对接编程
AI-VAULT提供密钥服务,需要由ISV平台集成到自有业务中使用。AI-VAULT提供命令行和RESTful接口,详情见AI-VAULT API接口。命令行主要提供AI-VAULT证书申请、证书导入以及公共参数配置功能。由运维人员在部署前完成。当AI-VAULT完成证书配置后,即可运行启动AI-VAULT。
后台集成AI-VAULT
- AI-VAULT提供用户RESTful接口,ISV需要集成到业务接口鉴权模块中,确保AI-VAULT的接口能被正常调用。
- AI-VAULT所有接口header必须包含DomainID字段,DomainID可以用于区分不同的组织、应用或者模型,最多支持500个域。DomainID取值范围为1到500整数,其它非法值会报错。每个DomainID下最多可创建10个主密钥。
- AI-VAULT导出CSR需要使用ISV对应CA签发证书导入使用,导入证书前无法提供密钥服务。
- 根据AI-VAULT提供的接口加到用户自身业务的APIGW中,完成路由转发和接口鉴权。
- 在每个接口中加入AI-VAULT需要的header字段的DomainID(详细参考AI-VAULT API接口中的接口),DomainID用于密钥分类,可以用来区分组织、应用或者模型等。
前端集成AI-VAULT
- 创建主密钥及预共享密钥操作会返回密钥内容,用户需要保存,且后续不能查询,请做好前端提示信息。
- 删除主密钥以及预共享密钥为高危操作,前端建议做好防呆提示,防止误删除。
- AI-VAULT包含限流设计,请求频繁,会出现特定错误码31000022(详情见API接口的错误码说明章节),前端界面可根据该错误码提示系统繁忙,稍后重试的提醒。
前端需要根据AI-VAULT控制密钥的功能添加主密钥和预共享密钥的相关操作。主要包含以下功能:
- 添加主密钥。
添加主密钥,根据API参数需要用户输入密钥名称(不可重复)、用途、备注等信息。创建后密钥自动下载到本地,后续无法找回。
- 删除主密钥。
删除主密钥可提供按钮操作,点击删除后需要前端告知风险,并让用户二次确认删除操作。
- 查询并显示主密钥信息。
主密钥查询,支持过滤名称和状态查询和查询排序。具体查询参数参考API文档。查询内容可显示到前端。
- 创建预共享密钥。
创建预共享密钥需要输入预共享密钥名称、备注信息和绑定主密钥名称(不能重复),并且需要输入口令加密。创建后前端返回预共享密钥值,且需要提示用户本地妥善保存。
- 删除预共享密钥。
删除预共享密钥可提供按钮操作,点击删除后需要前端告知风险,并让用户二次确认删除操作。
- 查询显示预共享密钥信息。
预共享密钥查询,支持过滤名称和状态查询和查询排序。具体查询参数参考API文档。查询内容可显示到前端。
运维对接AI-VAULT
详细内容可参考用户可参考《MindX DL AI模型保护用户指南》中安装部署章节。
- 安装部署 > AI-VAULT安装 > 配置证书
- 安装部署 > AI-VAULT安装 > 部署AI-VAULT组件
- 安装部署 > AI-VAULT安装 > 部署网络策略
AI-VAULT规格说明
- KMSAgent最多支持128个计算节点部署。
- 同时每个KMSAgent最多支持32个训练或推理服务同时加解密。
- API请求支持并发规格为12,即支持同时处理12个用户操作请求,超过12个用户需要排队,排队时间超过10秒则丢弃,返回特定错误码31000022(详情见API接口的错误码章节)。