文档首页/ 云应用引擎 CAE/ 最佳实践/ 配置CAE对接DEW,帮助应用从DEW获取加密凭据/ 屏蔽子账户读取密钥的权限,实现密钥保护
更新时间:2024-05-21 GMT+08:00
分享

屏蔽子账户读取密钥的权限,实现密钥保护

当您使用多账号管理CAE环境时,可以根据企业的业务组织,在您的华为云云服务账号中,给企业中不同职能部门的员工创建子账号,并根据职能设置不同的访问权限,以达到用户之间的权限隔离。

例如:分别为开发及测试创建开发账号与测试账号,测试人员无需感知敏感信息,为保护敏感信息,您可以屏蔽测试账号获取敏感信息的权限。

本最佳实践指导您通过屏蔽子账号DEW服务的所有权限以及CAE远程登录的权限,来控制子用户读取密钥。

创建自定义策略

  1. 登录“统一认证服务”控制台。
  2. 在左侧导航栏中选择“权限管理 > 权限”。
  3. 单击“创建自定义策略”,进入“创建自定义策略”页面。

    图1 进入统一认证服务页面

  4. 配置自定义策略。

    • 策略名称:填写cae-subuser。
    • 策略内容:选择“拒绝”
    • 服务:选择“云应用引擎”
    • 操作:勾选“cae:application:createConsole”权限。
    图2 创建自定义策略

  5. 单击“确定”,完成自定义策略创建。

创建用户组并授权

  1. 在左侧导航栏中选择“用户组”,单击“创建用户组”

    图3 创建用户组

  2. 输入“用户组名称”,例如cae-test,单击“确定”,完成用户组创建。
  3. 在用户组列表中单击创建完成的用户组名称“cae-test”,进入用户组概览页面。
  4. “授权记录”页签中单击“授权”,选择创建自定义策略中创建的自定义策略。

    图4 授权自定义策略

  5. 单击“下一步”,选择授权范围方案为“所有资源”。
  6. 单击“确定”,完成授权。

    待授权完成后,单击“完成”,返回用户组概览页面。
    图5 完成用户组授权

  7. 单击“用户管理”,进入“用户组管理”页面。
  8. 在用户列表中勾选需要控制权限的子用户,单击“确定”

    图6 配置用户管理

验证子账号权限

  1. 使用8的子用户账号登录CAE控制台。
  2. 进行添加凭据配置配置环境变量等操作,可正常使用。
  3. 在左侧导航栏中选择“实例列表”。
  4. 选择待操作实例,在“操作”列单击“远程登录”,无法查看凭据具体内容。

    图7 当前子用户无远程登录的权限

  5. 单击左上角,在服务列表单击“数据加密控制台 DEW”,切换至DEW控制台。
  6. 在左侧导航栏中选择“凭据管理 > 凭据列表”,无法查看凭据具体内容。

    图8 当前子用户无DEW的委托权限

相关文档