
在弹出的删除Client Key对话框中确认无误后,单击确定。
完成安全验证后,KMS会删除该ClientKey。