Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Central de ajuda/ Data Encryption Workshop/ Melhores práticas/ Serviço de gerenciamento de segredo em nuvem/ Rotação de segredos/ Rotação de segredos de IAM usando FunctionGraph
Atualizado em 2024-09-14 GMT+08:00
Ver PDF
Compartilhar

Rotação de segredos de IAM usando FunctionGraph

Cenário

Esta seção descreve como rotacionar segredos do IAM pelo KMS usando um modelo do FunctionGraph.

Restrições

  • Apenas as contas de membros do IAM podem ser rotacionadas. As contas principais do IAM não podem ser rotacionadas.
  • A conta de membro do IAM a ser rotacionada deve ter pelo menos um grupo de segredos.
  • O CSMS está disponível na região.

Procedimento

Crie uma agência.

  1. Faça logon no console de gerenciamento.
  2. Clique em no canto superior esquerdo do console de gerenciamento e selecione uma região ou projeto.
  3. Clique em no canto superior esquerdo da página e escolha Management & Governance > Identity and Access Management.
  4. No painel de navegação à esquerda, escolha Agencies. Clique em Create Agency no canto superior direito.
  5. Configure os parâmetros, conforme mostrado na figura a seguir. A Tabela 1 lista os parâmetros.

    Figura 1 Criação de uma agência
    Tabela 1 Parâmetros para criar uma agência

    Parâmetro

    Descrição

    Agency Name

    Insira um nome de agência personalizado, por exemplo, test.

    Agency Type

    Selecione Cloud service.

    Cloud Service

    Escolha FunctionGraph.

    Validity Period

    Defina este parâmetro com base no cenário real. Se a função precisar ser executada por um longo tempo, escolha Unlimited.

    Description

    Defina este parâmetro conforme necessário.

  6. Clique em Next.
  7. Selecione Security Administrator, CSMS FullAccess e KMS CMKFullAccess, conforme mostrado na figura a seguir.

    Figura 2 Atribuição de permissões

  8. Clique em Next e escolha um escopo de autorização, conforme mostrado na figura a seguir.

    Figura 3 Escopo de autorização

  9. Clique em OK.

Crie um modelo de função e uma função.

  1. Faça logon no console de gerenciamento.
  2. Clique em no canto superior esquerdo do console de gerenciamento e selecione uma região ou projeto.
  3. Clique em no canto superior esquerdo da página e escolha Compute > FunctionGraph.
  4. Clique em Create Function no canto superior direito.
  5. Clique em Select template. Na área Service, clique em DEW, localize rotate-iam-credentials abaixo e clique em Configure no canto superior direito da caixa, conforme mostrado na figura a seguir.

    Figura 4 Criação de uma função

  6. Configure os parâmetros, que são descritos em Tabela 2.

    Figura 5 Informação básica da função
    Tabela 2 Parâmetros básicos

    Parâmetro

    Descrição

    Region

    Selecione a região em que a função deve ser implementada.

    Project

    Selecione o projeto no qual a função será implementada.

    Function Name

    Insira um nome de função personalizado.

    Agency

    Selecione uma agência.

    Enterprise Project

    Se você ativou projetos empresariais, selecione um para adicionar uma função a ele.

    Se você não tiver ativado um projeto empresarial, esse parâmetro ficará indisponível. Pule este passo.

  7. Configure as variáveis de ambiente, que são descritas em Tabela 3.

    Figura 6 Variáveis ambientais
    Tabela 3 Variáveis ambientais

    Parâmetro

    Descrição

    region

    Projeto, por exemplo, se a região é CN North-Beijing4, o nome do projeto deve ser cn-north-4.

    NOTA:

    Para obter o projeto, passe o mouse sobre o nome de usuário e escolha My Credentials na lista suspensa. Os projetos são exibidos.

    user_id

    Insira o ID do usuário do IAM a ser rotacionado.

    NOTA:

    Para obter o ID de usuário do IAM, passe o mouse sobre o nome de usuário e escolha My Credentials na lista suspensa. O ID é exibido.

    project_id

    Insira o ID do projeto.

    NOTA:

    Para obter o ID de usuário do IAM, passe o mouse sobre o nome de usuário e escolha My Credentials na lista suspensa. Os IDs dos projetos são exibidos.

    secret_name

    Digite o nome do segredo a ser criado, que não pode ser o mesmo que um nome de segredo existente.

  8. Configure as variáveis de acionamento, que são descritas em Tabela 4.

    Figura 7 Variáveis de acionamento
    Tabela 4 Variáveis de acionamento

    Parâmetro

    Descrição

    Timer Name

    Personalizado

    Rule

    Configurado conforme necessário

    Enable Trigger

    Configurado conforme necessário

  9. Clique em Create Function.

Depure.

Para obter detalhes sobre como depurar um fluxo de trabalho de função, consulte Depuração on-line.

Veja o segredo.

  1. Faça logon no console de gerenciamento.
  2. Clique em no canto superior esquerdo do console de gerenciamento e selecione uma região ou um projeto.
  3. Clique em à esquerda, escolha Security & Compliance > Data Encryption Workshop, a página de gerenciamento de chaves é exibida.
  4. No painel de navegação, escolha Cloud Secret Management Service.
  5. Consulte o segredo especificado na Etapa 7. Clique nele para ver os detalhes. O segredo válido atual, segredos históricos e outras informações são exibidos.

    Figura 8 Detalhes de segredos

  6. Localize a versão mais recente do segredo, clique em View Secret na coluna Operation para verificar a AK/SK.
Tópico principal: Rotação de segredos