默认的DIS服务委托权限过大，应该怎么进行权限最小化处理？

在2024年11月之前，在DIS第一次创建转储任务时，系统会自动创建dis_admin_agency委托，其中包含Tenant Administrator、Server Administrator、SMN Administrator、MRS Administrator、Tenant Guest、DWS Administrator、DLI Service User、CloudTable Administrator等较大权限。在转储过程中，如果检测到dis_admin_agency委托权限不足时，还会再创建同权限的dis_admin_agency_op_svc_bigdata委托。

为了满足权限最小化的要求，您可以参考如下操作，修改系统创建的dis_admin_agency和dis_admin_agency_op_svc_bigdata委托权限，以减少安全风险。

• 在2024年11月之后，系统创建的dis_admin_agency和dis_admin_agency_op_svc_bigdata委托已切换为最小权限，无需再手动修改。
• 当前权限最小化只针对OBS转储，请检查您创建的转储任务列表，是否有其他类型的转储任务正在运行，如果有建议删除后再进行权限最小化更改。如果业务需要非OBS类型转储权限，请保持现有委托权限，切勿删除。因为删除操作不可逆，一旦删除，现有的非OBS类型转储任务由于权限缺失将无法正常运行。

授予dis_admin_agency委托最小权限并删除高危权限

1. 登录统一身份认证服务IAM的旧版控制台。
   

   IAM新版本支持基于身份策略授权模型，不会展示旧版控制台的角色与策略。由于DIS服务定义的委托最小化权限策略为旧版控制台的角色与策略，因此需要前往旧版控制台进行操作。

2. 在IAM服务左侧导航窗格中，进入“委托”，搜索“dis_admin_agency”，找到dis_admin_agency委托项，单击“授权”。
   图1 dis_admin_agency委托
   

3. 在授权框中，找到并勾选之前DIS服务定义的委托最小化权限策略DIS Agency OBS Access和DIS Agency SMN Access，单击“下一步”。
   图2 选择最小化权限策略
   

4. 单击“确定”，给委托完成授权。授权后，等待约15-30分钟，新增的委托权限即可生效。
5. 新增的委托权限生效后，在IAM服务左侧导航窗格中进入“委托”，搜索“dis_admin_agency”，找到dis_admin_agency委托项，单击委托名称进入详情页面。
   图3 dis_admin_agency委托
   

6. 在详情页面单击“授权记录”，在权限列表页面勾选各区域中的如下高危权限，并单击列表上方的“删除”，在弹窗中单击“确定”按钮完成高危权限删除。
   • Tenant Administrator
   • Server Administrator
   • SMN Administrator
   • MRS Administrator
   • Tenant Guest
   • DWS Administrator
   • DLI Service User
   • CloudTable Administrator
   图4 选择最小化权限策略
   

授予dis_admin_agency_op_svc_bigdata委托最小权限并删除高危权限

7. 再次在IAM服务左侧导航窗格中进入“委托”，搜索“dis_admin_agency_op_svc_bigdata”。
   • 如果该委托存在，则参考步骤 2到步骤 6，授予dis_admin_agency_op_svc_bigdata委托最小权限并删除高危权限。完成后则委托权限最小化处理完成。
   • 如果该委托不存在，则跳过当前操作，委托权限最小化处理完成。