创建应用接入点

注意事项

• 建议您为每个集成KMS的应用单独创建应用接入点，以确保访问权限的独立性。

• ClientKey的有效期默认为5年，您可以在创建ClientKey时指定有效期，推荐您设置为1年。请务必在到期前更换，以免无法正常访问KMS。具体操作，请参见更换ClientKey。

前提条件

• 已购买和启用KMS实例。具体操作，请参见购买和启用KMS实例。

• 已创建密钥或凭据。具体操作，请参见密钥管理快速入门、凭据管理快速入门。

通过控制台创建

支持快速创建和标准创建。当您的应用需要快速集成SDK时，可以使用快速创建方式，相比于标准创建该方式有以下限制：

• 快速创建仅支持通过KMS实例Endpoint使用密钥和凭据，标准创建既支持通过KMS实例Endpoint使用密钥和凭据，也支持通过KMS服务Endpoint使用凭据。

• 应用接入点中的ClientKey有效期为5年，不支持自定义有效期。建议您使用1年后及时更换，具体操作，请参见更换ClientKey。

• 应用接入点中的权限策略，允许访问资源默认为指定KMS实例中的所有密钥和凭据。您可以在创建完成后修改权限策略。具体操作，请参见管理应用接入点。

方式一：快速创建

1. 登录密钥管理服务控制台，在顶部菜单栏选择地域后，在左侧导航栏单击应用接入 > 接入点。

2. 在应用接入页签，单击创建应用接入点，在创建应用接入点面板完成各项配置。

   配置项	说明
   创建模式	选择快速创建。
   作用域（KMS实例）	选择应用要访问的KMS实例。
   应用接入点名称	自定义应用接入点的名称。
   认证方式	默认为ClientKey，不支持修改。
   默认权限策略	默认为key/*secret/*，不支持修改。即应用可以访问指定KMS实例中的所有密钥和凭据。

3. 单击确定，浏览器会自动下载ClientKey。

   ClientKey包含应用身份凭证内容（ClientKeyContent）和凭证口令（ClientKeyPassword）。 应用身份凭证内容（ClientKeyContent）文件名默认为clientKey_****.json。凭证口令（ClientKeyPassword）文件名默认为clientKey_****_Password.txt。

方式二：标准创建

1. 登录密钥管理服务控制台，在顶部菜单栏选择地域后，在左侧导航栏单击应用接入 > 接入点。

2. 创建网络规则。

   说明

   如果您不需要基于来源IP限制访问，则不需要设置网络规则。但为了更高的安全性，通常建议您合理设置。

   1. 单击网络规则页签，然后单击创建网络规则。

   2. 在创建网络规则面板完成各项配置后，单击确定。

      配置项	说明
      规则名称	自定义网络规则的名称。
      网络类型	Private：应用通过KMS实例Endpoint使用密钥和凭据。 Public：应用通过KMS服务Endpoint（公网接入地址）使用凭据。 VPC：应用通过KMS服务Endpoint（VPC接入地址）使用凭据。仅华东1（杭州）、华东2（上海）、华南1（深圳）、华北3（张家口）支持该选项。 说明 密码运算操作：仅支持使用KMS实例SDK通过KMS实例Endpoint访问。您创建应用接入点时，网络类型请选择Private。 获取凭据值：可以使用KMS实例SDK，也可以使用凭据SDK。建议您使用凭据SDK，并且应用接入点中网络类型选择Private，以获取更高的QPS和更高的安全性。 KMS实例SDK：网络类型只能选择Private，来源IP只能设置为KMS实例绑定的VPC中的IP。 凭据SDK：网络类型可以选择Private、Public、VPC。
      允许访问的源IP地址	一般情况下，请填写您应用服务器相应网络类型的IP地址。如果使用代理服务器等，请填写代理服务器的IP地址。 网络类型是Private，请填写KMS实例关联的VPC中的IP。 网络类型是Public，请填写公网IP地址。 网络类型是VPC，请填写VPC ID和VPC IP地址。
      描述信息	自定义描述信息。

3. 创建权限策略。

   1. 单击权限策略，然后单击创建权限策略。

   2. 在创建权限策略面板，完成各项配置后，单击确定。

      配置项	说明
      权限策略名称	自定义权限策略名称。
      作用域	如果您创建网络规则时，网络类型选择Private，则此处选择指定的KMS实例，网络类型选择Public或VPC，则此处选择KMS共享网关。
      RBAC权限	作用域选择指定的KMS实例： CryptoServiceKeyUser：允许使用KMS实例中的密钥。支持实例API中的密码运算接口，具体请参见密钥接口。 CryptoServiceSecretUser：允许使用KMS实例中的凭据。支持实例API中的凭据接口，具体请参见凭据接口。 作用域选择KMS共享网关： SecretUser：允许使用当前账号下的所有凭据。支持的接口为OpenAPI中的GetSecretValue。
      允许访问的资源	勾选应用需要访问的密钥和凭据。 重要 勾选多个凭据时，如果凭据名称总长度超限会报“参数非法”错误，此时请使用通配符配置允许访问的凭据。 例如，配置为secret/rds-ibm*，表示允许访问前缀为rds-ibm的凭据。
      网络控制规则	选择您已经创建的网络规则。 说明 如果您不需要基于来源IP限制访问，则不需要选择网络规则。但为了更高的安全性，通常建议您合理设置。
      描述信息	自定义描述信息。

4. 创建应用接入点AAP。

   1. 单击应用接入页签，然后单击创建应用接入点。

   2. 在创建应用接入点面板，完成各项配置后。

      配置项	说明
      创建模式	选择标准创建。
      应用接入点名称	自定义应用接入点名称。
      认证方式	支持ClientKey和RAMRole。本文以ClientKey为例介绍。
      Client Key加密口令	ClientKey的加密口令。8~64位，支持数字、英文大小写、特殊字符~!@#$%^&*?_-，且需要包含其中两种类型。
      有效期	ClientKey的有效期。 重要 推荐您设置为1年，以降低ClientKey被泄露的风险。请务必在到期前更换，以免无法正常访问KMS。具体操作，请参见更换ClientKey。
      权限策略	选择您已经创建的权限策略。
      描述信息	自定义描述信息。

   3. 单击确定，浏览器会自动下载ClientKey。

      ClientKey包含应用身份凭证内容（ClientKeyContent）和凭证口令（ClientKeyPassword）。 应用身份凭证内容（ClientKeyContent）文件名默认为clientKey_****.json。凭证口令（ClientKeyPassword）文件名默认为clientKey_****_Password.txt。

通过OpenAPI创建

1. 调用CreateNetworkRule接口设置允许访问KMS的私网IP或私网网段。

2. 调用CreatePolicy接口设置允许应用访问的密钥和凭据，并绑定网络控制规则。

3. 调用CreateApplicationAccessPoint接口设置认证方式，并绑定权限策略。

4. 调用CreateClientKey接口设置ClientKey的加密口令、有效期，并绑定应用接入点。

通过Terraform创建

具体操作，请参见创建应用接入点。

相关操作

当应用接入点的作用域是KMS实例时，应用集成SDK时需要配置实例CA证书、KMS实例域名地址。作用域是KMS共享网关时不需要。

获取KMS实例CA证书

KMS实例内置SSL/TLS证书，使用HTTPS协议用于身份验证和加密通信。KMS实例CA证书，用于检查KMS实例SSL/TLS证书的有效性。例如：检查KMS实例SSL/TLS证书是否由对应的CA中心签发、是否在有效期内、以及对应的域名是否为KMS实例的域名地址（endpoint）。

1. 在实例管理页面，单击获取实例CA证书区域的下载。

2. 在获取实例CA证书对话框中选择实例ID，单击下载并妥善保管。

   CA证书下载后文件名默认为PrivateKmsCA_kst-******.pem。

获取KMS实例域名地址

1. 在实例管理页面，单击软件密钥管理或硬件密钥管理页签后，选择目标KMS实例。

2. 单击实例ID进入到详情页，查看实例VPC地址。

3. 将实例VPC地址中的https://去掉，即KMS实例域名地址（也称为KMS实例Endpoint）。

相关文档

• 对于长期不使用的应用接入点，建议您及时删除。具体操作，请参见管理应用接入点。

• 对于使用超过1年的ClientKey，建议及时更换。具体操作，请参见更换ClientKey。

• KMS会在ClientKey即将到期时发送告警事件，请您务必关注和及时处理。详细内容，请参见告警事件。