您可以创建应用接入点AAP(Application Access Point),控制应用程序如何使用凭据。

创建应用接入点

  1. 登录密钥管理服务控制台
  2. 在页面左上角的地域下拉列表,选择应用接入点所在的地域。
  3. 在左侧导航栏,单击应用管理
  4. 单击创建应用接入点
  5. 创建应用接入点对话框,设置基本信息。
    1. 输入名称描述信息
      说明 应用接入点名称在阿里云账号下的当前地域内唯一。
    2. 认证方式区域,选择认证方式。
      认证方式说明示例
      RAMRole如果您为应用程序的运行环境(例如:ECS实例、ACK集群、函数计算)绑定了RAM角色,可以使用RAMRole的认证方式。此时需指定以下信息:
      • 委托信任:对应用程序进行身份认证时,KMS会校验RAM角色的委托信任规则。您可以指定绑定的RAM角色类型,自动配置委托信任规则。

        取值:

        • ECS实例角色:应用部署在ECS实例。
        • ACK Worker角色:应用部署在ACK集群。
        • 函数计算角色:应用部署在函数计算。
      • 角色名称:绑定的RAM角色名称。
      • 委托信任:ECS实例角色
      • 角色名称:ECSRole
      Client Key您可以使用Client Key的认证方式,为AAP绑定客户端证书。AAP使用证书的公钥,对应用程序进行身份认证。

      选择该方式时,您需要在AAP创建完成后,绑定Client Key。具体操作,请参见为AAP绑定Client Key

      -
    3. 单击下一步
  6. 设置权限策略。
    1. 单击可选策略右侧的加号图标。
    2. 创建权限策略对话框,设置以下参数,然后单击创建
      参数名称参数说明示例
      权限策略名称权限策略的名称。RAMPolicy
      作用域权限策略的适用范围。
      取值:
      • 共享KMS:权限策略适用于KMS。
      • 专属KMS实例ID:权限策略适用于指定的专属KMS实例。
      共享KMS
      RBAC权限权限管理模板,表示权限策略对具体资源的操作。
      取值:
      • SecretUser:对KMS进行凭据相关操作,可操作的接口为GetSecretValue。
      • CryptoServiceKeyUser:对专属KMS实例进行密码运算操作。
      SecretUser
      允许访问资源权限策略被授权的具体对象。可以通过以下两种方法设置:
      • 方法一:在可选资源区域,选择已有资源,然后单击箭头图标。
      • 方法二:在已选资源区域,单击加号图标,然后手动输入资源,最后单击添加
        说明 资源支持通配符(*)作为后缀。
      secret/dataKey****
      网络控制规则权限策略允许访问的网络类型和IP地址。

      您可以在可选规则区域,选择已有规则,或者按照以下步骤创建并添加新规则。

      1. 单击加号图标。
      2. 创建网络访问规则对话框,设置以下参数:
        • 名称:网络访问规则的名称。
        • 网络类型:应用访问KMS的网络类型。

          取值:

          • Public:适用于应用程序访问KMS的公网Endpoint。
          • VPC:适用于应用程序访问KMS的VPC Endpoint。
          • Private:适用于应用程序访问部署到VPC内的专属服务。
        • 描述信息:网络访问规则的详细信息。
        • 允许地址:允许应用程序访问的网络地址。

          取值:

          • 当网络类型为Public时:公网IP地址。
          • 当网络类型为VPC时:VPC ID,以及VPC内的IP地址或者网段。
          • 当网络类型为Private时:私网IP地址或者网段。
          说明 多个IP地址间用半角逗号(,)分隔。
      3. 单击创建
      4. 选择已有规则,然后单击箭头图标。
      • 名称:Network
      • 网络类型:VPC
      • 描述信息:访问指定的VPC
      • VPC ID:vpc-bp1drih00fwsrgz2p****
      • 来源IP:192.168.0.0/16
    3. 选择已有策略,然后单击箭头图标。
    4. 单击下一步
  7. 检查应用接入点信息,然后单击创建

为AAP绑定Client Key

认证方式为Client Key的AAP创建完成后,您可以为其绑定用于身份认证的Client Key。

  1. 单击应用接入点名称。
  2. Client Key区域,单击创建Client Key
  3. 创建Client Key对话框,设置以下参数。
    认证方式说明示例
    Client Key加密口令在您使用Client Key访问KMS时需要使用该口令对Client Key私钥文件进行解密,请妥善保管。Test****
    有效期有效期时间范围外使用Client Key会访问失败。2022年4月3日-2027年3月4日
  4. 单击确定
  5. 创建成功对话框,获取口令Client Key
    • 口令:单击Client Key解密口令右侧的复制,获取口令。
    • Client Key:单击下载Client Key,获取Client Key的凭证信息。

      凭证信息包含Key ID和私钥(PrivateKeyData),示例如下:

      {
        "KeyId": "KAAP.71be72c8-73b9-44e0-bb75-81ee51b4****",
        "PrivateKeyData": "MIIJwwIBAz****ICNXX/pOw=="
      }
      说明 KMS不会保存Client Key的私钥,因此您只能在创建Client Key时获取到加密的PKCS12文件(私钥文件),请妥善保管。