文档首页/ 数据加密服务 DEW/ API参考/ API说明/ 凭据管理服务/ 生命周期管理/ 创建凭据
更新时间:2024-07-11 GMT+08:00
查看PDF
分享

创建凭据

功能介绍

创建新的凭据,并将凭据值存入凭据的初始版本。

凭据管理服务将凭据值加密后,存储在凭据对象下的版本中。每个版本可与多个凭据版本状态相关联,凭据版本状态用于标识凭据版本处于的阶段,没有版本状态标记的版本视为已弃用,可用凭据管理服务自动删除。

初始版本的状态被标记为SYSCURRENT。

接口约束

您可以指定一个对称密钥类型的用户主密钥作为保护凭据的加密密钥。当不指定kms_key_id参数时,凭据管理服务将默认使用名为csms/default的默认主密钥,用于加密您账号在本项目中创建的凭据。如果用户账号下不存在该名称的主密钥,则凭据管理服务会自动为您创建该名称的密钥。

如果您指定主密钥,则需要同时具备相应主密钥的kms:dek:create权限,用于凭据值进行加密。

调用方法

请参见如何调用API

URI

POST /v1/{project_id}/secrets

表1 路径参数

参数

是否必选

参数类型

描述

project_id

String

项目ID。

请求参数

表2 请求Header参数

参数

是否必选

参数类型

描述

X-Auth-Token

String

用户Token。

通过调用IAM服务获取用户Token接口获取(响应消息头中X-Subject-Token的值)。
表3 请求Body参数

参数

是否必选

参数类型

描述

name

String

待创建凭据的名称。

约束:取值范围为1到64个字符,满足正则匹配“^[a-zA-Z0-9_-]{1,64}$”。

kms_key_id

String

用于加密保护凭据值的KMS主密钥ID,如果您未指定此参数,凭据管理服务将默认使用名为csms/default的默认主密钥,用于加密您账号在本项目中创建的凭据值。如果用户账号下不存在该名称的主密钥,则凭据管理服务自动为您创建该名称的密钥。

description

String

凭据的描述信息。

约束:2048字节。

secret_binary

String

二进制类型凭据在base64编码后的明文,凭据管理服务将其加密后,存入凭据的初始版本中。

类型:base64编码的二进制数据对象。

约束:secret_binary和secret_string必须且只能设置一个,最大32K。 当secret_type为RDS时。凭据值格式为: "{'users':[{'name':'','password':''}]}" 其中name为RDS实例账号名称,password为RDS实例账号口令

secret_string

String

文本类型凭据的明文,凭据管理服务将其加密后,存入凭据的初始版本中。

约束:secret_binary和secret_string必须且只能设置一个,最大32K。

secret_type

String

凭据类型

取值 : COMMON :通用凭据(默认)。用于应用系统中的各种敏感信息储存。 RDS :RDS凭据 。专门针对RDS的凭据,用于存储RDS的账号信息。

auto_rotation

Boolean

自动轮转

取值:true 开启 ,false 关闭 (默认)

rotation_period

String

轮转周期

约束:6小时-8,760小时 (365天)

类型:Integer[unit] ,Integer表示时间长度 。unit表示时间单位,d(天)、h(小时)、m(分钟)、s(秒)。例如 1d 表示一天,24h也表示一天

说明:当开启自动轮转时,必须填写该值

rotation_config

String

轮转配置

约束:范围不超过1024个字符。

当secret_type为RDS时,配置为{"rds_instance_id":"","Secret_sub_type":""}

说明:当secret_type为RDS时,必须填写该值

rds_instance_id为RDS的实例ID,Secret_sub_type为轮转子类型,取值为:SingleUser,MultiUser。

SingleUser:指定轮转类型为单用户模式轮转,每次轮转将指定账号重置为新的口令。

MultiUser:指定轮转类型为双用户模式轮转,SYSCURRENT和SYSPREVIOUS分别引用其中一个账号。凭据轮转时,SYSPREVIOUS引用的账号口令会被重置为新的随机口令,随后凭据交换SYSCURRENT和SYSPREVIOUS对RDS账号的引用。

event_subscriptions

Array of strings

凭据订阅的事件列表,当前最大可订阅一个事件。当事件包含的基础事件触发时,通知消息将发送到事件对应的通知主题。

enterprise_project_id

String

该参数针对企业用户使用。如果您是企业用户,且已创建企业项目,则请从下拉列表中为密钥选择需要绑定的企业项目,默认项目为“default”。 未开通企业管理的用户页面则没有“企业项目”参数项,无需进行配置。

响应参数

状态码: 200

表4 响应Body参数

参数

参数类型

描述

secret

Secret object

凭据对象。
表5 Secret

参数

参数类型

描述

id

String

凭据的资源标识符。

name

String

凭据名称。

state

String

凭据状态,取值如下:

ENABLED:表示启用状态

DISABLED:表示禁用状态

PENDING_DELETE:表示待删除状态

FROZEN:表示冻结状态

kms_key_id

String

用于加密凭据值的KMS主密钥的ID值。

description

String

凭据的描述信息。

create_time

Long

凭据创建时间,时间戳,即从1970年1月1日至该时间的总秒数。

update_time

Long

凭据上次更新时间,时间戳,即从1970年1月1日至该时间的总秒数。

scheduled_delete_time

Long

凭据计划删除时间,时间戳,即从1970年1月1日至该时间的总秒数。

凭据不在删除计划中时,本项值为null。

secret_type

String

凭据类型

取值 : COMMON :通用凭据(默认)。用于应用系统中的各种敏感信息储存。 RDS :RDS凭据 。专门针对RDS的凭据,用于存储RDS的账号信息。

auto_rotation

Boolean

自动轮转

取值:true 开启, false 关闭(默认)

rotation_period

String

轮转周期

约束:6小时-8,760小时 (365天)

类型:Integer[unit] ,Integer表示时间长度 。unit表示时间单位,d(天)、h(小时)、m(分钟)、s(秒)。例如 1d 表示一天,24h也表示一天

说明:当开启自动轮转时,必须填写该值

rotation_config

String

轮转配置

约束:范围不超过1024个字符。

当secret_type为RDS时,配置为{"RDSInstanceId":"","SecretSubType":""}

说明:当secret_type为RDS时,必须填写该值

RDSInstanceId为RDS的实例ID,SecretSubType为轮转子类型,取值为:SingleUser,MultiUser。

SingleUser:指定轮转类型为单用户模式轮转,每次轮转将指定账号重置为新的口令。

MultiUser:指定轮转类型为双用户模式轮转,SYSCURRENT和SYSPREVIOUS分别引用其中一个账号。凭据轮转时,SYSPREVIOUS引用的账号口令会被重置为新的随机口令,随后凭据交换SYSCURRENT和SYSPREVIOUS对RDS账号的引用。

rotation_time

Long

轮转时间戳

next_rotation_time

Long

下一次轮转时间戳

event_subscriptions

Array of strings

凭据订阅的事件列表,当前最大可订阅一个事件。当事件包含的基础事件触发时,通知消息将发送到事件对应的通知主题。

enterprise_project_id

String

企业项目ID

状态码: 400

表6 响应Body参数

参数

参数类型

描述

error_code

String

错误码

error_msg

String

错误描述

状态码: 401

表7 响应Body参数

参数

参数类型

描述

error_code

String

错误码

error_msg

String

错误描述

状态码: 403

表8 响应Body参数

参数

参数类型

描述

error_code

String

错误码

error_msg

String

错误描述

状态码: 404

表9 响应Body参数

参数

参数类型

描述

error_code

String

错误码

error_msg

String

错误描述

状态码: 500

表10 响应Body参数

参数

参数类型

描述

error_code

String

错误码

error_msg

String

错误描述

状态码: 502

表11 响应Body参数

参数

参数类型

描述

error_code

String

错误码

error_msg

String

错误描述

状态码: 504

表12 响应Body参数

参数

参数类型

描述

error_code

String

错误码

error_msg

String

错误描述

请求示例

创建一个名字为demo的凭据,使用kms密钥ID为0d0466b0-e727-4d9c-b35d-f84bb474a37f对“this is a demo secret string”凭据值加密。

{
  "name" : "demo",
  "kms_key_id" : "0d0466b0-e727-4d9c-b35d-f84bb474a37f",
  "secret_string" : "this is a demo secret string"
}

响应示例

状态码: 200

请求已成功

{
  "secret" : {
    "id" : "bb6a3d22-dc93-47ac-b5bd-88df7ad35f1e",
    "name" : "test",
    "state" : "ENABLED",
    "kms_key_id" : "b168fe00ff56492495a7d22974df2d0b",
    "description" : "description",
    "create_time" : 1581507580000,
    "update_time" : 1581507580000,
    "scheduled_delete_time" : 1581507580000,
    "secret_type" : "RDS",
    "auto_rotation" : true,
    "rotation_config" : "{'RDSInstanceId':'63616bceef2c45409575d762a498318bin01','SecretSubType':'MultiUser'}",
    "rotation_period" : "1d",
    "rotation_time" : 1668567940000,
    "next_rotation_time" : 1668629140000,
    "event_subscriptions" : [ "pocEvent" ]
  }
}

SDK代码示例

SDK代码示例如下。

创建一个名字为demo的凭据,使用kms密钥ID为0d0466b0-e727-4d9c-b35d-f84bb474a37f对“this is a demo secret string”凭据值加密。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
 
package com.huaweicloud.sdk.test;

import com.huaweicloud.sdk.core.auth.ICredential;
import com.huaweicloud.sdk.core.auth.BasicCredentials;
import com.huaweicloud.sdk.core.exception.ConnectionException;
import com.huaweicloud.sdk.core.exception.RequestTimeoutException;
import com.huaweicloud.sdk.core.exception.ServiceResponseException;
import com.huaweicloud.sdk.csms.v1.region.CsmsRegion;
import com.huaweicloud.sdk.csms.v1.*;
import com.huaweicloud.sdk.csms.v1.model.*;


public class CreateSecretSolution {

    public static void main(String[] args) {
        // The AK and SK used for authentication are hard-coded or stored in plaintext, which has great security risks. It is recommended that the AK and SK be stored in ciphertext in configuration files or environment variables and decrypted during use to ensure security.
        // In this example, AK and SK are stored in environment variables for authentication. Before running this example, set environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment
        String ak = System.getenv("CLOUD_SDK_AK");
        String sk = System.getenv("CLOUD_SDK_SK");

        ICredential auth = new BasicCredentials()
                .withAk(ak)
                .withSk(sk);

        CsmsClient client = CsmsClient.newBuilder()
                .withCredential(auth)
                .withRegion(CsmsRegion.valueOf("<YOUR REGION>"))
                .build();
        CreateSecretRequest request = new CreateSecretRequest();
        CreateSecretRequestBody body = new CreateSecretRequestBody();
        body.withSecretString("this is a demo secret string");
        body.withKmsKeyId("0d0466b0-e727-4d9c-b35d-f84bb474a37f");
        body.withName("demo");
        request.withBody(body);
        try {
            CreateSecretResponse response = client.createSecret(request);
            System.out.println(response.toString());
        } catch (ConnectionException e) {
            e.printStackTrace();
        } catch (RequestTimeoutException e) {
            e.printStackTrace();
        } catch (ServiceResponseException e) {
            e.printStackTrace();
            System.out.println(e.getHttpStatusCode());
            System.out.println(e.getRequestId());
            System.out.println(e.getErrorCode());
            System.out.println(e.getErrorMsg());
        }
    }
}

创建一个名字为demo的凭据,使用kms密钥ID为0d0466b0-e727-4d9c-b35d-f84bb474a37f对“this is a demo secret string”凭据值加密。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
 
# coding: utf-8

from huaweicloudsdkcore.auth.credentials import BasicCredentials
from huaweicloudsdkcsms.v1.region.csms_region import CsmsRegion
from huaweicloudsdkcore.exceptions import exceptions
from huaweicloudsdkcsms.v1 import *

if __name__ == "__main__":
    # The AK and SK used for authentication are hard-coded or stored in plaintext, which has great security risks. It is recommended that the AK and SK be stored in ciphertext in configuration files or environment variables and decrypted during use to ensure security.
    # In this example, AK and SK are stored in environment variables for authentication. Before running this example, set environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment
    ak = __import__('os').getenv("CLOUD_SDK_AK")
    sk = __import__('os').getenv("CLOUD_SDK_SK")

    credentials = BasicCredentials(ak, sk) \

    client = CsmsClient.new_builder() \
        .with_credentials(credentials) \
        .with_region(CsmsRegion.value_of("<YOUR REGION>")) \
        .build()

    try:
        request = CreateSecretRequest()
        request.body = CreateSecretRequestBody(
            secret_string="this is a demo secret string",
            kms_key_id="0d0466b0-e727-4d9c-b35d-f84bb474a37f",
            name="demo"
        )
        response = client.create_secret(request)
        print(response)
    except exceptions.ClientRequestException as e:
        print(e.status_code)
        print(e.request_id)
        print(e.error_code)
        print(e.error_msg)

创建一个名字为demo的凭据,使用kms密钥ID为0d0466b0-e727-4d9c-b35d-f84bb474a37f对“this is a demo secret string”凭据值加密。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
 
package main

import (
	"fmt"
	"github.com/huaweicloud/huaweicloud-sdk-go-v3/core/auth/basic"
    csms "github.com/huaweicloud/huaweicloud-sdk-go-v3/services/csms/v1"
	"github.com/huaweicloud/huaweicloud-sdk-go-v3/services/csms/v1/model"
    region "github.com/huaweicloud/huaweicloud-sdk-go-v3/services/csms/v1/region"
)

func main() {
    // The AK and SK used for authentication are hard-coded or stored in plaintext, which has great security risks. It is recommended that the AK and SK be stored in ciphertext in configuration files or environment variables and decrypted during use to ensure security.
    // In this example, AK and SK are stored in environment variables for authentication. Before running this example, set environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment
    ak := os.Getenv("CLOUD_SDK_AK")
    sk := os.Getenv("CLOUD_SDK_SK")

    auth := basic.NewCredentialsBuilder().
        WithAk(ak).
        WithSk(sk).
        Build()

    client := csms.NewCsmsClient(
        csms.CsmsClientBuilder().
            WithRegion(region.ValueOf("<YOUR REGION>")).
            WithCredential(auth).
            Build())

    request := &model.CreateSecretRequest{}
	secretStringCreateSecretRequestBody:= "this is a demo secret string"
	kmsKeyIdCreateSecretRequestBody:= "0d0466b0-e727-4d9c-b35d-f84bb474a37f"
	request.Body = &model.CreateSecretRequestBody{
		SecretString: &secretStringCreateSecretRequestBody,
		KmsKeyId: &kmsKeyIdCreateSecretRequestBody,
		Name: "demo",
	}
	response, err := client.CreateSecret(request)
	if err == nil {
        fmt.Printf("%+v\n", response)
    } else {
        fmt.Println(err)
    }
}

更多编程语言的SDK代码示例,请参见API Explorer的代码示例页签,可生成自动对应的SDK代码示例。

状态码

状态码

描述

200

请求已成功

400

请求参数有误

401

被请求的页面需要用户名和密码

403

认证失败

404

资源不存在,资源未找到

500

服务内部错误

502

请求未完成。服务器从上游服务器收到一个无效的响应

504

网关超时

错误码

请参见错误码

父主题: 生命周期管理