运行时引擎访问凭据管理服务功能介绍-j9九游会登录

访问凭据管理服务（access credential management service，简称acms，也称为security token service，简称sts）为云服务业务提供了以下两个功能：

• 微服务之间请求认证

  acms为每个接入的微服务，颁发了用于通信中进行认证的sts认证凭据，两个微服务之间通信时，可以使用该认证凭据，进行sts认证。

  为了让微服务可以安全地获取到sts认证凭据，sts给每个接入的微服务颁发了一张身份证书，该证书中包含了微服务的名称等信息。该证书在微服务部署时，安装到微服务所在的虚拟机或容器里。微服务使用该证书，就可以到sts-server上获取认证凭据。

  两个微服务之间通信时，被调用方（provider）需要在acms管理台上给调用方（consumer）配置访问权限（access control list，简称acl），开通后，consumer就可以使用sts下发的认证凭据，用于消息的签名和加密。

• 敏感配置的托管和分发功能

  acms为每个接入的微服务都分配了一个用于加密敏感数据的密钥（kek），对服务也分配了加密敏感数据的密钥（servicekek）。同一个服务下的所有微服务，servicekek是相同的。

  利用这两个密钥，微服务可以将一些敏感配置托管到sts，sts会使用kek或servicekek对数据进行加密，在微服务部署时，由部署平台将敏感数据密文下发到微服务部署的环境上。

  微服务启动时，利用微服务身份证书，可以同时获取kek和servicekek，从而把敏感数据明文解密出来。