步骤四:创建非管理员IAM账户
本章节介绍如何创建非管理员IAM账户。
租户采集的鉴权采用的是IAM鉴权,因此需要创建拥有安全云脑接口访问权限的IAM最小权限账户(机机账户),同时禁止开启MFA。该账户主要用于租户侧日志采集器登录并访问安全云脑。
创建非管理员IAM账户
- 使用IAM管理员账号登录管理控制台。
- 在页面左上角单击,选择 ,进入统一身份认证服务管理控制台。
- 创建用户组。
- 在左侧导航栏选择“用户组”,进入用户组页面后,单击右上角“创建用户组”。
- 在创建用户组页面,设置用户组名称和描述信息。
- 用户组名称:请设置为“租户采集用户组”。
- 描述:自定义描述信息即可。
- 单击“确定”。
- 添加权限。
- 在左侧导航栏选择“创建自定义策略”。 ,并在权限页面右上角单击
- 配置策略。
- 策略名称:请设置为“租户采集最小权限策略”。
- 策略配置方式:选择“JSON视图”。
- 策略内容:请直接复制粘贴以下内容。
{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "secmaster:workspace:get", "secmaster:node:create", "secmaster:node:monitor", "secmaster:node:taskQueueDetail" , "secmaster:node:updateTaskNodeStatus" ] } ] }
- 单击“确定”。
- 给用户组授权。
- 创建用户。
- 在统一身份认证服务IAM管理控制台的左侧导航栏选择“用户”,进入用户页面后,单击右上角“创建用户”。
- 配置用户基本信息。
表1 用户基本信息 参数名称
配置说明
用户信息
自定义配置。
设置后,记录此处IAM用户名信息(IAM User Name),方便后续使用。
访问方式
编程访问
勾选。
管理控制台访问
不勾选。
凭证类型
访问密钥
勾选。
密码
勾选。
勾选密码后,勾选“自定义”,并自定义设置密码。设置后,记录此处IAM用户密码信息(IAM User Password),方便后续使用。
- 单击页面右下角“下一步”,进入加入用户组页面。
- 搜索并选中3创建的用户组“租户采集用户组”,单击右下角“创建用户”。
- 确认用户未绑定虚拟MFA设备。
- 在统一身份认证服务IAM管理控制台的左侧导航栏选择“用户”,进入用户页面后单击6创建的用户的名称。
- 选择“安全设置”页签,并确认“虚拟MFA设备”的状态为“未绑定”。
- 查看IAM用户的域账号信息。
- 将鼠标悬停至控制台右上角用户名上,并在下拉框中选择“我的凭证”。
- 在API凭证信息中,查看并记录账号名,此信息则为后续安装isap-agent的域账号信息。
图1 域账号信息