密钥管理服务KMS

    安装SDK工具包

    环境准备

    1. 运行环境
      Python SDK工具包支持在Python 2.7 和Python 3 的环境运行。
    2. 安装pycrypto依赖

      安装SDK之前,需要先执行命令pip install pycrypto安装pycrypto依赖。

    下载和安装

    方式一:通过pip安装

    您可以通过pip安装的方式将百度智能云Python SDK安装到您的环境中。 联网状态下,在命令行中执行如下命令:

    pip install bce-python-sdk

    即可将Python SDK安装到本地。

    方式二:将源码包下载到本地后进行安装

    1. 开发者资源中心下载Python SDK压缩工具包。
    2. 命令行移动到压缩包所在路径,执行如下命令(version替换为包名称中的版本号):

      pip install bce-python-sdk-version.zip

      即可将Python SDK安装到本地。

    方式三:使用setup.py install文件进行安装

    您也可以解压压缩包后执行如下命令(version替换为包名称中的版本号)

    cd bce-python-sdk-version
    
    python setup.py install 

    SDK目录结构

    baidubce
         ├── auth                            //公共权限目录
    	   ├── http                            //Http请求模块
         ├── services                        //服务公共目录
         │     └── kms                      //KMS目录
         │           ├──kms_client.py               //KMS客户端入口类
         │           ├──keyspec_class.py            //密钥类型类
         │           ├──origin_class.py             //密钥来源类
         │           ├──publickeyencoding_class.py  //公钥编码类
         │           └──protectedby_class.py        //保护等级类
         ├── bce_base_client.py              //BCE客户端入口类的基类
         ├── bce_client_configuration.py     //针对BOS特有的HttpClient的配置类
         ├── bce_response.py                 //BCE客户端的请求类
         ├── exception.py                    //BCE客户端的异常类
         ├── protocol.py                     //网络协议定义
         ├── region.py                       //区域处理模块
         ├── retry_policy.py                 //BCE服务公共配置类
         └── utils.py                        //BCE公用工具类

    卸载SDK

    卸载 SDK 时,执行命令pip uninstall bce-python-sdk即可完成卸载。

    #初始化 ##确认Endpoint KMS目前支持“华北-北京”、“华南-广州”和“华东-苏州”三个区域。 北京区域:http://bkm.bj.baidubce.com,广州区域:http://bkm.gz.baidubce.com,苏州区域:http://bkm.su.baidubce.com

    访问区域 对应Endpoint
    BJ bkm.bj.baidubce.com
    GZ bkm.gz.baidubce.com
    SU bkm.su.baidubce.com

    ##获取密钥 要使用百度智能云KMS,您需要拥有一个有效的 AK(Access Key ID)和SK(Secret Access Key)用来进行签名认证。AK/SK是由系统分配给用户的,均为字符串,用于标识用户,为访问KMS做签名验证。 可以通过如下步骤获得并了解您的AK/SK信息:

    注册百度智能云账号 创建AK/SK

    新建KmsClient

    KmsClient是KMS服务的客户端,为开发者与KMS服务进行交互提供了一系列的方法。 使用AK/SK新建KmsClient。 ###通过AK/SK方式访问KMS 用户可以参考如下代码新建一个KmsClient: 1.在新建KmsClient之前,需要先创建配置文件对KmsClient进行配置,以下将此配置文件命名为kms_sample_conf.py,具体配置信息如下所示:

    #!/usr/bin/env python
    #coding=utf-8
    
    
    #导入Python标准日志模块
    """
    MVS Test
    """
    import logging
    
    #从Python SDK导入BOS配置管理模块以及安全认证模块
    from baidubce.bce_client_configuration import BceClientConfiguration
    from baidubce.auth.bce_credentials import BceCredentials
    
    #设置BosClient的Host,Access Key ID和Secret Access Key
    kms_host = b"http://bkm.bj.baidubce.com"
    access_key_id = b"AK"
    secret_access_key = b"SK"
    
    #设置日志文件的句柄和日志级别
    logger = logging.getLogger('baidubce.services.kms.kmsclient')
    fh = logging.FileHandler("sample.log")
    fh.setLevel(logging.DEBUG)
    
    #设置日志文件输出的顺序、结构和内容
    formatter = logging.Formatter('%(asctime)s - %(name)s - %(levelname)s - %(message)s')
    fh.setFormatter(formatter)
    logger.setLevel(logging.DEBUG)
    logger.addHandler(fh)
    
    #创建BceClientConfiguration
    config = BceClientConfiguration(credentials=BceCredentials(access_key_id, secret_access_key),
                                    endpoint=kms_host)

    注意: 针对日志文件,Logging有如下级别:DEBUG,INFO,WARNING,ERROR,CRITICAL。

    在上面代码中,access_key_id对应控制台中的“Access Key ID”,secret_access_key对应控制台中的“Access Key Secret”,获取方式请参考《操作指南 管理ACCESSKEY》。

    上面的方式用户需要自己指定KMS的服务的域名,可以通过赋值给kms_host变量来指定。

    2.在完成上述配置之后,参考如下代码新建一个KmsClient。

        #导入KmsClient配置文件
        import kms_sample_conf 
       		   
        #导入Kms相关模块
        from baidubce import exception
        from baidubce.services.kms import kms_client
        from baidubce.services.kms import keyspec_class
        from baidubce.services.kms import origin_class
        from baidubce.services.kms import protectedby_class
        from baidubce.services.kms import publickeyencoding_class
       	
        #新建KmsClient
        kmsClient = kms_client.KmsClient(kms_test_config.config)

    通过sts方式访问KMS

    KMS可以通过STS机制实现第三方的临时授权访问。STS(Security Token Service)是百度智能云提供的临时授权服务,详情可参见百度智能云STS使用介绍。通过STS,您可以为第三方用户颁发一个自定义时效和权限的访问凭证。第三方用户可以使用该访问凭证直接调用百度智能云的API或SDK访问百度智能云资源。 通过sts方式访问BOS,用户先通过sts-client申请一套AK、SK和token,然后将该套参数配置到KmsClient中,用户可以参考如下代码新建一个KmsClient:

    1. 获取临时token,创建配置文件"sts_sample_conf.py"对KmsClient进行配置。
    import logging
    from baidubce.bce_client_configuration import BceClientConfiguration
    from baidubce.auth.bce_credentials import BceCredentials
    sts_host = "STS_HOST"
    access_key_id = "AK"
    secret_access_key = "SK"
    logger = logging.getLogger('baidubce.services.sts.stsclient')
    fh = logging.FileHandler("sample.log")
    fh.setLevel(logging.DEBUG)
    formatter = logging.Formatter('%(asctime)s - %(name)s - %(levelname)s - %(message)s')
    fh.setFormatter(formatter)
    logger.setLevel(logging.DEBUG)
    logger.addHandler(fh)
    config = BceClientConfiguration(credentials=BceCredentials(access_key_id, secret_access_key), endpoint=sts_host)

    注意: 目前使用STS配置client时,无论对应Kms服务的endpoint在哪里,endpoint都需配置为http://sts.bj.baidubce.com。

    在上面代码中,access_key_id对应控制台中的“Access Key ID”,secret_access_key对应控制台中的“Access Key Secret”。

    1. 新建StsClient,并使用获得的临时token,配置BceClientConfiguration。创建文件"sts_sample.py"通过StsClient申请一套AK、SK和token。
    import sts_sample_conf
    from baidubce.services.sts.sts_client import StsClient
    from baidubce.bce_client_configuration import BceClientConfiguration
    from baidubce.auth.bce_credentials import BceCredentials
    sts_client = StsClient(sts_sample_conf.config)
    duration_seconds = 3600
    # you can specify limited permissions with ACL
    access_dict = {}
    access_dict["service"] = "bce:kms"
    access_dict["region"] = "bj"   
    access_dict["effect"] = "Allow"
    resource = ["*"]
    access_dict["resource"] = resource
    permission = ["READ"]
    access_dict["permission"] = permission
    access_control_list = {"accessControlList": [access_dict]}
    # 新建StsClient
    response = sts_client.get_session_token(acl=access_control_list, duration_seconds=duration_seconds)
    sts_ak = str(response.access_key_id)
    sts_sk = str(response.secret_access_key)
    token = response.session_token
    kms_host = "KMS_HOST"
    #配置BceClientConfiguration
    config = BceClientConfiguration(credentials=BceCredentials(sts_ak, sts_sk), endpoint = kms_host, security_token=token)
    1. 在完成上述配置之后,参考如下代码新建一个KmsClient。
    import sts_sample  		   
    #导入Kms相关模块
    from baidubce import exception
    from baidubce.services.kms import kms_client
    from baidubce.services.kms import keyspec_class
    from baidubce.services.kms import origin_class
    from baidubce.services.kms import protectedby_class
    from baidubce.services.kms import publickeyencoding_class
    #新建KmsClient
    kmsClient = kms_client.KmsClient(sts_sample.config)

    配置HTTPS协议访问KMS

    您可以通过如下两种方式在KMS Python SDK中使用HTTPS访问KMS服务:

    • 在endpoint中指定HTTPS:
    config = bce_client_configuration.BceClientConfiguration(
        credentials = bce_credentials.BceCredentials(
            access_key_id = 'your-ak',
      	    secret_access_key = 'your-sk'
        ),
        endpoint = 'https://bkm.bj.baidubce.com'
    )
    client = kms_client.KmsClient(config)
    • 通过在protocol中指定https来设置HTTPS协议:
    config = bce_client_configuration.BceClientConfiguration(
        credentials = bce_credentials.BceCredentials(
            access_key_id = 'your-ak',
    	    secret_access_key = 'your-sk'
        ),
        endpoint = 'bkm.bj.baidubce.com',
        protocol = baidubce.protocol.HTTPS
    )
    client = kms_client.KmsClient(config)
    上一篇
    概述
    下一篇
    密钥管理