當您為專屬KMS實例創(chuàng)建應用接入點后,應用接入點權限策略作用域會顯示專屬KMS。您可以根據需要更新應用接入點、刪除應用接入點或者刪除Client Key。

創(chuàng)建應用接入點

當專屬KMS實例處于已啟用狀態(tài)時,您可以為實例快速創(chuàng)建應用接入點(AAP)和應用身份憑證(Client Key),以便應用程序正常訪問專屬KMS。

  1. 登錄密鑰管理服務控制臺。
  2. 在頁面左上角的地域下拉列表,選擇專屬KMS實例所在的地域。
  3. 在左側導航欄,單擊專屬KMS。
  4. 專屬KMS頁面,找到目標專屬KMS實例,在操作列單擊詳情。
  5. 應用接入指南區(qū)域,單擊快速創(chuàng)建應用接入點。
  6. 快速配置應用身份憑證和權限面板,設置應用接入點信息。
    1. 輸入應用接入點名稱
    2. 設置訪問控制策略。
      • 允許訪問資源:默認填寫Key/*,表示允許訪問當前專屬KMS實例的全部密鑰。
      • 允許網絡來源:允許訪問的網絡類型和IP地址。您可以設置私網IP地址或者私網網段,多個IP地址之間用半角逗號(,)分隔。
    3. 單擊創(chuàng)建
  7. 應用身份憑證對話框,獲取憑證口令應用身份憑證內容(Client Key)。
    • 憑證口令:單擊復制口令,獲取憑證口令。
    • 應用身份憑證內容:單擊下載應用身份憑證,保存應用身份憑證信息。

      應用身份憑證信息包含憑證ID(KeyId)和憑證內容(PrivateKeyData),示例如下:

      {
  "KeyId": "KAAP.71be72c8-73b9-44e0-bb75-81ee51b4****",
  "PrivateKeyData": "MIIJwwIBAz****ICNXX/pOw=="
}
      說明 專屬KMS不會保存Client Key的憑證內容,因此您只能在創(chuàng)建Client Key時獲取到加密的PKCS12文件(憑證內容),請妥善保管。
  8. 單擊關閉。
    應用接入點創(chuàng)建成功后,您可以在左側導航欄單擊應用管理查看應用接入點信息,包括認證方式、權限策略、網絡控制規(guī)則、Client Key等。
  9. 應用接入指南區(qū)域,單擊獲取實例CA證書下方的下載,下載.pem格式的CA證書文件。

更新應用接入點

您可以根據需要更新應用接入點的權限策略,更新應用使用專屬KMS實例的權限,從而實現不同應用擁有不同實例訪問權限的目的。

  1. 登錄密鑰管理服務控制臺。
  2. 在頁面左上角的地域下拉列表,選擇應用接入點所在的地域。
  3. 在左側導航欄,單擊應用管理。
  4. 找到目標應用接入點名稱,然后單擊右上角的更新。
  5. 更新應用接入點對話框,更新權限策略。
    1. 單擊可選策略右側的加號圖標。
    2. 創(chuàng)建權限策略對話框,配置以下參數,然后單擊創(chuàng)建。
      配置項說明
      權限策略名稱權限策略的名稱。
      作用域權限策略的適用范圍。

      選擇專屬KMS實例的服務ID。

      RBAC權限權限管理模板,表示權限策略對具體資源的操作。

      選擇CryptoServiceKeyUser。

      允許訪問資源權限策略被授權的具體對象。可以通過以下兩種方法設置:
      • 方法一:在可選資源區(qū)域,選擇已有資源,然后單擊箭頭圖標。
      • 方法二:在已選資源區(qū)域,單擊加號圖標,然后手動輸入資源,最后單擊添加。
        說明 資源支持通配符(*)作為后綴。
      網絡控制規(guī)則權限策略允許訪問的網絡類型和IP地址。

      您可以在可選規(guī)則區(qū)域,選擇已有規(guī)則,或者按照以下步驟創(chuàng)建并添加新規(guī)則。

      1. 單擊加號圖標。
      2. 創(chuàng)建網絡訪問規(guī)則對話框,設置以下參數:
        • 名稱:網絡訪問規(guī)則的名稱。
        • 網絡類型:應用訪問KMS的網絡類型。

          選擇Private,適用于應用程序訪問部署到VPC內的專屬服務。

        • 描述信息:網絡訪問規(guī)則的詳細信息。
        • 允許私網地址:允許應用程序訪問的網絡地址。

          您可以設置私網IP地址或者網段,多個IP地址之間用半角逗號(,)間隔。

      3. 單擊創(chuàng)建。
      4. 選擇已有規(guī)則,然后單擊箭頭圖標。
    3. 選擇已有策略,然后單擊箭頭圖標。
  6. 輸入描述信息,然后單擊更新。

刪除應用接入點

刪除應用接入點將同步刪除應用接入點綁定的所有Client Key。

警告 刪除應用接入點前,請確認該應用接入點已不再使用,否則會導致您的業(yè)務不可用。
  1. 登錄密鑰管理服務控制臺。
  2. 在頁面左上角的地域下拉列表,選擇應用接入點所在的地域。
  3. 在左側導航欄,單擊應用管理。
  4. 單擊目標應用接入點操作列的刪除。
  5. 刪除應用接入點對話框,單擊確定

刪除Client Key

Client Key是應用接入點用于身份認證的憑證,其憑證內容需要在首次創(chuàng)建時妥善保存。如果您忘記了Client Key的憑證內容,可以刪除該Client Key,然后創(chuàng)建一個新的Client Key。

警告 刪除Client Key前,請確認該Client Key已不再使用,否則會導致您的業(yè)務不可用。
  1. 登錄密鑰管理服務控制臺。
  2. 在頁面左上角的地域下拉列表,選擇應用接入點所在的地域。
  3. 在左側導航欄,單擊應用管理。
  4. 單擊應用接入點名稱。
  5. Client Key區(qū)域,單擊目標Client Key操作列的刪除。
  6. 刪除Client Key對話框,單擊確定