委托

解释说明

• 委托

  由于华为云云服务平台各服务之间存在业务交互关系，一些云服务需要与其他云服务协同工作，需要您创建云服务委托，将操作权限委托给该服务，让该服务以您的身份使用其他云服务，代替您进行一些资源运维工作。

  当前IAM提供两种创建委托方式：

  • 在IAM控制台创建云服务委托。
  • 在云服务控制台使用某项资源时，系统提示您自动创建委托，以完成云服务间的协同工作。
• ECS委托示例
  图1 应用程序获取临时访问密钥
  

  如图1所示，以运行在ECS实例上的应用程序使用临时凭证访问数据库服务举例：

  1. 应用程序与ECS元数据服务通信，ECS元数据服务再与IAM通信，获取临时AK、SK后返回给应用程序。
  2. 应用程序将临时AK、SK作为访问凭证出示给数据库服务，数据库服务收到请求后，先校验访问凭证是否合法，凭证通过校验后，ECS实例上的应用程序才能访问数据库服务。

  针对以上应用场景，可使用IAM对ECS云服务的委托来获取临时访问密钥。配置流程如下：

  1. 创建ECS云服务委托。

     账号在IAM控制台创建委托，指定委托对象为ECS云服务。委托创建时，选择权限策略，选择可访问的资源范围，不同的委托对应不同的权限策略。

  2. ECS实例配置委托。

     在ECS实例的配置项中选择上一步创建的委托，一个ECS实例只可以选择一个委托。

  3. 获取委托的临时凭证。

     ECS实例配置了委托参数后，就获得了委托权限。此时，ECS实例上运行的应用程序可获取委托的临时访问密钥AK、SK。拥有临时访问密钥的应用程序可与华为云服务进行交互，交互行为遵循账号授予的权限策略和资源使用范围。

  配置弹性云服务器ECS委托