管理應用存取點、權限原則、網路規則以及ClientKey。 - Key Management Service

本文介紹如何管理應用存取點、權限原則、網路規則以及ClientKey。

管理應用存取點

查看應用存取點詳情

登入Key Management Service控制台，在頂部功能表列選擇地區後，在左側導覽列單擊应用接入 > 接入点。
在应用接入頁簽，通過实例ID或者應用存取點名稱篩選，定位到目標應用存取點。
單擊應用存取點，查看詳情。
1. 权限策略：關於各項的詳細資料，請參見權限原則。
2. 身份凭证：僅能查看到ClientKey的Key ID、演算法、有效期、创建日期，不支援查看Client Key的具體內容。

更換應用存取點綁定的權限原則

重要

權限原則調整後，生效等待時間長度最長為5分鐘。若調整後未生效，請等待5分鐘再次嘗試。

在应用接入頁簽，定位到目標應用存取點。
單擊應用存取點進入詳情頁面，在权限策略頁簽，單擊配置权限策略。
在更新应用接入点面板，重新選擇权限策略，您最多可以選擇3個。
如果已有策略不符合您要求，請先建立權限原則。

刪除應用存取點

警告

應用存取點刪除後立即生效。如果您使用ClientKey作為訪問憑證，刪除前請確保ClientKey已不再使用，否則會導致應用無法訪問KMS。您可以在Log Service查看近180天的日誌，在搜尋方塊中直接輸入ClientKey的Key ID值進行全文檢索索引，如果查詢結果顯示存在access_key_id欄位值為ClientKey的Key ID，則說明仍有調用。具體操作，請參見查詢和分析日誌。

在应用接入頁簽，定位到目標應用存取點，單擊操作列的删除。
完成安全驗證後KMS會刪除該應用存取點。

系統管理權限策略

建立權限原則

登入Key Management Service控制台，在頂部功能表列選擇地區後，在左側導覽列單擊应用接入 > 接入点。

在权限策略頁簽，單擊创建权限策略，在创建权限策略面板完成各項配置，然後單擊確定。

配置項	說明
权限策略名称	自訂權限原則名稱。
作用域	如果您建立網路規則時，网络类型選擇Private，則此處選擇指定的KMS執行個體，网络类型選擇Public或VPC，則此處選擇KMS共享网关。
RBAC权限	作用域選擇指定的KMS執行個體： CryptoServiceKeyUser：允許使用KMS執行個體中的密鑰。支援執行個體API中的密碼運算介面，具體請參見密鑰介面。 CryptoServiceSecretUser：允許使用KMS執行個體中的憑據。支援執行個體API中的憑據介面，具體請參見憑據介面。作用域選擇KMS共享网关： SecretUser：允許使用當前帳號下的所有憑據。支援的介面為OpenAPI中的GetSecretValue。
允许访问的资源	勾選應用需要訪問的密鑰和憑據。重要勾選多個憑據時，如果憑據名稱總長度超限會報“參數非法”錯誤，此時請使用萬用字元配置允許訪問的憑據。例如，配置為`secret/rds-ibm*`，表示允許訪問首碼為`rds-ibm`的憑據。
网络控制规则	選擇您已經建立的網路規則。說明如果您不需要基於來源IP限制訪問，則不需要選擇網路規則。但為了更高的安全性，通常建議您合理設定。
描述信息	自訂描述資訊。

權限原則建立成功後，您需要將權限原則綁定到應用存取點中。

編輯權限原則

警告

修改權限原則，會影響所有關聯該策略的應用存取點，請您謹慎操作。
修改權限原則後，生效等待時間長度最長為5分鐘。若修改後未生效，請等待5分鐘再次嘗試。

情境一：我知道權限原則名稱

在权限策略頁簽，定位到目標策略，單擊操作列的编辑。
在编辑权限策略面板，修改RBAC权限、允许访问的资源或网络控制规则，然後單擊確定。

情境二：我只知道應用存取點名稱，不知道具體權限原則名稱

在应用接入頁簽，定位到目標應用存取點。
單擊應用存取點進入詳情頁面，在权限策略頁簽，找到目標策略。
單擊操作列的編輯，在彈出的编辑权限策略面板，修改RBAC权限、允许访问的资源或网络控制规则，然後單擊確定。

刪除權限原則

警告

刪除前請確保該權限原則沒有被任何應用存取點綁定，否則會導致相關應用無法正常訪問KMS。

在权限策略頁簽，定位到目標策略，單擊操作列的删除。
確認無誤後，在确认對話方塊，單擊確定。

管理網路規則

建立網路規則

登入Key Management Service控制台，在頂部功能表列選擇地區後，在左側導覽列單擊应用接入 > 接入点。
單擊网络规则頁簽，然後單擊创建网络规则。

在创建网络规则面板完成各項配置後，單擊確定。

配置項	說明
规则名称	自訂網路規則的名稱。
网络类型	Private：應用通過KMS執行個體Endpoint使用密鑰和憑據。 Public：應用通過KMS服務Endpoint（公網接入地址）使用憑據。 VPC：應用通過KMS服務Endpoint（VPC接入地址）使用憑據。僅華東1（杭州）、華東2（上海）、華南1（深圳）、華北3（張家口）支援該選項。說明密碼運算操作：僅支援使用KMS執行個體SDK通過KMS執行個體Endpoint訪問。您建立應用存取點時，網路類型請選擇Private。擷取憑據值：可以使用KMS執行個體SDK，也可以使用憑據SDK。建議您使用憑據SDK，並且應用存取點中網路類型選擇Private，以擷取更高的QPS和更高的安全性。 KMS執行個體SDK：網路類型只能選擇Private，來源IP只能設定為KMS執行個體綁定的VPC中的IP。憑據SDK：網路類型可以選擇Private、Public、VPC。
允许访问的源IP地址	一般情況下，請填寫您應用伺服器相應網路類型的IP地址。如果使用Proxy 伺服器等，請填寫Proxy 伺服器的IP地址。網路類型是Private，請填寫KMS執行個體關聯的VPC中的IP。網路類型是Public，請填寫公網IP地址。網路類型是VPC，請填寫VPC ID和VPC IP地址。
描述信息	自訂描述資訊。

建立完成後，您需要將網路規則和權限原則綁定。

編輯網路規則

警告

修改權限原則，會影響所有關聯該規則的應用存取點，請您謹慎操作。

在网络规则頁簽，定位到目標規則，然後單擊操作列的编辑。
在编辑网络规则面板，修改允许访问的源IP地址，然後單擊確定。

刪除網路規則

警告

刪除前請確保該網路控制規則沒有被任何權限原則綁定，否則會導致相關應用無法正常訪問KMS。

在网络规则頁簽，定位到目標規則，然後單擊操作列的删除。
確認無誤後，在确认面板，單擊確定。

管理ClientKey

建立ClientKey

登入Key Management Service控制台，在頂部功能表列選擇地區後，在左側導覽列單擊应用接入 > 接入点。
單擊应用接入頁簽，通過实例ID或者應用存取點名稱篩選，定位到目標應用存取點。
單擊應用存取點名稱，在詳情頁面單擊身份凭证頁簽後，單擊创建凭证。
在创建凭证對話方塊設定Client Key加密口令和有效期。
- Client Key加密口令：8~64位，支援數字、英文大小寫、特殊字元~!@#$%^&*?_-。
- 有效期：預設為5年，建議您設定為1年，以降低ClientKey被泄露的風險。
單擊確定，瀏覽器會自動下載ClientKey。
ClientKey包含應用身份憑證內容（ClientKeyContent）和憑證口令（ClientKeyPassword）。 應用身份憑證內容（ClientKeyContent）檔案名稱預設為clientKey_****.json。憑證口令（ClientKeyPassword）檔案名稱預設為clientKey_****_Password.txt。

刪除ClientKey

警告

ClientKey刪除後立即生效，刪除前請確保已不再使用，否則會導致應用無法訪問KMS。

在应用接入頁簽，定位到目標應用存取點。
單擊應用存取點進入詳情頁面，在身份凭证頁簽，定位到目標ClientKey，單擊操作列的删除。
在彈出的确认對話方塊中確認無誤後，單擊確定。
完成安全驗證後，KMS會刪除該ClientKey。