CES Agent如何通过授权获取临时AK/SK？

为了更加安全高效的使用云监控服务提供的主机监控功能，我们提供了最新方式的Agent授权方法。在安装主机监控Agent前，仅需要一键式单击该区域的授权按钮或者在创建弹性云服务器页面勾选云监控Agent委托，则系统会自动对该区域下所有云服务器或裸金属服务器安装的Agent做临时AK/SK授权，并且以后在该区域新创建的资源都会自动获得此授权。本节针对本授权做以下说明：

1. 授权对象：

   当您在云监控服务管理控制台“主机监控 > 弹性云服务器”（或“主机监控 > 裸金属服务器”）所示页面单击“一键配置”后，系统会在IAM自动创建名为“cesagency”的委托，该委托自动授权给CES服务的内部账户op_svc_ces。

   

   若提示租户权限不足，请参考主机监控界面单击一键配置时提示权限不足该如何处理？添加权限。

2. 授权范围：

   仅为所在区域的内部账户“op_svc_ces”添加“CES Administrator”权限。

3. 授权原因：

   CES Agent运行在弹性云服务器或裸金属服务器内，该Agent采集监控数据后需要上报到云监控服务，授权后CES Agent能够自动获取临时AK/SK，这样您就可以安全方便的使用云监控服务管理控制台或API查询Agent监控数据指标了。

   1. 安全：Agent使用的AK/SK仅具有CES Administrator权限的临时AK/SK，不会使用客户全局AK/SK，即当前的临时AK/SK只具备操作云监控服务的权限。
   2. 方便：您仅需在一个区域配置一次即可，无需对每个CES Agent手动配置。
4. 如果授权后在IAM委托页面无法查询到“cesagency”，您可以手工在IAM管理控制台重新创建。创建委托请参考创建委托（委托方操作）。
   

   • 新创建的委托名称必须为“cesagency”。
   • 委托类型为“普通帐号”，委托的帐号必须为“op_svc_ces”。