當自建應用部署在同一地區但分布在多個VPC時,您可以在其中一個VPC內購買KMS執行個體,並將其他VPC綁定到該KMS執行個體,實現多個VPC的應用使用同一個KMS執行個體。本文介紹如何配置同地區下多個VPC內的應用訪問KMS執行個體。
功能介紹
配置完成後,VPC中的應用即可通過KMS執行個體Endpoint,使用該KMS執行個體中的密鑰或憑據。具體請參見下圖。
注意事項
要綁定的VPC和KMS執行個體必須在同一個地區。
要綁定的VPC和KMS執行個體可以屬於同一個阿里雲帳號,也可以屬於不同阿里雲帳號。
如果屬於不同的阿里雲帳號,您需要先配置資源共用,將VPC內的任一交換器資源共用給KMS執行個體所屬的阿里雲帳號,實現VPC間網路互連。
綁定VPC時需要選擇一個交換器,請確保交換器下至少有一個可用IP。
在該VPC,KMS執行個體Endpoint的網域名稱將被解析至該IP地址。
KMS執行個體每綁定一個VPC,就消耗一個访问管理总量配額。如何提升配額,請參見升級KMS執行個體。
說明访问管理总量包含執行個體關聯的VPC數量以及共用KMS時資源使用者的數量。例如,您的KMS執行個體需要關聯3個VPC,並共用給2個資源使用者,那麼訪問管理數量配額最少為5才能滿足業務需求。
前提條件
已購買和啟用KMS執行個體。具體操作,請參見購買和啟用KMS執行個體。
如果要綁定的VPC與KMS執行個體屬於不同阿里雲帳號,請將VPC內的任一交換器資源,共用給KMS執行個體所屬的阿里雲帳號。具體操作,請參見資源所有者開啟VPC共用。
操作步驟
通過控制台配置
登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊。
在实例管理頁面,單擊對應的執行個體頁簽。
定位到目標KMS執行個體,單擊操作列的详情,在頁面最下方單擊多VPC頁簽。
單擊配置VPC,在配置专有网络面板,選中待选专有网络中的VPC,單擊
表徵圖。在请选择需要绑定VPC的交换机對話方塊中,為每個VPC選擇一個交換器,單擊確定。
重要可以選擇任一交換器,不限制是否為您的應用綁定的交換器,但請確保該交換器下至少有一個可用IP。
在配置专有网络頁面,單擊確定。
通過OpenAPI配置
通過Terraform配置
具體操作,請參見通過Terraform購買並啟用軟體密鑰管理執行個體。
後續操作
選擇合適的整合方式訪問KMS執行個體,KMS提供阿里雲SDK、憑據SDK、KMS Agent、KMS執行個體SDK(不推薦)來整合KMS執行個體的密鑰或憑據。若您想瞭解更多KMS接入資訊,請參見KMS API接入指南。