您开通密钥管理包周期服务后,需要访问KMS的API接口以进行密码运算等能力调用,完成数据加解密、签名验签、完整性校验等业务场景。
若要实现租户VPC内应用通过内网私密网络通道访问KMS服务,需要创建应用接入点,KMS通过应用接入点完成网络通道的建立。
应用接入点提供访问控制机制,需要为使用该应用接入点的调用方创建身份凭证,在调用KMS服务时依据身份凭证完成身份校验。
说明: 1、当您的自建应用部署在同一地域但分布在多个VPC时,您需要为每个需要集成KMS的服务创建应用接入点,完成多个VPC内应用与KMS服务之间网络通道的建立。 2、当您的多个自建应用部署在同一个VPC,若需要实现访问控制的独立,可以为每个应用单独创建应用接入点。 3、当前KMS提供3个免费的应用接入点额度。 |
建立网络通道
您需要创建应用接入点,建立应用所在的VPC与KMS服务端之间的网络通道。
创建应用接入点时需要指定VPC,请明确调用KMS服务的应用所在VPC。
创建应用接入点后,KMS会生成endpoint地址,您需要通过该地址访问KMS服务。
说明: KMS产品为region级服务,支持同一地域下的VPC内应用通过应用接入点访问KMS服务,暂不支持跨地域访问。 |
访问控制
应用接入点中提供访问控制机制,当您的自建应用需要访问KMS包周期版服务时,需要对其进行身份认证,您需要为调用方创建访问凭证(AK/SK)。
身份凭证用于对KMS资源访问者进行身份认证和行为鉴权。
当前KMS支持通过AK/SK的身份验证方式,其中包含AK(AccessKey)和SK(SecretKey)。
您可以通过KMS提供的SDK快速集成KMS服务,并在初始化SDK时导入所创建的AK/SK。
注意: 1、生成访问凭证(AK/SK)后,您需要立即在弹窗中复制或下载文件,关闭后不再支持下载。若您未能成功保存,可删除后重新创建; 2、如果访问凭证(AK/SK)泄露,会带来数据泄露风险,建议妥善保管。 |