通过函数工作流轮转IAM凭证

应用场景

本文介绍使用函数工作流模板，通过凭据管理服务轮转IAM凭证（Access Key and Secret Key）。

约束条件

• 仅支持轮转IAM子账号，不支持IAM主账号轮转。
• 待轮转的IAM子账号下至少需要存在一组凭证。
• 区域已上线凭据管理服务（CSMS）。

操作步骤

创建委托

1. 登录管理控制台。
2. 单击管理控制台左上角，选择区域或项目。
3. 单击页面左上方的，选择“管理与监管 > 统一身份认证服务”，进入统一身份认证服务界面。
4. 在左侧导航栏单击“委托”，进入委托页面。在委托界面右上角单击“创建委托”，进入创建委托界面。
5. 在创建委托界面，设置委托信息，如图 创建委托所示，参数描述参见表 创建委托参数说明所示
   图1 创建委托
   

   表1 创建委托参数说明

   参数	配置说明
   委托名称	自定义委托名称，例如“test”。
   委托类型	选择“云服务”。
   云服务	选择“FunctionGraph”。
   持续时间	由函数使用场景决定，如果函数需要长时间执行，推荐选择永久。
   描述	自定义。

6. 填写完成后，单击“下一步”，进入委托授权页面。
7. 勾选需要授权给函数工作流的“Security Administrator”、“CSMS FullAccess”、“KMS CMKFullAccess”权限，如图 授权权限所示。
   图2 授权权限
   

8. 单击“下一步”，根据业务需要选择授权范围，如图 业务授权范围所示。
   图3 业务授权范围
   

9. 单击“确定”，委托创建成功。

创建函数模板、创建函数

1. 登录管理控制台。
2. 单击管理控制台左上角，选择区域或项目。
3. 单击页面左上方的，选择“计算 > 函数工作流”，进入函数工作流界面。
4. 单击页面右上角的“创建函数”，进入创建函数界面。
5. 单击“使用函数模板”，在“云服务”行选择“数据加密服务”，选择“轮转AK/SK凭证”，在对应模板右上角单击“使用模板”，具体如图 创建函数所示。
   图4 创建函数
   

6. 配置函数基本信息，参数配置说明参见表 基本信息参数配置所示。
   图5 函数基本信息
   

   表2 基本信息参数配置

   参数	配置说明
   区域	选择函数部署的区域
   项目	选择函数部署的项目
   函数名称	自定义函数名称
   委托名称	选择创建委托步骤创建的委托名称。
   企业项目	如果您已开通企业项目，选择需要添加函数的企业项目即可。 如果您未开通企业项目，将无法看到企业项目的选项，可直接跳过该参数。

7. 配置函数环境变量，变量参数说明参见表 环境变量参数说明所示。
   图6 函数环境变量
   

   表3 环境变量参数说明

   参数	配置说明
   region	项目。例如北京四对应：cn-north-4 说明： 查找路径：单击“用户名称 > 我的凭证”，API凭证页面的项目，就是对应region。
   user_id	待轮转的IAM用户ID。 说明： 查找路径：单击“用户名称 > 我的凭证”，API凭证页面的IAM用户ID就是对应user_id。
   project_id	项目ID。 说明： 查找路径：单击“用户名称 > 我的凭证”，API凭证页面的项目ID，就是对应project_id。
   secret_name	待创建凭据名称，不能和已有的凭据名称重复

8. 配置触发器变量，变量参数说明参见表 函数触发器配置参数说明所示。
   图7 触发器变量
   

   表4 函数触发器配置参数说明

   参数	配置说明
   定时器名称	自定义
   触发规则	按需配置
   是否开启	按需配置

9. 单击“创建函数”，完成创建操作。

调试

具体函数工作流调试请参见在线调试。

查看凭证

1. 登录管理控制台。
2. 单击管理控制台左上角，选择区域或项目。
3. 单击页面左侧，选择“安全与合规 > 数据加密服务”，默认进入“密钥管理”界面。
4. 在左侧导航树中，选择“凭据管理”，进入“凭据管理”页面。
5. 查找步骤7页面配置的指定凭据，单击凭据名称，进入凭据详情页面，查看当前生效凭据、历史凭据以及其他信息。
   图8 凭据详情
   

6. 选择最新凭据版本号所在行，单击“查看凭据值”，即可查看当前生效的凭据AK/SK。