全部产品
Search
文档中心

密钥管理服务:凭据管家代码开发示例

更新时间:May 31, 2023

创建凭据后,您可以使用KMS简单易用的SDK代码使用凭据。本文以Java SDK为例为您介绍如何使用凭据。

准备工作

  1. 获取Java SDK的依赖声明,需要获取的版本请参见SDK概览。示例如下:

    <dependency>
        <groupId>com.aliyun</groupId>
        <artifactId>aliyun-java-sdk-core</artifactId>
        <version>4.5.2</version>
    </dependency>
    <dependency>
        <groupId>com.aliyun</groupId>
        <artifactId>aliyun-java-sdk-kms</artifactId>
        <version>2.12.0</version>
    </dependency>
  2. 根据您使用的KMS地域,确认正确的KMS服务接入地址。详情请参见调用方式

    说明

    本文示例通过指定地域标识符,快速访问KMS的公网接入地址。访问KMS的VPC地址操作方法,请参见Java SDK示例

使用凭据

您可以创建凭据,将受保护数据存入凭据。凭据管家详情,请参见凭据管家概述

说明

阿里云账号AccessKey拥有所有API的访问权限,建议您使用RAM用户进行API访问或日常运维。强烈建议不要把AccessKey ID和AccessKey Secret保存到工程代码里,否则可能导致AccessKey泄露,威胁您账号下所有资源的安全。

本示例以将AccessKey配置在环境变量ALIBABA_CLOUD_ACCESS_KEY_ID和ALIBABA_CLOUD_ACCESS_KEY_SECRET的方式来实现身份验证为例。更多认证信息配置方式,请参见Credentials 设置

package com.aliyun.kms.secretmanager.samples;

import com.aliyuncs.DefaultAcsClient;
import com.aliyuncs.exceptions.ClientException;
import com.aliyuncs.kms.model.v20160120.*;
import com.aliyuncs.profile.DefaultProfile;
import com.aliyuncs.profile.IClientProfile;
import com.aliyuncs.http.HttpClientConfig;

public class FastUsage {
         /*
          *  访问凭据管家前,请在RAM控制台为访问账号添加访问策略(例如:设置密钥管理服务的管理权限AliyunKMSFullAccess)。您也可以添加包含所需的API权限的系统策略或自定义策略。
          * */
    public static DefaultAcsClient getkmsClient() {
        /*
         *  1. 指定凭据管家所在地域。
         *  2. 指定访问KMS所需要的凭证AccessKey ID和AccessKey Secret。
         * */
        IClientProfile profile = DefaultProfile.getProfile("cn-hangzhou",System.getenv("ALIBABA_CLOUD_ACCESS_KEY_ID"),System.getenv("ALIBABA_CLOUD_ACCESS_KEY_SECRET"));
        HttpClientConfig clientConfig = HttpClientConfig.getDefault();
        profile.setHttpClientConfig(clientConfig);
        return new DefaultAcsClient(profile);
    }


    public static void CreateSecretSample(String secret_name,String secret_data,String version_id) throws ClientException {
        DefaultAcsClient acsClient = getkmsClient();

        CreateSecretRequest req = new CreateSecretRequest();
        req.setSecretName(secret_name);
        req.setSecretData(secret_data);
        req.setVersionId(version_id);
        req.setSecretDataType("text");
        req.setDescription("my app passwd");
        req.setEncryptionKeyId("");           //您可以使用对称密钥类型的用户主密钥,或设置为空。设置为空时将使用凭据管家为用户创建的托管密钥。
        req.setTags("");

        CreateSecretResponse rsp = acsClient.getAcsResponse(req);
        System.out.printf("CreateSecret arn: %s; secret_name: %s; versionid: %s; requestid: %s \n",rsp.getArn(),rsp.getSecretName(),rsp.getVersionId(),rsp.getRequestId());
    }


    public static void GetSecretValueSample(String secret_name,String version_stage) throws ClientException {
        DefaultAcsClient acsClient = getkmsClient();

        GetSecretValueRequest req = new GetSecretValueRequest();
        req.setSecretName(secret_name);
        req.setVersionStage(version_stage);

        GetSecretValueResponse  rsp = acsClient.getAcsResponse(req);
        System.out.printf("GetSecretValue  data: %s \n",rsp.getSecretData());
    }



    public static void PutSecretValueSample(String secret_name,String secret_data,String version_id,String version_stages) throws ClientException {
        DefaultAcsClient acsClient = getkmsClient();

        PutSecretValueRequest req = new PutSecretValueRequest();
        req.setSecretName(secret_name);
        req.setSecretData(secret_data);
        req.setSecretDataType("text");
        req.setVersionId(version_id);
        req.setVersionStages(version_stages);  //凭据指定状态的参数取值为JSON格式。


        PutSecretValueResponse rsp = acsClient.getAcsResponse(req);
        System.out.printf("PutSecretValue versionid: %s; now stages: %s \n",rsp.getVersionId(),rsp.getVersionStages());
    }


    public static void DeleteScretSample() throws ClientException {
        DefaultAcsClient acsClient = getkmsClient();

        DeleteSecretRequest req = new DeleteSecretRequest();
        req.setSecretName("myapp_secret");
        req.setForceDeleteWithoutRecovery("true");


        DeleteSecretResponse rsp = acsClient.getAcsResponse(req);
        System.out.printf("DeleteSecret force delete secret:%s \n",rsp.getSecretName());
    }


    public static void main(String[] args ){
        try {
           /*
            *  创建凭据,并指定初始版本VersionId和需被加密的凭据值SecretData。初始版本的状态被系统标记为ACSCurrent。
            * */
            FastUsage.CreateSecretSample("myapp_secret","mysqpasswdv1","v1");
            /*
             *  获取凭据。如果不指定版本号或版本状态,则凭据管家默认返回被标记为ACSCurrent版本的凭据值。
             * */
            FastUsage.GetSecretValueSample("myapp_secret","");


            /*
             *  为凭据存入一个新版本的凭据值,并指定此版本所处状态VersionStages。若不指定,系统默认将ACSCurrent移动至新版本。
             * */
            FastUsage.PutSecretValueSample("myapp_secret","mysqpasswdv2","v2","[\"ACSCurrent\", \"MyUserstage\"]");
            /*
             *  再次获取凭据。默认获取最新版本的凭据值。
             * */
            FastUsage.GetSecretValueSample("myapp_secret","");



            FastUsage.PutSecretValueSample("myapp_secret","mysqpasswdv3","v3","");
            /*
             *  获取凭据。默认获取最新版本的凭据值。
             * */
            FastUsage.GetSecretValueSample("myapp_secret","");
            /*
             *  获取凭据。指定参数VersionId或VersionStage后,您可以获取之前创建版本的凭据值。
             * */
            FastUsage.GetSecretValueSample("myapp_secret","MyUserstage");


            FastUsage.DeleteScretSample();

        } catch (ClientException e) {
            e.printStackTrace();
        }

    }
}

更多代码示例,请参见KMS代码开发样例库