安装SDK工具包

更新时间：2020-08-04

环境准备

运行环境
Python SDK工具包支持在Python 2.7 和Python 3 的环境运行。
安装pycrypto依赖

安装SDK之前，需要先执行命令pip install pycrypto安装pycrypto依赖。

下载和安装

方式一：通过pip安装

您可以通过pip安装的方式将百度智能云Python SDK安装到您的环境中。联网状态下，在命令行中执行如下命令：

pip install bce-python-sdk

即可将Python SDK安装到本地。

方式二：将源码包下载到本地后进行安装

在开发者资源中心下载Python SDK压缩工具包。
命令行移动到压缩包所在路径，执行如下命令（version替换为包名称中的版本号）：

pip install bce-python-sdk-version.zip

即可将Python SDK安装到本地。

方式三：使用setup.py install文件进行安装

您也可以解压压缩包后执行如下命令（version替换为包名称中的版本号）

cd bce-python-sdk-version

python setup.py install

SDK目录结构

baidubce
     ├── auth                            //公共权限目录
	   ├── http                            //Http请求模块
     ├── services                        //服务公共目录
     │     └── kms                      //KMS目录
     │           ├──kms_client.py               //KMS客户端入口类
     │           ├──keyspec_class.py            //密钥类型类
     │           ├──origin_class.py             //密钥来源类
     │           ├──publickeyencoding_class.py  //公钥编码类
     │           └──protectedby_class.py        //保护等级类
     ├── bce_base_client.py              //BCE客户端入口类的基类
     ├── bce_client_configuration.py     //针对BOS特有的HttpClient的配置类
     ├── bce_response.py                 //BCE客户端的请求类
     ├── exception.py                    //BCE客户端的异常类
     ├── protocol.py                     //网络协议定义
     ├── region.py                       //区域处理模块
     ├── retry_policy.py                 //BCE服务公共配置类
     └── utils.py                        //BCE公用工具类

卸载SDK

卸载 SDK 时，执行命令pip uninstall bce-python-sdk即可完成卸载。

#初始化 ##确认Endpoint KMS目前支持“华北-北京”、“华南-广州”和“华东-苏州”三个区域。北京区域：http://bkm.bj.baidubce.com，广州区域：http://bkm.gz.baidubce.com，苏州区域：http://bkm.su.baidubce.com。

访问区域	对应Endpoint
BJ	bkm.bj.baidubce.com
GZ	bkm.gz.baidubce.com
SU	bkm.su.baidubce.com

##获取密钥要使用百度智能云KMS，您需要拥有一个有效的 AK（Access Key ID）和SK(Secret Access Key)用来进行签名认证。AK/SK是由系统分配给用户的，均为字符串，用于标识用户，为访问KMS做签名验证。可以通过如下步骤获得并了解您的AK/SK信息：

注册百度智能云账号创建AK/SK

新建KmsClient

KmsClient是KMS服务的客户端，为开发者与KMS服务进行交互提供了一系列的方法。使用AK/SK新建KmsClient。 ###通过AK/SK方式访问KMS 用户可以参考如下代码新建一个KmsClient： 1.在新建KmsClient之前，需要先创建配置文件对KmsClient进行配置，以下将此配置文件命名为kms_sample_conf.py，具体配置信息如下所示：

#!/usr/bin/env python
#coding=utf-8


#导入Python标准日志模块
"""
MVS Test
"""
import logging

#从Python SDK导入BOS配置管理模块以及安全认证模块
from baidubce.bce_client_configuration import BceClientConfiguration
from baidubce.auth.bce_credentials import BceCredentials

#设置BosClient的Host，Access Key ID和Secret Access Key
kms_host = b"http://bkm.bj.baidubce.com"
access_key_id = b"AK"
secret_access_key = b"SK"

#设置日志文件的句柄和日志级别
logger = logging.getLogger('baidubce.services.kms.kmsclient')
fh = logging.FileHandler("sample.log")
fh.setLevel(logging.DEBUG)

#设置日志文件输出的顺序、结构和内容
formatter = logging.Formatter('%(asctime)s - %(name)s - %(levelname)s - %(message)s')
fh.setFormatter(formatter)
logger.setLevel(logging.DEBUG)
logger.addHandler(fh)

#创建BceClientConfiguration
config = BceClientConfiguration(credentials=BceCredentials(access_key_id, secret_access_key),
                                endpoint=kms_host)

注意：针对日志文件，Logging有如下级别：DEBUG，INFO，WARNING，ERROR，CRITICAL。

在上面代码中，access_key_id对应控制台中的“Access Key ID”，secret_access_key对应控制台中的“Access Key Secret”，获取方式请参考《操作指南管理ACCESSKEY》。

上面的方式用户需要自己指定KMS的服务的域名，可以通过赋值给kms_host变量来指定。

2.在完成上述配置之后，参考如下代码新建一个KmsClient。

    #导入KmsClient配置文件
    import kms_sample_conf 
   		   
    #导入Kms相关模块
    from baidubce import exception
    from baidubce.services.kms import kms_client
    from baidubce.services.kms import keyspec_class
    from baidubce.services.kms import origin_class
    from baidubce.services.kms import protectedby_class
    from baidubce.services.kms import publickeyencoding_class
   	
    #新建KmsClient
    kmsClient = kms_client.KmsClient(kms_test_config.config)

通过sts方式访问KMS

KMS可以通过STS机制实现第三方的临时授权访问。STS（Security Token Service）是百度智能云提供的临时授权服务，详情可参见百度智能云STS使用介绍。通过STS，您可以为第三方用户颁发一个自定义时效和权限的访问凭证。第三方用户可以使用该访问凭证直接调用百度智能云的API或SDK访问百度智能云资源。通过sts方式访问BOS，用户先通过sts-client申请一套AK、SK和token，然后将该套参数配置到KmsClient中，用户可以参考如下代码新建一个KmsClient：

获取临时token，创建配置文件"sts_sample_conf.py"对KmsClient进行配置。

import logging
from baidubce.bce_client_configuration import BceClientConfiguration
from baidubce.auth.bce_credentials import BceCredentials
sts_host = "STS_HOST"
access_key_id = "AK"
secret_access_key = "SK"
logger = logging.getLogger('baidubce.services.sts.stsclient')
fh = logging.FileHandler("sample.log")
fh.setLevel(logging.DEBUG)
formatter = logging.Formatter('%(asctime)s - %(name)s - %(levelname)s - %(message)s')
fh.setFormatter(formatter)
logger.setLevel(logging.DEBUG)
logger.addHandler(fh)
config = BceClientConfiguration(credentials=BceCredentials(access_key_id, secret_access_key), endpoint=sts_host)

注意：目前使用STS配置client时，无论对应Kms服务的endpoint在哪里，endpoint都需配置为http://sts.bj.baidubce.com。

在上面代码中，access_key_id对应控制台中的“Access Key ID”，secret_access_key对应控制台中的“Access Key Secret”。

新建StsClient，并使用获得的临时token，配置BceClientConfiguration。创建文件"sts_sample.py"通过StsClient申请一套AK、SK和token。

import sts_sample_conf
from baidubce.services.sts.sts_client import StsClient
from baidubce.bce_client_configuration import BceClientConfiguration
from baidubce.auth.bce_credentials import BceCredentials
sts_client = StsClient(sts_sample_conf.config)
duration_seconds = 3600
# you can specify limited permissions with ACL
access_dict = {}
access_dict["service"] = "bce:kms"
access_dict["region"] = "bj"   
access_dict["effect"] = "Allow"
resource = ["*"]
access_dict["resource"] = resource
permission = ["READ"]
access_dict["permission"] = permission
access_control_list = {"accessControlList": [access_dict]}
# 新建StsClient
response = sts_client.get_session_token(acl=access_control_list, duration_seconds=duration_seconds)
sts_ak = str(response.access_key_id)
sts_sk = str(response.secret_access_key)
token = response.session_token
kms_host = "KMS_HOST"
#配置BceClientConfiguration
config = BceClientConfiguration(credentials=BceCredentials(sts_ak, sts_sk), endpoint = kms_host, security_token=token)

在完成上述配置之后，参考如下代码新建一个KmsClient。

import sts_sample  		   
#导入Kms相关模块
from baidubce import exception
from baidubce.services.kms import kms_client
from baidubce.services.kms import keyspec_class
from baidubce.services.kms import origin_class
from baidubce.services.kms import protectedby_class
from baidubce.services.kms import publickeyencoding_class
#新建KmsClient
kmsClient = kms_client.KmsClient(sts_sample.config)

配置HTTPS协议访问KMS

您可以通过如下两种方式在KMS Python SDK中使用HTTPS访问KMS服务：

在endpoint中指定HTTPS:

config = bce_client_configuration.BceClientConfiguration(
    credentials = bce_credentials.BceCredentials(
        access_key_id = 'your-ak',
  	    secret_access_key = 'your-sk'
    ),
    endpoint = 'https://bkm.bj.baidubce.com'
)
client = kms_client.KmsClient(config)

通过在protocol中指定https来设置HTTPS协议:

config = bce_client_configuration.BceClientConfiguration(
    credentials = bce_credentials.BceCredentials(
        access_key_id = 'your-ak',
	    secret_access_key = 'your-sk'
    ),
    endpoint = 'bkm.bj.baidubce.com',
    protocol = baidubce.protocol.HTTPS
)
client = kms_client.KmsClient(config)

概述

密钥管理

百度智能云

密钥管理服务 KMS