所有文档

          密钥管理服务 KMS

          安装SDK工具包

          环境准备

          1. 运行环境
            Python SDK工具包支持在Python 2.7 和Python 3 的环境运行。
          2. 安装pycrypto依赖

            安装SDK之前,需要先执行命令pip install pycrypto安装pycrypto依赖。

          下载和安装

          方式一:通过pip安装

          您可以通过pip安装的方式将百度智能云Python SDK安装到您的环境中。 联网状态下,在命令行中执行如下命令:

          pip install bce-python-sdk

          即可将Python SDK安装到本地。

          方式二:将源码包下载到本地后进行安装

          1. 开发者资源中心下载Python SDK压缩工具包。
          2. 命令行移动到压缩包所在路径,执行如下命令(version替换为包名称中的版本号):

            pip install bce-python-sdk-version.zip

            即可将Python SDK安装到本地。

          方式三:使用setup.py install文件进行安装

          您也可以解压压缩包后执行如下命令(version替换为包名称中的版本号)

          cd bce-python-sdk-version
          
          python setup.py install 

          SDK目录结构

          baidubce
               ├── auth                            //公共权限目录
          	   ├── http                            //Http请求模块
               ├── services                        //服务公共目录
               │     └── kms                      //KMS目录
               │           ├──kms_client.py               //KMS客户端入口类
               │           ├──keyspec_class.py            //密钥类型类
               │           ├──origin_class.py             //密钥来源类
               │           ├──publickeyencoding_class.py  //公钥编码类
               │           └──protectedby_class.py        //保护等级类
               ├── bce_base_client.py              //BCE客户端入口类的基类
               ├── bce_client_configuration.py     //针对BOS特有的HttpClient的配置类
               ├── bce_response.py                 //BCE客户端的请求类
               ├── exception.py                    //BCE客户端的异常类
               ├── protocol.py                     //网络协议定义
               ├── region.py                       //区域处理模块
               ├── retry_policy.py                 //BCE服务公共配置类
               └── utils.py                        //BCE公用工具类

          卸载SDK

          卸载 SDK 时,执行命令pip uninstall bce-python-sdk即可完成卸载。

          #初始化 ##确认Endpoint KMS目前支持“华北-北京”、“华南-广州”和“华东-苏州”三个区域。 北京区域:http://bkm.bj.baidubce.com,广州区域:http://bkm.gz.baidubce.com,苏州区域:http://bkm.su.baidubce.com

          访问区域 对应Endpoint
          BJ bkm.bj.baidubce.com
          GZ bkm.gz.baidubce.com
          SU bkm.su.baidubce.com

          ##获取密钥 要使用百度智能云KMS,您需要拥有一个有效的 AK(Access Key ID)和SK(Secret Access Key)用来进行签名认证。AK/SK是由系统分配给用户的,均为字符串,用于标识用户,为访问KMS做签名验证。 可以通过如下步骤获得并了解您的AK/SK信息:

          注册百度智能云账号 创建AK/SK

          新建KmsClient

          KmsClient是KMS服务的客户端,为开发者与KMS服务进行交互提供了一系列的方法。 使用AK/SK新建KmsClient。 ###通过AK/SK方式访问KMS 用户可以参考如下代码新建一个KmsClient: 1.在新建KmsClient之前,需要先创建配置文件对KmsClient进行配置,以下将此配置文件命名为kms_sample_conf.py,具体配置信息如下所示:

          #!/usr/bin/env python
          #coding=utf-8
          
          
          #导入Python标准日志模块
          """
          MVS Test
          """
          import logging
          
          #从Python SDK导入BOS配置管理模块以及安全认证模块
          from baidubce.bce_client_configuration import BceClientConfiguration
          from baidubce.auth.bce_credentials import BceCredentials
          
          #设置BosClient的Host,Access Key ID和Secret Access Key
          kms_host = b"http://bkm.bj.baidubce.com"
          access_key_id = b"AK"
          secret_access_key = b"SK"
          
          #设置日志文件的句柄和日志级别
          logger = logging.getLogger('baidubce.services.kms.kmsclient')
          fh = logging.FileHandler("sample.log")
          fh.setLevel(logging.DEBUG)
          
          #设置日志文件输出的顺序、结构和内容
          formatter = logging.Formatter('%(asctime)s - %(name)s - %(levelname)s - %(message)s')
          fh.setFormatter(formatter)
          logger.setLevel(logging.DEBUG)
          logger.addHandler(fh)
          
          #创建BceClientConfiguration
          config = BceClientConfiguration(credentials=BceCredentials(access_key_id, secret_access_key),
                                          endpoint=kms_host)

          注意: 针对日志文件,Logging有如下级别:DEBUG,INFO,WARNING,ERROR,CRITICAL。

          在上面代码中,access_key_id对应控制台中的“Access Key ID”,secret_access_key对应控制台中的“Access Key Secret”,获取方式请参考《操作指南 管理ACCESSKEY》。

          上面的方式用户需要自己指定KMS的服务的域名,可以通过赋值给kms_host变量来指定。

          2.在完成上述配置之后,参考如下代码新建一个KmsClient。

              #导入KmsClient配置文件
              import kms_sample_conf 
             		   
              #导入Kms相关模块
              from baidubce import exception
              from baidubce.services.kms import kms_client
              from baidubce.services.kms import keyspec_class
              from baidubce.services.kms import origin_class
              from baidubce.services.kms import protectedby_class
              from baidubce.services.kms import publickeyencoding_class
             	
              #新建KmsClient
              kmsClient = kms_client.KmsClient(kms_test_config.config)

          通过sts方式访问KMS

          KMS可以通过STS机制实现第三方的临时授权访问。STS(Security Token Service)是百度智能云提供的临时授权服务,详情可参见百度智能云STS使用介绍。通过STS,您可以为第三方用户颁发一个自定义时效和权限的访问凭证。第三方用户可以使用该访问凭证直接调用百度智能云的API或SDK访问百度智能云资源。 通过sts方式访问BOS,用户先通过sts-client申请一套AK、SK和token,然后将该套参数配置到KmsClient中,用户可以参考如下代码新建一个KmsClient:

          1. 获取临时token,创建配置文件"sts_sample_conf.py"对KmsClient进行配置。
          import logging
          from baidubce.bce_client_configuration import BceClientConfiguration
          from baidubce.auth.bce_credentials import BceCredentials
          sts_host = "STS_HOST"
          access_key_id = "AK"
          secret_access_key = "SK"
          logger = logging.getLogger('baidubce.services.sts.stsclient')
          fh = logging.FileHandler("sample.log")
          fh.setLevel(logging.DEBUG)
          formatter = logging.Formatter('%(asctime)s - %(name)s - %(levelname)s - %(message)s')
          fh.setFormatter(formatter)
          logger.setLevel(logging.DEBUG)
          logger.addHandler(fh)
          config = BceClientConfiguration(credentials=BceCredentials(access_key_id, secret_access_key), endpoint=sts_host)

          注意: 目前使用STS配置client时,无论对应Kms服务的endpoint在哪里,endpoint都需配置为http://sts.bj.baidubce.com。

          在上面代码中,access_key_id对应控制台中的“Access Key ID”,secret_access_key对应控制台中的“Access Key Secret”。

          1. 新建StsClient,并使用获得的临时token,配置BceClientConfiguration。创建文件"sts_sample.py"通过StsClient申请一套AK、SK和token。
          import sts_sample_conf
          from baidubce.services.sts.sts_client import StsClient
          from baidubce.bce_client_configuration import BceClientConfiguration
          from baidubce.auth.bce_credentials import BceCredentials
          sts_client = StsClient(sts_sample_conf.config)
          duration_seconds = 3600
          # you can specify limited permissions with ACL
          access_dict = {}
          access_dict["service"] = "bce:kms"
          access_dict["region"] = "bj"   
          access_dict["effect"] = "Allow"
          resource = ["*"]
          access_dict["resource"] = resource
          permission = ["READ"]
          access_dict["permission"] = permission
          access_control_list = {"accessControlList": [access_dict]}
          # 新建StsClient
          response = sts_client.get_session_token(acl=access_control_list, duration_seconds=duration_seconds)
          sts_ak = str(response.access_key_id)
          sts_sk = str(response.secret_access_key)
          token = response.session_token
          kms_host = "KMS_HOST"
          #配置BceClientConfiguration
          config = BceClientConfiguration(credentials=BceCredentials(sts_ak, sts_sk), endpoint = kms_host, security_token=token)
          1. 在完成上述配置之后,参考如下代码新建一个KmsClient。
          import sts_sample  		   
          #导入Kms相关模块
          from baidubce import exception
          from baidubce.services.kms import kms_client
          from baidubce.services.kms import keyspec_class
          from baidubce.services.kms import origin_class
          from baidubce.services.kms import protectedby_class
          from baidubce.services.kms import publickeyencoding_class
          #新建KmsClient
          kmsClient = kms_client.KmsClient(sts_sample.config)

          配置HTTPS协议访问KMS

          您可以通过如下两种方式在KMS Python SDK中使用HTTPS访问KMS服务:

          • 在endpoint中指定HTTPS:
          config = bce_client_configuration.BceClientConfiguration(
              credentials = bce_credentials.BceCredentials(
                  access_key_id = 'your-ak',
            	    secret_access_key = 'your-sk'
              ),
              endpoint = 'https://bkm.bj.baidubce.com'
          )
          client = kms_client.KmsClient(config)
          • 通过在protocol中指定https来设置HTTPS协议:
          config = bce_client_configuration.BceClientConfiguration(
              credentials = bce_credentials.BceCredentials(
                  access_key_id = 'your-ak',
          	    secret_access_key = 'your-sk'
              ),
              endpoint = 'bkm.bj.baidubce.com',
              protocol = baidubce.protocol.HTTPS
          )
          client = kms_client.KmsClient(config)
          上一篇
          概述
          下一篇
          密钥管理