您可以创建应用接入点AAP(Application Access Point),控制应用程序如何使用凭据。
支持的地域
华东1(杭州)、华东2(上海)、华北2(北京)、华北3(张家口)、华南1(深圳)、新加坡、澳大利亚(悉尼)、马来西亚(吉隆坡)、印度尼西亚(雅加达)、美国(弗吉尼亚)、杭州金融云、上海金融云、深圳金融云和北京政务云。
创建应用接入点
- 登录密钥管理服务控制台。
- 在页面左上角的地域下拉列表,选择应用接入点所在的地域。
- 在左侧导航栏,单击应用管理。
- 单击创建应用接入点。
- 在创建应用接入点对话框,设置基本信息。
- 输入名称和描述信息。说明 应用接入点名称在阿里云账号下的当前地域内唯一。
- 在认证方式区域,选择认证方式。
认证方式 说明 示例 RAMRole 如果您为应用程序的运行环境(例如:ECS实例、ACK集群、函数计算)绑定了RAM角色,可以使用RAMRole的认证方式。此时需指定以下信息: - 委托信任:对应用程序进行身份认证时,KMS会校验RAM角色的委托信任规则。您可以指定绑定的RAM角色类型,自动配置委托信任规则。
取值:
- ECS实例角色:应用部署在ECS实例。
- ACK Worker角色:应用部署在ACK集群。
- 函数计算角色:应用部署在函数计算。
- 角色名称:绑定的RAM角色名称。
- 委托信任:ECS实例角色。
- 角色名称:ECSRole。
Client Key 您可以使用Client Key的认证方式,为AAP绑定客户端证书。AAP使用证书的公钥,对应用程序进行身份认证。 选择该方式时,您需要在AAP创建完成后,绑定Client Key。具体操作,请参见为AAP绑定Client Key。
- - 委托信任:对应用程序进行身份认证时,KMS会校验RAM角色的委托信任规则。您可以指定绑定的RAM角色类型,自动配置委托信任规则。
- 单击下一步。
- 输入名称和描述信息。
- 设置权限策略。
- 单击可选策略右侧的
图标。
- 在创建权限策略对话框,设置以下参数,然后单击创建。
参数名称 参数说明 示例 权限策略名称 权限策略的名称。 RAMPolicy 作用域 权限策略的适用范围。 取值:- 共享KMS:权限策略适用于KMS。
- 专属KMS实例ID:权限策略适用于指定的专属KMS实例。
共享KMS RBAC权限 权限管理模板,表示权限策略对具体资源的操作。 取值:- SecretUser:对KMS进行凭据相关操作,可操作的接口为GetSecretValue。
- CryptoServiceKeyUser:对专属KMS实例进行密码运算操作。
SecretUser 允许访问资源 权限策略被授权的具体对象。可以通过以下两种方法设置: - 方法一:在可选资源区域,选择已有资源,然后单击
图标。
- 方法二:在已选资源区域,单击
图标,然后手动输入资源,最后单击添加。
说明 资源支持通配符(*)作为后缀。
secret/dataKey**** 网络控制规则 权限策略允许访问的网络类型和IP地址。 您可以在可选规则区域,选择已有规则,或者按照以下步骤创建并添加新规则。
- 单击
图标。
- 在创建网络访问规则对话框,设置以下参数:
- 名称:网络访问规则的名称。
- 网络类型:应用访问KMS的网络类型。
取值:
- Public:适用于应用程序访问KMS的公网Endpoint。
- VPC:适用于应用程序访问KMS的VPC Endpoint。
- Private:适用于应用程序访问部署到VPC内的专属服务。
- 描述信息:网络访问规则的详细信息。
- 允许地址:允许应用程序访问的网络地址。
取值:
- 当网络类型为Public时:公网IP地址。
- 当网络类型为VPC时:VPC ID,以及VPC内的IP地址或者网段。
- 当网络类型为Private时:私网IP地址或者网段。
说明 多个IP地址间用半角逗号(,)分隔。
- 单击创建。
- 选择已有规则,然后单击
图标。
- 名称:Network。
- 网络类型:VPC。
- 描述信息:访问指定的VPC。
- VPC ID:vpc-bp1drih00fwsrgz2p****。
- 来源IP:192.168.0.0/16。
- 选择已有策略,然后单击
图标。
- 单击下一步。
- 单击可选策略右侧的
- 检查应用接入点信息,然后单击创建。
为AAP绑定Client Key
认证方式为Client Key的AAP创建完成后,您可以为其绑定用于身份认证的Client Key。
- 单击应用接入点名称。
- 在Client Key区域,单击创建Client Key。
- 在创建Client Key对话框,设置以下参数。
认证方式 说明 示例 Client Key加密口令 在您使用Client Key访问KMS时需要使用该口令对Client Key私钥文件进行解密,请妥善保管。 Test**** 有效期 有效期时间范围外使用Client Key会访问失败。 2022年4月3日-2027年3月4日
- 单击确定。
- 在创建成功对话框,获取口令和Client Key。
- 口令:单击Client Key解密口令右侧的复制,获取口令。
- Client Key:单击下载Client Key,获取Client Key的凭证信息。
凭证信息包含Key ID和私钥(PrivateKeyData),示例如下:
{ "KeyId": "KAAP.71be72c8-73b9-44e0-bb75-81ee51b4****", "PrivateKeyData": "MIIJwwIBAz****ICNXX/pOw==" }
说明 KMS不会保存Client Key的私钥,因此您只能在创建Client Key时获取到加密的PKCS12文件(私钥文件),请妥善保管。