Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda/ Data Encryption Workshop/ Prácticas recomendadas/ Cloud Secret Management Service/ Rotación de secretos/ Rotación de secretos de IAM con FunctionGraph
Actualización más reciente 2024-09-13 GMT+08:00
Ver PDF
Compartir

Rotación de secretos de IAM con FunctionGraph

Escenario

Esta sección describe cómo rotar secretos de IAM con KMS mediante una plantilla de FunctionGraph.

Restricciones

  • Solo se pueden rotar las cuentas de miembros de IAM. Las cuentas principales de IAM no se pueden rotar.
  • La cuenta de miembro de IAM que se va a rotar debe tener al menos un grupo de secretos.
  • El CSMS está disponible en la región.

Procedimiento

Creación de una delegación.

  1. Inicie sesión en la consola de gestión.
  2. Haga clic en en la esquina superior izquierda de la consola de gestión y seleccione una región o proyecto.
  3. Haga clic en en la esquina superior izquierda de la página y elija Management & Governance > Identity and Access Management.
  4. En el panel de navegación situado a la izquierda, seleccione Agencies. Haga clic en Create Agency en la esquina superior derecha.
  5. Configure los parámetros, como se muestra en la siguiente figura. Tabla 1 enumera los parámetros.

    Figura 1 Creación de una delegación
    Tabla 1 Parámetros para crear una delegación

    Parámetro

    Descripción

    Agency Name

    Introduzca un nombre de delegación personalizado, por ejemplo, test.

    Agency Type

    Seleccione Cloud service.

    Cloud Service

    Seleccione FunctionGraph.

    Validity Period

    Configure este parámetro en función del escenario real. Si la función debe ejecutarse durante mucho tiempo, seleccione Unlimited.

    Description

    Configure este parámetro según sea necesario.

  6. Haga clic en Next.
  7. Seleccione Security Administrator, CSMS FullAccess y KMS CMKFullAccess como se muestra en la siguiente figura.

    Figura 2 Asignación de permisos

  8. Haga clic en Next y seleccione un ámbito de autorización, como se muestra en la siguiente figura.

    Figura 3 Alcance de la autorización

  9. Haga clic en OK.

Creación de una plantilla de función y una función.

  1. Inicie sesión en la consola de gestión.
  2. Haga clic en en la esquina superior izquierda de la consola de gestión y seleccione una región o proyecto.
  3. Haga clic en en la esquina superior izquierda de la página y elija Compute > FunctionGraph.
  4. Haga clic en Create Function en la esquina superior derecha.
  5. Haga clic en Select template. En el área Service, haga clic en DEW, localice rotate-iam-credentials en la parte inferior y haga clic en Configure en la esquina superior derecha del cuadro, como se muestra en la siguiente figura.

    Figura 4 Creación de una función

  6. Configure los parámetros descritos en Tabla 2.

    Figura 5 Información básica sobre funciones
    Tabla 2 Parámetros básicos

    Parámetro

    Descripción

    Region

    Seleccione la región donde se va a desplegar la función.

    Project

    Seleccione el proyecto en el que se va a desplegar la función.

    Function Name

    Introduzca un nombre de función personalizado.

    Agency

    Seleccione una delegación.

    Enterprise Project

    Si habilitó los proyectos empresariales, seleccione uno para agregarle una función.

    Si todavía no habilita un proyecto empresarial, este parámetro no estará disponible. Omita este paso.

  7. Configure las variables de entorno descritas en Tabla 3.

    Figura 6 Variables del entorno
    Tabla 3 Variables del entorno

    Parámetro

    Descripción

    region

    El proyecto. Por ejemplo, si la región es CN North-Beijing4, el nombre del proyecto debe ser cn-north-4.

    NOTA:

    Para obtener el proyecto, coloque el mouse sobre el nombre de usuario y seleccione Mis credenciales en la lista desplegable. Se muestran los proyectos.

    user_id

    Ingrese el ID del usuario de IAM que se va a rotar.

    NOTA:

    Para obtener el ID de usuario de IAM, coloque el mouse sobre el nombre de usuario y seleccione Mis credenciales en la lista desplegable. Se muestra el ID.

    project_id

    Introduzca el ID del proyecto.

    NOTA:

    Para obtener el ID de usuario de IAM, coloque el mouse sobre el nombre de usuario y seleccione Mis credenciales en la lista desplegable. Se muestran los ID de los proyectos.

    secret_name

    Introduzca el nombre del secreto que se va a crear, que no puede coincidir con un nombre de secreto existente.

  8. Configure las variables de activador descritas en Tabla 4.

    Figura 7 Variables de activador
    Tabla 4 Variables de activador

    Parámetro

    Descripción

    Timer Name

    Personalizado

    Rule

    Configurado según sea necesario

    Enable Trigger

    Configurado según sea necesario

  9. Haga clic en Create Function.

Depuración.

Para obtener detalles sobre la depuración de un flujo de trabajo de función, consulte Depuración online.

Consulta del secreto.

  1. Inicie sesión en la consola de gestión.
  2. Haga clic en en la esquina superior izquierda de la consola de gestión y seleccione una región o proyecto.
  3. Haga clic en a la izquierda, elija Security & Compliance > Data Encryption Workshop, se mostrará la página de gestión de claves.
  4. En el panel de navegación, elija Cloud Secret Management Service.
  5. Consulte el secreto especificado en el Paso 7. Haga clic en él para ver los detalles. Se muestran el secreto válido actual, los secretos históricos y otras informaciones.

    Figura 8 Detalles de secretos

  6. Localice la versión más reciente del secreto, haga clic en View Secret en la columna Operation para verificar las AK/SK.
Tema principal: Rotación de secretos