委托授权最小化权限实践

实践场景及目标

在历史版本中，DataArts Studio自动创建的dlg_agency云服务委托，默认包含DWS、MRS、RDS、OBS、SMN、KMS等相关服务的管理员权限。为了避免dlg_agency委托权限过大的风险，当前部分区域已上线委托权限最小化能力，即新创建委托权限优化为相关云服务的最小操作权限，并支持一键对已有委托进行权限最小化优化。

在一键对DataArts Studio服务委托权限优化时，系统会先对dlg_agency委托赋予最小化权限，然后直接删除过大权限。但由于对dlg_agency委托赋权可能需要最多10分钟才能生效，在此期间可能会由于委托权限不足导致业务报错。在这种情况下，建议您手动进行委托权限优化。另外，如果您所在区域暂不支持委托权限最小化能力，也需要手动进行委托授权最小化。

约束限制

• 由于数据安全使用dlg_agency委托时，所需的云服务权限更高，因此dlg_agency默认委托权限中未包含数据安全所需权限，在使用数据安全前需要单独再为dlg_agency委托授予相关权限，详见授权dlg_agency委托。

• 由于对dlg_agency委托赋权可能需要最多10分钟才能生效，因此在配置最小化委托权限策略后，需要等待约10分钟，再执行删除过大预置权限。

配置最小化委托权限策略

1. 使用华为账号登录统一身份认证服务IAM控制台。
2. 在IAM服务控制台中，单击“委托”，找到系统默认创建的dlg_agency委托。
   图1 dlg_agency委托
   

3. 单击dlg_agency委托后的“授权”进入授权页面，在策略列表上方输入“DataArts Agency”，找到系统预置的11条最小化委托权限策略，并在全选后单击“下一步”。
   图2 选择预置的最小化委托权限策略
   

4. 在“设置最小授权范围”页面，您可以根据需要选择授权范围（默认为所有资源），然后单击“确定”完成最小化委托权限策略授权。

删除过大预置权限

由于对dlg_agency委托赋权可能需要最多10分钟才能生效，因此在配置最小化委托权限策略后，需要等待约10分钟，再执行删除过大预置权限。

1. 最小化委托权限策略授权成功后，再次回到“委托”页面中，找到dlg_agency委托。
2. 单击dlg_agency委托名，切换到“授权”记录页面，除了以“DataArts Agency”开头的最小权限外，勾选其余所有权限，并单击列表上方的“删除”，去掉所有过大权限。
   图3 删除过大权限
   

3. 其余所有过大权限删除成功后，默认委托最小权限配置完成。