操作场景
消费者密钥是客户端应用安全调用 AI 网关服务的核心凭证。当企业或开发者通过微服务 TSF AI 网关整合与调度后端 AI 能力时,消费者密钥为不同的客户端(如业务应用、移动 App 或第三方服务)创建唯一的身份认证凭据,用于这些客户端在调用网关 API 时的身份鉴权与访问控制。
为确保敏感密钥信息的安全,微服务 TSF AI 网关与腾讯云密钥管理系统(KMS)深度集成,实现密钥的全生命周期加密存储。KMS 使用经过第三方认证的硬件安全模块(HSM)来生成和保护密钥,确保包括腾讯云在内的任何人都无法获取您的明文主密钥,满足严格的合规性要求。通过集中化管理,本功能旨在强化安全管控,杜绝明文泄露和未授权访问风险,同时简化密钥的创建、更新、禁用、删除等运维流程。
前提条件
操作步骤
查看密钥列表
1. 登录微服务平台控制台 ,在左侧导航栏单击云原生智能网关 > 实例列表。
2. 在实例列表页面,单击需要配置的网关实例的“ID”,进入该网关实例的基本信息页面。
3. 在左侧导航栏单击密钥管理,进入密钥列表页。
4. 列表页将展示所有已创建的消费者密钥,包括密钥名称、类型、状态和生成方式等信息。您可以在此进行新建、编辑或删除等操作。
5. 当密钥状态为“已启用”时,删除操作将置灰不可用,系统会提示“请先禁用该密钥”。
新建密钥
1. 登录微服务平台控制台 ,在左侧导航栏单击云原生智能网关 > 实例列表。
2. 在实例列表页面,单击需要配置的网关实例的“ID”,进入该网关实例的基本信息页面。
3. 在左侧导航栏单击密钥管理,进入密钥列表页。
4. 在消费者密钥列表页,单击新建。
5. 在“新建密钥”窗口中,配置以下参数:
参数 | 是否必填 | 说明 |
密钥名称 | 是 | 最长60个字符,支持中英文大小写、数字及分隔符(“-”、“_”),不能以数字和分隔符开头,不能以分隔符结尾 |
生成方式 | 是 | 密钥管理系统(KMS凭据):关联腾讯云KMS中的凭据。需填写“凭据名称”和“凭据版本”,若无 KMS 凭证,则可以单击“新建凭证”跳转新建 |
| | 自动生成:网关自动生成随机的 API key |
| | 自定义:手动输入密钥值(消费者密钥为凭证内容) |
描述 | 否 | 密钥的标识描述信息,最长可输入200个字符。 |
6. 单击确定,完成密钥创建。网关会通过集成KMS服务(若生成方式选择KMS 凭据),确保密钥的加密安全存储。
注意:
生成方式选择“密钥管理系统(KMS 凭据)”,若要管理 KMS 凭据,需跳转至KMS 控制台进行操作。
生成方式为“自定义”和“自动生成”时,不支持修改,但支持复制和查看,默认显示为***以保护敏感信息;
查看密钥详情
1. 登录微服务平台控制台 ,在左侧导航栏单击云原生智能网关 > 实例列表。
2. 在实例列表页面,单击需要配置的网关实例的“ID”,进入该网关实例的基本信息页面。
3. 在左侧导航栏单击密钥管理,进入密钥列表页。
4. 在消费者密钥列表页,单击目标密钥的“ID/名称”。
5. 进入密钥详情页,您可以查看:
基本信息:包括密钥名称、类型、状态、创建时间等。
已绑定消费者:展示当前密钥已关联的消费者信息。
编辑密钥
1. 登录微服务平台控制台 ,在左侧导航栏单击云原生智能网关 > 实例列表。
2. 在实例列表页面,单击需要配置的网关实例的“ID”,进入该网关实例的基本信息页面。
3. 在左侧导航栏单击密钥管理,进入密钥列表页。
4. 在消费者密钥列表页,找到目标密钥,单击其操作列下的编辑;或在密钥详情页右上角单击编辑。
5. 在编辑窗口中,支持修改密钥的名称和描述(备注)信息。
6. 单击确定保存修改。
密钥绑定消费者
消费者与密钥为一对多关系,一个消费者可以绑定多个密钥,一个密钥只可以绑定一个消费者。您可以为密钥绑定一个消费者。
1. 登录微服务平台控制台 ,在左侧导航栏单击云原生智能网关 > 实例列表。
2. 在实例列表页面,单击需要配置的网关实例的“ID”,进入该网关实例的基本信息页面。
3. 在左侧导航栏单击密钥管理,进入密钥列表页。
4. 在消费者密钥列表页,单击目标密钥的“ID/名称”,进入详情页
5. 单击添加资源,在“新增资源”弹窗中,左侧“请选择消费者”区域会列出所有可选的消费者,您可以通过搜索框快速查找。
6. 在左侧列表中,勾选一个需要绑定到该密钥的消费者,被选中的消费者会出现在右侧“已选择”列表中。
7. 如需移除消费者,可在右侧“已选择”列表中,单击某个消费者条目右侧的 × 图标,可将其从本组关联关系中移除。
8. 调整完毕后,单击确定保存关联关系。
启用/禁用密钥
消费者密钥只有在启用状态下才可以生效,这意味着当密钥处于关闭或未激活状态时,AI 网关将无法识别或使用该密钥进行任何操作,因此在使用前务必确认密钥是否已正确启用。
1. 登录微服务平台控制台 ,在左侧导航栏单击云原生智能网关 > 实例列表。
2. 在实例列表页面,单击需要配置的网关实例的“ID”,进入该网关实例的基本信息页面。
3. 在左侧导航栏单击密钥管理,进入密钥列表页。
4. 在消费者密钥列表页,找到目标密钥,单击其操作列下的禁用按钮后,密钥处于“已禁用”状态, AI 网关将无法识别或使用该密钥进行任何操作。
5. 启用操作需要在目标密钥处于“已禁用”情况下:单击启用,密钥将处于“启用”状态。
删除密钥
1. 登录微服务平台控制台 ,在左侧导航栏单击云原生智能网关 > 实例列表。
2. 在实例列表页面,单击需要配置的网关实例的“ID”,进入该网关实例的基本信息页面。
3. 在左侧导航栏单击密钥管理,进入密钥列表页。
4. 在消费者密钥列表页,找到目标密钥,单击其操作列下的禁用按钮后,才可以进行删除操作,等待密钥禁用后,单击删除即可。
5. 系统将进行删除前的依赖关系校验:
若密钥已解除所有关联(消费者密钥需解除所有消费者关联),则弹窗直接显示密钥信息,单击确定即可删除。
若密钥仍存在关联资源,弹窗会提示“存在未解除的依赖关系”并列出具体依赖项。您需要先解除所有依赖关系后,单击重新检查,校验通过后方可删除。
注意事项:
KMS 凭据状态变化:如果您在腾讯云 KMS 控制台中修改了某个凭据,AI 网关为保障业务连续性,会短暂继续使用缓存的旧凭证内容(默认缓存时间约5分钟)。建议您在 KMS 上创建新版本的凭据,并在网关中关联新凭据后,再删除旧的 API Key 版本,以确保变更及时生效。
同时为了增加密钥的高可用性,建议您配置多个凭证,避免某个凭证被禁用后,消费者不可用导致事故发生。
