如果您的應用使用到數據庫賬號密碼、OAuth密鑰和Token等敏感數據,您可以將這些敏感數據托管在憑據管家中,應用通過調用憑據管家的API來獲取敏感數據,幫助您規避在代碼中硬編碼憑據帶來的敏感信息泄露風險。本文介紹如何創建、查看、修改、刪除以及還原憑據。
背景信息
專屬KMS的憑據管家支持4種憑據類型:通用憑據、RDS憑據、RAM憑據、ECS憑據。不同類型憑據的詳細說明見下表。
| 憑據類型 | 說明 |
|---|---|
| 通用憑據 | 通用憑據(Generic Secret)是憑據管家支持的基礎類型憑據。您可以使用通用憑據存儲賬號口令、訪問密鑰、OAuth密鑰和Token、API Key等任意的敏感數據。更多信息,請參見通用憑據概述。 |
| RDS憑據 | RDS憑據是指RDS(阿里云關系型數據庫)實例的數據庫賬號和密碼。憑據管家支持托管RDS憑據,對憑據進行全自動的定期輪換,降低業務數據面臨的安全威脅。更多信息,請參見動態RDS憑據概述。 |
| RAM憑據 | RAM憑據是指RAM用戶的訪問密鑰(AccessKey),包括AccessKey ID和AccessKey Secret,用于RAM用戶在調用阿里云API時完成身份驗證。 憑據管家支持托管RAM憑據(即RAM用戶的AK),對RAM憑據進行全自動定期輪轉和立即輪轉,從而幫助您降低RAM憑據泄漏風險。通過使用托管RAM憑據插件,您在應用程序開發時可更方便的集成托管RAM憑據。更多信息,請參見動態RAM憑據概述。 |
| ECS憑據 | ECS憑據是指您登錄ECS實例時用于身份驗證的口令和公私鑰。憑據管家支持您對托管ECS憑據進行定期或人工輪轉,為ECS實例更換高強度口令和公私鑰,從而降低ECS憑據泄露的風險。更多信息,請參見動態ECS憑據概述。 |
前提條件
- 已購買專屬KMS實例且購買時已選擇憑據數量。具體操作,請參見購買專屬KMS實例。
- 確保專屬KMS實例已啟用。
創建憑據
創建憑據時您可以根據業務需要,創建不同類型的憑據,將憑據值存入憑據的初始版本。
- 登錄密鑰管理服務控制臺,在頁面左上角的地域下拉列表,選擇專屬KMS實例所在的地域。
- 在左側導航欄,單擊專屬KMS。
- 在專屬KMS頁面,單擊目標實例的實例ID后,單擊憑據頁簽。
- 單擊創建憑據,在創建憑據對話框中完成憑據配置,單擊下一步。根據您的憑據類型不同,配置項不同。
- 通用憑據:
配置項 說明 選擇憑據類型 選擇通用憑據。 憑據名稱 輸入自定義的憑據名稱。 設置憑據值 根據您要托管的敏感數據類型,選擇憑據鍵/值或純文本。 初始版本號 憑據的初始版本號。默認為v1,也支持自定義版本號。 描述信息 輸入憑據的描述信息。 加密主密鑰 選擇同實例的一個用戶主密鑰作為憑據的加密主密鑰。 - 托管RDS憑據:
配置項 說明 選擇憑據類型 選擇托管RDS憑據。 憑據名稱 輸入自定義的憑據名稱。 擇RDS實例 選擇阿里云賬號下已有的RDS實例。 設置憑據值 - 雙賬號托管(推薦):適用于程序化訪問數據庫場景。托管兩個相同權限的賬號,保證口令重置切換的瞬間,程序訪問不被中斷。
- 單擊一鍵創建和授權頁簽,配置賬號名、選擇數據庫并指定權限。說明 一鍵創建和授權不會立即為您配置新的賬號,而是在您審核確認憑據信息之后進行配置。
- 單擊導入已有賬號頁簽,選擇用戶名、配置口令。說明 建議您將口令配置為創建RDS實例用戶賬號時對應的密碼。如果導入的賬號和口令不匹配,您可以在憑據首次輪轉之后,獲取正確的賬號和口令。
- 單擊一鍵創建和授權頁簽,配置賬號名、選擇數據庫并指定權限。
- 單賬號托管:適用于高權限賬號或者人工運維賬號托管場景。口令重置切換的瞬間,憑據的當前版本可能暫時無法使用。
- 單擊一鍵創建和授權頁簽,配置賬號名、選擇賬號類型。
您可以選擇普通賬號和高權限賬號兩種賬號類型。當您選擇普通賬號時,還需選擇數據庫并指定權限。
- 單擊導入已有賬號頁簽,選擇用戶名、配置口令。
- 單擊一鍵創建和授權頁簽,配置賬號名、選擇賬號類型。
描述信息 輸入憑據的描述信息。 加密主密鑰 選擇同實例的一個用戶主密鑰作為憑據的加密主密鑰。 - 雙賬號托管(推薦):適用于程序化訪問數據庫場景。托管兩個相同權限的賬號,保證口令重置切換的瞬間,程序訪問不被中斷。
- 托管RAM憑據:
配置項 說明 選擇憑據類型 選擇托管RAM憑據。 選擇RAM用戶 選擇您要托管憑據的RAM用戶,所選RAM用戶需要至少有一個AccessKey。 設置憑據值 在AccessKey ID右側輸入對應的AccessKey Secret。 說明 建議您輸入正確的AccessKey Secret。如果AccessKey Secret不正確,您將在RAM憑據首次輪轉后獲取一組新的AccessKey ID和AccessKey Secret。描述信息 輸入憑據的描述信息。 加密主密鑰 選擇同實例的一個用戶主密鑰作為憑據的加密主密鑰。 - 托管ECS憑據:
配置項 說明 選擇憑據類型 選擇托管ECS憑據。 憑據名稱 輸入自定義的憑據名稱。 托管實例 選擇阿里云賬號下已有的ECS實例。 托管用戶 填寫ECS實例上已有的用戶名稱,例如:root(Linux系統)或Administrator(Windows系統)。 初始憑據值 選擇口令或密鑰對,填入對應的初始憑據值。 - 口令:用戶登錄ECS實例的密碼。
- 密鑰對:用戶登錄ECS實例的SSH密鑰對。
說明 建議輸入正確的憑據值。如果輸入的憑據值不正確,在ECS憑據首次輪轉前,您從憑據管家獲取到的口令或密鑰對將不能正常登錄ECS實例。描述信息 輸入憑據的描述信息。 加密主密鑰 選擇同實例的一個用戶主密鑰作為憑據的加密主密鑰。
- 通用憑據:
- 配置憑據輪轉,然后單擊下一步。
憑據類型 說明 通用憑據 不支持在控制臺配置憑據輪轉,您可以構建定時輪轉任務對通用憑據進行輪轉。具體操作,請參見輪轉通用憑據。 托管RDS憑據、托管RAM憑據、托管ECS憑據 選中開啟自動輪轉,配置輪轉周期,憑據管家將定期為您更新憑據值。如果您無需自動輪轉憑據,請選擇關閉自動輪轉。
查看及修改憑據
您可以根據需要查看或修改憑據的具體信息,不同類型憑據的信息略有不同,以下操作以通用憑據為例。
- 登錄密鑰管理服務控制臺,在頁面左上角的地域下拉列表,選擇專屬KMS實例所在的地域。
- 在左側導航欄,單擊專屬KMS。
- 在專屬KMS頁面,單擊目標實例的實例ID后,單擊憑據頁簽。
- 在憑據頁簽,單擊目標憑據的名稱或者操作列的憑據詳情,查看或者修改憑據。
- 查看憑據:您可以在憑據詳情頁查看憑據詳情、版本列表以及標簽。
如果您需要查看指定版本的憑據值,也可以單擊指定版本操作列的查看,閱讀提示后單擊 確認繼續查看,完成手機驗證后查看憑據值。
- 修改憑據:具體支持修改的項目見下表。
修改項 操作 憑據的描述信息 單擊描述信息后的 
圖標,更新憑據描述后,單擊確定。存入新版本的憑據值 單擊存入憑據值,在存入憑據值對話框中輸入版本號、設置憑據值后,單擊確定。 為憑據值設置自定義的版本狀態 在版本列表區域,找到目標版本,單擊版本狀態列的狀態管理您,輸入版本狀態后單擊確定。 說明 您可以將版本設置為內建的或者自定義的狀態。每個版本可以被設置為多個狀態,但是每個狀態只能標記一個版本。添加憑據對象內已經存在的狀態,會將此狀態從其他版本上同步移除。為憑據添加標簽 單擊添加標簽,輸入標簽鍵和標簽值后單擊確定。
- 查看憑據:您可以在憑據詳情頁查看憑據詳情、版本列表以及標簽。
刪除及還原憑據
您可以選擇立即刪除憑據,也可以設置憑據的計劃刪除時間,憑據會在設置的時間后自動刪除。如果您設置了計劃刪除時間,在刪除之前您可以通過還原憑據操作撤銷刪除。
警告 刪除憑據前,請確認該憑據已不再使用,否則會導致您的業務不可用。
- 登錄密鑰管理服務控制臺,在頁面左上角的地域下拉列表,選擇專屬KMS實例所在的地域。
- 在左側導航欄,單擊專屬KMS。
- 在專屬KMS頁面,單擊目標實例的實例ID后,單擊憑據頁簽。
- 在憑據頁簽,定位到目標憑據,單擊操作列的
圖標后,單擊計劃刪除憑據,選擇憑據刪除方式,單擊確定。- 計劃刪除憑據:設置預刪除周期(7~30天)。系統將在預刪除周期后刪除憑據。說明 在憑據被刪除之前,如果您需要撤銷刪除的操作,可以執行如下步驟:單擊目標憑據,單擊操作列的后,單擊還原憑據撤銷刪除憑據。
- 立即刪除憑據:憑據會被立即刪除。
- 計劃刪除憑據:設置預刪除周期(7~30天)。系統將在預刪除周期后刪除憑據。