文档中心

推荐文档

云服务器千帆大模型平台文字识别人脸识别实名认证介绍备案介绍财务功能概述
百度智能云千帆AppBuilder全面支持DeepSeek-R1/V3调用,限时免费,快去体验吧!
搜索本产品文档关键词
安装SDK工具包

密钥管理服务 KMS

所有文档
menu

密钥管理服务 KMS

安装SDK工具包

更新时间2020-08-04
产品详情立即开通

环境准备

  1. 运行环境
    Python SDK工具包支持在Python 2.7 和Python 3 的环境运行。

  2. 安装pycrypto依赖

    安装SDK之前,需要先执行命令pip install pycrypto安装pycrypto依赖。

下载和安装

方式一:通过pip安装

您可以通过pip安装的方式将百度智能云Python SDK安装到您的环境中。 联网状态下,在命令行中执行如下命令:

pip install bce-python-sdk

即可将Python SDK安装到本地。

方式二:将源码包下载到本地后进行安装

  1. 开发者资源中心下载Python SDK压缩工具包。

  2. 命令行移动到压缩包所在路径,执行如下命令(version替换为包名称中的版本号):

    pip install bce-python-sdk-version.zip

    即可将Python SDK安装到本地。

方式三:使用setup.py install文件进行安装

您也可以解压压缩包后执行如下命令(version替换为包名称中的版本号)

cd bce-python-sdk-version

python setup.py install

SDK目录结构

baidubce
     ├── auth                            //公共权限目录
	   ├── http                            //Http请求模块
     ├── services                        //服务公共目录
     │     └── kms                      //KMS目录
     │           ├──kms_client.py               //KMS客户端入口类
     │           ├──keyspec_class.py            //密钥类型类
     │           ├──origin_class.py             //密钥来源类
     │           ├──publickeyencoding_class.py  //公钥编码类
     │           └──protectedby_class.py        //保护等级类
     ├── bce_base_client.py              //BCE客户端入口类的基类
     ├── bce_client_configuration.py     //针对BOS特有的HttpClient的配置类
     ├── bce_response.py                 //BCE客户端的请求类
     ├── exception.py                    //BCE客户端的异常类
     ├── protocol.py                     //网络协议定义
     ├── region.py                       //区域处理模块
     ├── retry_policy.py                 //BCE服务公共配置类
     └── utils.py                        //BCE公用工具类

卸载SDK

卸载 SDK 时,执行命令pip uninstall bce-python-sdk即可完成卸载。

#初始化 ##确认Endpoint KMS目前支持“华北-北京”、“华南-广州”和“华东-苏州”三个区域。 北京区域:http://bkm.bj.baidubce.com,广州区域:http://bkm.gz.baidubce.com,苏州区域:http://bkm.su.baidubce.com

访问区域 对应Endpoint
BJ bkm.bj.baidubce.com
GZ bkm.gz.baidubce.com
SU bkm.su.baidubce.com

##获取密钥 要使用百度智能云KMS,您需要拥有一个有效的 AK(Access Key ID)和SK(Secret Access Key)用来进行签名认证。AK/SK是由系统分配给用户的,均为字符串,用于标识用户,为访问KMS做签名验证。 可以通过如下步骤获得并了解您的AK/SK信息:

注册百度智能云账号 创建AK/SK

新建KmsClient

KmsClient是KMS服务的客户端,为开发者与KMS服务进行交互提供了一系列的方法。 使用AK/SK新建KmsClient。 ###通过AK/SK方式访问KMS 用户可以参考如下代码新建一个KmsClient: 1.在新建KmsClient之前,需要先创建配置文件对KmsClient进行配置,以下将此配置文件命名为kms_sample_conf.py,具体配置信息如下所示:

#!/usr/bin/env python
#coding=utf-8


#导入Python标准日志模块
"""
MVS Test
"""
import logging

#从Python SDK导入BOS配置管理模块以及安全认证模块
from baidubce.bce_client_configuration import BceClientConfiguration
from baidubce.auth.bce_credentials import BceCredentials

#设置BosClient的Host,Access Key ID和Secret Access Key
kms_host = b"http://bkm.bj.baidubce.com"
access_key_id = b"AK"
secret_access_key = b"SK"

#设置日志文件的句柄和日志级别
logger = logging.getLogger('baidubce.services.kms.kmsclient')
fh = logging.FileHandler("sample.log")
fh.setLevel(logging.DEBUG)

#设置日志文件输出的顺序、结构和内容
formatter = logging.Formatter('%(asctime)s - %(name)s - %(levelname)s - %(message)s')
fh.setFormatter(formatter)
logger.setLevel(logging.DEBUG)
logger.addHandler(fh)

#创建BceClientConfiguration
config = BceClientConfiguration(credentials=BceCredentials(access_key_id, secret_access_key),
                                endpoint=kms_host)

注意: 针对日志文件,Logging有如下级别:DEBUG,INFO,WARNING,ERROR,CRITICAL。

在上面代码中,access_key_id对应控制台中的“Access Key ID”,secret_access_key对应控制台中的“Access Key Secret”,获取方式请参考《操作指南 管理ACCESSKEY》。

上面的方式用户需要自己指定KMS的服务的域名,可以通过赋值给kms_host变量来指定。

2.在完成上述配置之后,参考如下代码新建一个KmsClient。

    #导入KmsClient配置文件
    import kms_sample_conf 
   		   
    #导入Kms相关模块
    from baidubce import exception
    from baidubce.services.kms import kms_client
    from baidubce.services.kms import keyspec_class
    from baidubce.services.kms import origin_class
    from baidubce.services.kms import protectedby_class
    from baidubce.services.kms import publickeyencoding_class
   	
    #新建KmsClient
    kmsClient = kms_client.KmsClient(kms_test_config.config)

通过sts方式访问KMS

KMS可以通过STS机制实现第三方的临时授权访问。STS(Security Token Service)是百度智能云提供的临时授权服务,详情可参见百度智能云STS使用介绍。通过STS,您可以为第三方用户颁发一个自定义时效和权限的访问凭证。第三方用户可以使用该访问凭证直接调用百度智能云的API或SDK访问百度智能云资源。 通过sts方式访问BOS,用户先通过sts-client申请一套AK、SK和token,然后将该套参数配置到KmsClient中,用户可以参考如下代码新建一个KmsClient:

  1. 获取临时token,创建配置文件"sts_sample_conf.py"对KmsClient进行配置。
import logging
from baidubce.bce_client_configuration import BceClientConfiguration
from baidubce.auth.bce_credentials import BceCredentials
sts_host = "STS_HOST"
access_key_id = "AK"
secret_access_key = "SK"
logger = logging.getLogger('baidubce.services.sts.stsclient')
fh = logging.FileHandler("sample.log")
fh.setLevel(logging.DEBUG)
formatter = logging.Formatter('%(asctime)s - %(name)s - %(levelname)s - %(message)s')
fh.setFormatter(formatter)
logger.setLevel(logging.DEBUG)
logger.addHandler(fh)
config = BceClientConfiguration(credentials=BceCredentials(access_key_id, secret_access_key), endpoint=sts_host)

注意: 目前使用STS配置client时,无论对应Kms服务的endpoint在哪里,endpoint都需配置为http://sts.bj.baidubce.com。

在上面代码中,access_key_id对应控制台中的“Access Key ID”,secret_access_key对应控制台中的“Access Key Secret”。

  1. 新建StsClient,并使用获得的临时token,配置BceClientConfiguration。创建文件"sts_sample.py"通过StsClient申请一套AK、SK和token。
import sts_sample_conf
from baidubce.services.sts.sts_client import StsClient
from baidubce.bce_client_configuration import BceClientConfiguration
from baidubce.auth.bce_credentials import BceCredentials
sts_client = StsClient(sts_sample_conf.config)
duration_seconds = 3600
# you can specify limited permissions with ACL
access_dict = {}
access_dict["service"] = "bce:kms"
access_dict["region"] = "bj"   
access_dict["effect"] = "Allow"
resource = ["*"]
access_dict["resource"] = resource
permission = ["READ"]
access_dict["permission"] = permission
access_control_list = {"accessControlList": [access_dict]}
# 新建StsClient
response = sts_client.get_session_token(acl=access_control_list, duration_seconds=duration_seconds)
sts_ak = str(response.access_key_id)
sts_sk = str(response.secret_access_key)
token = response.session_token
kms_host = "KMS_HOST"
#配置BceClientConfiguration
config = BceClientConfiguration(credentials=BceCredentials(sts_ak, sts_sk), endpoint = kms_host, security_token=token)
  1. 在完成上述配置之后,参考如下代码新建一个KmsClient。
import sts_sample  		   
#导入Kms相关模块
from baidubce import exception
from baidubce.services.kms import kms_client
from baidubce.services.kms import keyspec_class
from baidubce.services.kms import origin_class
from baidubce.services.kms import protectedby_class
from baidubce.services.kms import publickeyencoding_class
#新建KmsClient
kmsClient = kms_client.KmsClient(sts_sample.config)

配置HTTPS协议访问KMS

您可以通过如下两种方式在KMS Python SDK中使用HTTPS访问KMS服务:

  • 在endpoint中指定HTTPS:
config = bce_client_configuration.BceClientConfiguration(
    credentials = bce_credentials.BceCredentials(
        access_key_id = 'your-ak',
  	    secret_access_key = 'your-sk'
    ),
    endpoint = 'https://bkm.bj.baidubce.com'
)
client = kms_client.KmsClient(config)
  • 通过在protocol中指定https来设置HTTPS协议:
config = bce_client_configuration.BceClientConfiguration(
    credentials = bce_credentials.BceCredentials(
        access_key_id = 'your-ak',
	    secret_access_key = 'your-sk'
    ),
    endpoint = 'bkm.bj.baidubce.com',
    protocol = baidubce.protocol.HTTPS
)
client = kms_client.KmsClient(config)
上一篇
概述
下一篇
密钥管理