安装SDK工具包
所有文档
menu

密钥管理服务 KMS

安装SDK工具包

产品详情立即开通

环境准备

  1. 运行环境
    Python SDK工具包支持在Python 2.7 和Python 3 的环境运行。
  2. 安装pycrypto依赖

    安装SDK之前,需要先执行命令pip install pycrypto安装pycrypto依赖。

下载和安装

方式一:通过pip安装

您可以通过pip安装的方式将百度智能云Python SDK安装到您的环境中。 联网状态下,在命令行中执行如下命令:

pip install bce-python-sdk

即可将Python SDK安装到本地。

方式二:将源码包下载到本地后进行安装

  1. 开发者资源中心下载Python SDK压缩工具包。
  2. 命令行移动到压缩包所在路径,执行如下命令(version替换为包名称中的版本号):

    pip install bce-python-sdk-version.zip

    即可将Python SDK安装到本地。

方式三:使用setup.py install文件进行安装

您也可以解压压缩包后执行如下命令(version替换为包名称中的版本号)

cd bce-python-sdk-version

python setup.py install 

SDK目录结构

baidubce
     ├── auth                            //公共权限目录
	   ├── http                            //Http请求模块
     ├── services                        //服务公共目录
     │     └── kms                      //KMS目录
     │           ├──kms_client.py               //KMS客户端入口类
     │           ├──keyspec_class.py            //密钥类型类
     │           ├──origin_class.py             //密钥来源类
     │           ├──publickeyencoding_class.py  //公钥编码类
     │           └──protectedby_class.py        //保护等级类
     ├── bce_base_client.py              //BCE客户端入口类的基类
     ├── bce_client_configuration.py     //针对BOS特有的HttpClient的配置类
     ├── bce_response.py                 //BCE客户端的请求类
     ├── exception.py                    //BCE客户端的异常类
     ├── protocol.py                     //网络协议定义
     ├── region.py                       //区域处理模块
     ├── retry_policy.py                 //BCE服务公共配置类
     └── utils.py                        //BCE公用工具类

卸载SDK

卸载 SDK 时,执行命令pip uninstall bce-python-sdk即可完成卸载。

#初始化 ##确认Endpoint KMS目前支持“华北-北京”、“华南-广州”和“华东-苏州”三个区域。 北京区域:http://bkm.bj.baidubce.com,广州区域:http://bkm.gz.baidubce.com,苏州区域:http://bkm.su.baidubce.com

访问区域 对应Endpoint
BJ bkm.bj.baidubce.com
GZ bkm.gz.baidubce.com
SU bkm.su.baidubce.com

##获取密钥 要使用百度智能云KMS,您需要拥有一个有效的 AK(Access Key ID)和SK(Secret Access Key)用来进行签名认证。AK/SK是由系统分配给用户的,均为字符串,用于标识用户,为访问KMS做签名验证。 可以通过如下步骤获得并了解您的AK/SK信息:

注册百度智能云账号 创建AK/SK

新建KmsClient

KmsClient是KMS服务的客户端,为开发者与KMS服务进行交互提供了一系列的方法。 使用AK/SK新建KmsClient。 ###通过AK/SK方式访问KMS 用户可以参考如下代码新建一个KmsClient: 1.在新建KmsClient之前,需要先创建配置文件对KmsClient进行配置,以下将此配置文件命名为kms_sample_conf.py,具体配置信息如下所示:

#!/usr/bin/env python
#coding=utf-8


#导入Python标准日志模块
"""
MVS Test
"""
import logging

#从Python SDK导入BOS配置管理模块以及安全认证模块
from baidubce.bce_client_configuration import BceClientConfiguration
from baidubce.auth.bce_credentials import BceCredentials

#设置BosClient的Host,Access Key ID和Secret Access Key
kms_host = b"http://bkm.bj.baidubce.com"
access_key_id = b"AK"
secret_access_key = b"SK"

#设置日志文件的句柄和日志级别
logger = logging.getLogger('baidubce.services.kms.kmsclient')
fh = logging.FileHandler("sample.log")
fh.setLevel(logging.DEBUG)

#设置日志文件输出的顺序、结构和内容
formatter = logging.Formatter('%(asctime)s - %(name)s - %(levelname)s - %(message)s')
fh.setFormatter(formatter)
logger.setLevel(logging.DEBUG)
logger.addHandler(fh)

#创建BceClientConfiguration
config = BceClientConfiguration(credentials=BceCredentials(access_key_id, secret_access_key),
                                endpoint=kms_host)

注意: 针对日志文件,Logging有如下级别:DEBUG,INFO,WARNING,ERROR,CRITICAL。

在上面代码中,access_key_id对应控制台中的“Access Key ID”,secret_access_key对应控制台中的“Access Key Secret”,获取方式请参考《操作指南 管理ACCESSKEY》。

上面的方式用户需要自己指定KMS的服务的域名,可以通过赋值给kms_host变量来指定。

2.在完成上述配置之后,参考如下代码新建一个KmsClient。

    #导入KmsClient配置文件
    import kms_sample_conf 
   		   
    #导入Kms相关模块
    from baidubce import exception
    from baidubce.services.kms import kms_client
    from baidubce.services.kms import keyspec_class
    from baidubce.services.kms import origin_class
    from baidubce.services.kms import protectedby_class
    from baidubce.services.kms import publickeyencoding_class
   	
    #新建KmsClient
    kmsClient = kms_client.KmsClient(kms_test_config.config)

通过sts方式访问KMS

KMS可以通过STS机制实现第三方的临时授权访问。STS(Security Token Service)是百度智能云提供的临时授权服务,详情可参见百度智能云STS使用介绍。通过STS,您可以为第三方用户颁发一个自定义时效和权限的访问凭证。第三方用户可以使用该访问凭证直接调用百度智能云的API或SDK访问百度智能云资源。 通过sts方式访问BOS,用户先通过sts-client申请一套AK、SK和token,然后将该套参数配置到KmsClient中,用户可以参考如下代码新建一个KmsClient:

  1. 获取临时token,创建配置文件"sts_sample_conf.py"对KmsClient进行配置。
import logging
from baidubce.bce_client_configuration import BceClientConfiguration
from baidubce.auth.bce_credentials import BceCredentials
sts_host = "STS_HOST"
access_key_id = "AK"
secret_access_key = "SK"
logger = logging.getLogger('baidubce.services.sts.stsclient')
fh = logging.FileHandler("sample.log")
fh.setLevel(logging.DEBUG)
formatter = logging.Formatter('%(asctime)s - %(name)s - %(levelname)s - %(message)s')
fh.setFormatter(formatter)
logger.setLevel(logging.DEBUG)
logger.addHandler(fh)
config = BceClientConfiguration(credentials=BceCredentials(access_key_id, secret_access_key), endpoint=sts_host)

注意: 目前使用STS配置client时,无论对应Kms服务的endpoint在哪里,endpoint都需配置为http://sts.bj.baidubce.com。

在上面代码中,access_key_id对应控制台中的“Access Key ID”,secret_access_key对应控制台中的“Access Key Secret”。

  1. 新建StsClient,并使用获得的临时token,配置BceClientConfiguration。创建文件"sts_sample.py"通过StsClient申请一套AK、SK和token。
import sts_sample_conf
from baidubce.services.sts.sts_client import StsClient
from baidubce.bce_client_configuration import BceClientConfiguration
from baidubce.auth.bce_credentials import BceCredentials
sts_client = StsClient(sts_sample_conf.config)
duration_seconds = 3600
# you can specify limited permissions with ACL
access_dict = {}
access_dict["service"] = "bce:kms"
access_dict["region"] = "bj"   
access_dict["effect"] = "Allow"
resource = ["*"]
access_dict["resource"] = resource
permission = ["READ"]
access_dict["permission"] = permission
access_control_list = {"accessControlList": [access_dict]}
# 新建StsClient
response = sts_client.get_session_token(acl=access_control_list, duration_seconds=duration_seconds)
sts_ak = str(response.access_key_id)
sts_sk = str(response.secret_access_key)
token = response.session_token
kms_host = "KMS_HOST"
#配置BceClientConfiguration
config = BceClientConfiguration(credentials=BceCredentials(sts_ak, sts_sk), endpoint = kms_host, security_token=token)
  1. 在完成上述配置之后,参考如下代码新建一个KmsClient。
import sts_sample  		   
#导入Kms相关模块
from baidubce import exception
from baidubce.services.kms import kms_client
from baidubce.services.kms import keyspec_class
from baidubce.services.kms import origin_class
from baidubce.services.kms import protectedby_class
from baidubce.services.kms import publickeyencoding_class
#新建KmsClient
kmsClient = kms_client.KmsClient(sts_sample.config)

配置HTTPS协议访问KMS

您可以通过如下两种方式在KMS Python SDK中使用HTTPS访问KMS服务:

  • 在endpoint中指定HTTPS:
config = bce_client_configuration.BceClientConfiguration(
    credentials = bce_credentials.BceCredentials(
        access_key_id = 'your-ak',
  	    secret_access_key = 'your-sk'
    ),
    endpoint = 'https://bkm.bj.baidubce.com'
)
client = kms_client.KmsClient(config)
  • 通过在protocol中指定https来设置HTTPS协议:
config = bce_client_configuration.BceClientConfiguration(
    credentials = bce_credentials.BceCredentials(
        access_key_id = 'your-ak',
	    secret_access_key = 'your-sk'
    ),
    endpoint = 'bkm.bj.baidubce.com',
    protocol = baidubce.protocol.HTTPS
)
client = kms_client.KmsClient(config)
上一篇
概述
下一篇
密钥管理