デフォルトでは、Key Management Service (KMS) インスタンスのキーは、Virtual Private Cloud (VPC) ネットワーク経由でのみアクセス可能です。アプリケーションが VPC の外部で実行されている場合は、KMS コンソールでインターネットアクセスを有効にすることで、インターネットから暗号操作 API を呼び出すことができます。
KMS インスタンス内のシークレットは、デフォルトでインターネットと VPC ネットワークの両方からアクセス可能です。アプリケーションがシークレットにのみアクセスする場合は、インターネットアクセスを有効にする必要はありません。
制限事項
| 制限事項 | 詳細 |
|---|---|
| 有効化方法 | インターネットアクセスはコンソールからのみ有効にでき、OpenAPI 経由では有効にできません。 |
| QPS 上限 | 購入した QPS レベルに関わらず、インターネット経由の暗号操作は、秒間クエリ数 (QPS) が 1,000 を超えることはできません。パフォーマンス専有型のワークロードの場合は、VPC ネットワークを使用してください。QPS のベンチマークについては、「パフォーマンスデータ」をご参照ください。 |
| マルチアカウント権限 | KMS インスタンスが複数の Alibaba Cloud アカウント間で共有されている場合、インスタンス所有者のみがインターネットアクセスを有効にできます。インスタンスユーザーはこの操作を実行できません。 |
重要
インスタンス所有者ではなくインスタンスユーザーである場合、インターネットアクセスを有効にすることはできません。続行する前に、インスタンス所有者に連絡してこの構成を完了してもらってください。
前提条件
作業を開始する前に、以下をご確認ください。
KMS インスタンス
インスタンス所有者の権限
インターネットアクセスの有効化
KMS コンソールにログインします。上部のナビゲーションバーでリージョンを選択します。左側のナビゲーションウィンドウで、[リソース] > [インスタンス] を選択します。
インスタンスリストで、ターゲットインスタンスの ID をクリックします。インスタンス詳細ページで、[リソースの共有] タブに移動し、インターネットアクセスを有効にします。KMS インスタンスが複数の Alibaba Cloud アカウントと共有されている場合、アカウントごとにインターネットアクセス権限を個別に構成できます。
[インスタンス] タブに切り替え、ページに表示されるパブリックエンドポイントを確認します。
次のステップ
パブリックエンドポイントと Alibaba Cloud SDK を使用して、インターネット経由で暗号操作を実行します。SDK のセットアップと使用方法については、「Alibaba Cloud SDK」をご参照ください。