日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關鍵字查找
首頁 密鑰管理服務 密鑰管理服務KMS 操作指南 憑據管理 管理及使用RAM憑據

管理及使用RAM憑據

更新時間:
產品詳情
我的收藏
重要

本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業務造成影響,請務必仔細閱讀。

RAM憑據是指RAM用戶的訪問密鑰(AccessKey),包括AccessKey ID和AccessKey Secret,用于RAM用戶在調用阿里云API時完成身份驗證,避免硬編碼AccessKey導致泄露。本文介紹如何管理及使用RAM憑據。

功能介紹

在KMS托管RAM憑據后,您無需在應用程序中配置AccessKey,只需配置憑據名稱,通過憑據名稱獲取有效的AccessKey用于調用阿里云API。同時RAM憑據也支持輪轉,以降低AccessKey泄露的風險。

image.png

使用限制

只支持托管RAM用戶(子賬號)的AccessKey,不支持托管阿里云賬號(主賬號)的AccessKey。

RAM憑據輪轉

輪轉時訪問控制RAM會先創建一個新的AccessKey,然后刪除舊的AccessKey。同時KMS將新的AccessKey寫入憑據值,并刪除舊的AccessKey對應的憑據值。輪轉支持如下兩種方式:

輪轉方式

輪轉時長

使用場景

周期性自動輪轉

約2天

使用該AccessKey的應用,均已將RAM憑據集成到了應用中,且應用會周期性地讀取RAM憑據。

建議您設置自動輪轉周期時,不超過3個月,以降低AccessKey被泄露的風險。

立即輪轉

由您設置,可設置為10分鐘~2天。

RAM憑據泄露時,建議您設置為30分鐘,其他場景建議您設置為2天。

  • 當您發現RAM憑據泄露時,可以通過立即輪轉憑據進行應急處理。

  • 應用程序接入RAM憑據時,通過手動觸發輪轉進行測試。

重要

  • RAM憑據處于輪轉狀態時,請勿刪除憑據關聯的RAM用戶,避免憑據輪轉失敗。

  • RAM憑據處于輪轉狀態時,不支持設置周期性輪轉策略以及進行立即輪轉。

前提條件

  • 已購買和啟用KMS實例。具體操作,請參見購買和啟用KMS實例

  • 已在KMS實例中創建用于加密憑據的對稱密鑰。具體操作,請參見創建密鑰

  • 如果您使用RAM用戶(子賬號)或RAM角色管理RAM憑據,請確保阿里云賬號(主賬號)已將系統策略AliyunKMSSecretAdminAccessAliyunRAMReadOnlyAccess授予RAM用戶或RAM角色。具體操作,請參見為RAM用戶授權為RAM角色授權

步驟一:授予KMS管理RAM用戶AccessKey的權限

使用RAM憑據需要授權KMS訪問AK權限,才能使KMS能管理RAM憑據、完成RAM憑據輪轉等任務。

授權步驟如下:

  1. 登錄密鑰管理服務控制臺,在頂部菜單欄選擇地域后,在左側導航欄單擊資源 > 憑據管理

  2. 單擊RAM憑據頁簽,選擇實例ID后,單擊創建憑據

  3. 在RAM憑據創建頁,點擊請先授權KMS 訪問AK 權限,跳轉至云資源訪問授權頁。

    image

  4. 在云資源訪問授權頁,點擊同意授權

    警告

    如果您是普通RAM用戶(子賬號)或普通RAM角色,請將授權鏈接發送至RAM管理員(有資源管理權限的RAM用戶或者主賬號),由RAM管理員完成授權AK權限操作。

    image

  5. 授權完畢后,系統會自動創建服務關聯角色AliyunKMSManageRAMCredentialsRole,并為其授權權限策略AliyunKMSManageRAMCredentialsRolePolicy。KMS使用該角色為您管理RAM憑據,完成RAM憑據輪轉等任務。

    您可以登錄RAM控制臺查看服務關聯角色和權限策略的詳細信息,具體操作,請參見查看RAM角色查看權限策略基本信息

步驟二:創建RAM憑據

  1. 登錄密鑰管理服務控制臺,在頂部菜單欄選擇地域后,在左側導航欄單擊資源 > 憑據管理

  2. 單擊RAM憑據頁簽,選擇實例ID后,單擊創建憑據若出現請先授權KMS 訪問AK 權限提示,請先完成授權,授權步驟請參見步驟一:授予KMS管理RAM用戶AccessKey的權限

  3. 配置RAM憑據數據,配置項說明如下。配置完畢后單擊確定

    配置項

    說明

    選擇RAM用戶

    選擇您要托管憑據的RAM用戶,所選RAM用戶至少需要有一個AccessKey。若沒有,請先創建AccessKey,詳細步驟請參考創建AccessKey

    憑據名稱根據RAM用戶的名稱自動生成,憑據名稱在當前地域內唯一。

    設置憑據值

    輸入對應的AccessKey Secret。

    長度不超過30720字節(30KB)。

    加密主密鑰

    選擇用于加密憑據值的密鑰。

    重要

    • 密鑰和憑據需要屬于同一個KMS實例,且密鑰必須為對稱密鑰。關于KMS支持哪些對稱密鑰,請參見密鑰管理類型和密鑰規格

    • 如果是RAM用戶、RAM角色,需要具備使用加密主密鑰執行GenerateDataKey操作的權限。

    標簽

    憑據的標簽,方便您對憑據進行分類管理。每個標簽由一個鍵值對(Key:Value)組成,包含標簽鍵(Key)、標簽值(Value)。

    說明

    • 標簽鍵和標簽值的格式:最多支持128個字符,可以包含英文大小寫字母、數字、正斜線(/)、反斜線(\)、下劃線(_)、短劃線(-)、半角句號(.)、加號(+)、等于號(=)、半角冒號(:)、字符at(@)、空格。

    • 標簽鍵不能以aliyun或acs:開頭。

    • 每個憑據最多可以設置20個標簽鍵值對。

    自動輪轉

    選擇開啟或關閉憑據的周期性自動輪轉。

    天數(7天~365天)

    僅當時開啟自動輪轉需要設置。

    表示輪轉的周期,設置后KMS將定期為您更新憑據值。

    描述信息

    憑據的描述信息。

    策略配置

    憑據的策略配置。詳細介紹,請參見憑據策略概述

    您可以先選擇默認策略,創建憑據后根據業務需要再修改策略。

步驟三:應用程序集成RAM憑據

KMS提供了憑據客戶端、KMS實例SDK、阿里云SDK等多種SDK來操作RAM憑據。如何使用SDK獲取憑據值,請參考SDK參考應用程序獲取憑據。建議您按照如下優先級順序選擇SDK:

說明

KMS提供了多種認證方式,為了更高的安全性,推薦您優先使用應用接入點(AAP)的ClientKey、ECS實例RAM角色或RAM角色。

優先級

業務應用需滿足的條件

支持的認證方式

接入點(Endpoint)

優先級1:RAM憑據插件

應用開發語言需要為Java(Java 8及以上版本)、Go或者Python,且業務應用使用RAM憑據插件中支持的阿里云SDK。

應用接入點(AAP)的ClientKey

根據Endpoint不同,調用的API不同:

  • (推薦)KMS實例Endpoint:調用實例API。格式為{實例ID}.cryptoservice.kms.aliyuncs.com

    說明

    在實例管理頁面查看實例詳情,獲取實例VPC地址,去掉https://后即Endpoint。

  • KMS服務Endpoint:調用OpenAPI。具體接入點,請參見接入點說明

ECS實例RAM角色

KMS服務Endpoint,調用OpenAPI,具體接入點,請參見接入點說明

優先級2:憑據客戶端

應用開發語言需要為Java(Java 8及以上版本)、Go或者Python。

應用接入點(AAP)的ClientKey

根據Endpoint不同,調用的API不同:

  • (推薦)KMS實例Endpoint:調用實例API。格式為{實例ID}.cryptoservice.kms.aliyuncs.com

  • KMS服務Endpoint:調用OpenAPI。更多信息,請參見接入點說明

  • RAM角色

  • ECS實例RAM角色

  • AccessKey

  • STS Token

KMS服務Endpoint,調用OpenAPI,具體接入點,請參見接入點說明

優先級3:KMS實例SDK

應用開發語言需要為Java(Java 8及以上版本)、PHP、Go、Python、.NET(僅C#)。

應用接入點(AAP)的ClientKey

KMS實例Endpoint:調用實例API。格式為{實例ID}.cryptoservice.kms.aliyuncs.com

優先級4:阿里云SDK

應用開發語言需要為Java(Java 6及以上版本)、PHP、Go、Python、.NET(僅C#)、C++、Node.js。

  • ECS實例RAM角色

  • AccessKey

KMS服務Endpoint,調用OpenAPI,具體接入點,請參見接入點說明

更多操作

輪轉RAM憑據

  1. 登錄密鑰管理服務控制臺,在頂部菜單欄選擇地域后,在左側導航欄單擊資源 > 憑據管理

  2. 單擊RAM憑據頁簽,選擇實例ID后,定位到要立即輪轉的憑據名稱,單擊操作列的詳情

  3. 在憑據詳情頁面配置憑據輪轉策略。

    • 周期性自動輪轉:在頁面右上角單擊設置輪轉策略,開啟或關閉周期性自動輪轉,然后單擊確定

    • 立即輪轉:在頁面右上角單擊立即輪轉,在設置輪轉策略對話框中設置輪轉窗口(10分鐘~2天),然后單擊確定

刪除RAM憑據

您可以選擇計劃刪除憑據和立即刪除憑據兩種方式,刪除不需要的憑據。刪除RAM憑據僅在憑據管家中刪除RAM憑據,不會在RAM中刪除RAM用戶的AccessKey。

警告

刪除憑據前,請確認該憑據已不再使用,否則可能導致您的業務失敗。

  1. 登錄密鑰管理服務控制臺,在頂部菜單欄選擇地域后,在左側導航欄單擊資源 > 憑據管理

  2. 單擊RAM憑據頁簽,選擇實例ID后,定位到要刪除的憑據名稱,單擊操作列的計劃刪除憑據

  3. 計劃刪除憑據對話框中,選擇憑據刪除方式,并單擊確定

    • 計劃刪除憑據:設置預刪除周期(7~30天),系統將在預刪除周期結束后刪除憑據。

    • 立即刪除憑據:系統將立即刪除憑據。

    在預刪除周期內,您可以單擊目標憑據操作列的還原憑據,取消刪除操作。

為憑據配置標簽

憑據的標簽,方便您對憑據進行分類管理。每個標簽由一個鍵值對(Key:Value)組成,包含標簽鍵(Key)、標簽值(Value)。

說明

  • 標簽鍵和標簽值的格式:最多支持128個字符,可以包含英文大小寫字母、數字、正斜線(/)、反斜線(\)、下劃線(_)、短劃線(-)、半角句號(.)、加號(+)、等于號(=)、半角冒號(:)、字符at(@)、空格。

  • 標簽鍵不能以aliyun或acs:開頭。

  • 每個憑據最多可以設置20個標簽鍵值對。

為單個憑據配置標簽

方式

操作

方式一:在憑據管理頁面配置標簽

  1. 登錄密鑰管理服務控制臺,在頂部菜單欄選擇地域后,在左側導航欄單擊資源 > 憑據管理

  2. 單擊相應的憑據類型頁簽,選擇實例ID后,定位到目標憑據,單擊標簽列的image.png圖標。

  3. 單擊綁定,在編輯標簽對話框中輸入多個標簽鍵標簽值后,單擊確定,然后在變更提示對話框中單擊關閉

    您也可以在編輯標簽對話框中修改標簽值、批量解綁標簽。

方式二:在憑據詳情頁面配置標簽

  1. 登錄密鑰管理服務控制臺,在頂部菜單欄選擇地域后,在左側導航欄單擊資源 > 憑據管理

  2. 單擊相應的憑據類型頁簽,選擇實例ID后,定位到目標憑據,單擊操作列的詳情

  3. 在憑據詳情頁面,單擊標簽后的image.png圖標。

  4. 編輯標簽對話框中輸入多個標簽鍵標簽值后,單擊確定,然后在變更提示對話框中單擊關閉

    您也可以在編輯標簽對話框中修改標簽值、批量解綁標簽。

為多個憑據批量配置標簽

  1. 登錄密鑰管理服務控制臺,在頂部菜單欄選擇地域后,在左側導航欄單擊資源 > 憑據管理

  2. 單擊相應的憑據類型頁簽,選擇實例ID后,在憑據列表中勾選要操作的憑據。

    • 增加標簽:在憑據列表的最下方,單擊增加標簽,輸入多個標簽鍵標簽值后,單擊確認,然后在變更提示對話框中單擊關閉

    • 刪除標簽:在憑據列表的最下方,單擊刪除標簽,在批量解綁標簽對話框勾選要解綁的標簽,單擊解綁標簽,然后在變更提示對話框中單擊關閉

檢測賬號

檢測賬號功能可為您檢測RAM憑據中的RAM用戶在RAM中是否存在,以及RAM用戶的AccessKey ID與憑據中內容是否一致。

  1. 登錄密鑰管理服務控制臺,在頂部菜單欄選擇地域后,在左側導航欄單擊資源 > 憑據管理

  2. 單擊RAM憑據頁簽,選擇實例ID后,定位到目標憑據,單擊操作列的詳情

  3. 版本列表區域,單擊檢測賬號,驗證完成后,查看驗證結果。

常見問題