更新时间:2024-12-09 GMT+08:00

轮转凭据版本

该任务指导用户通过凭据详情页面进行凭据的版本轮转操作。

约束条件

  • 凭据类型为轮转凭据。
  • 凭据账号必须是目标数据库里已存在的数据库账号。
  • 首次开启轮转时,当用户确认授权后,CSMS会在当前区域当前项目下,帮助用户自动创建委托授权。因此,用户需要确认账号拥有IAM相关权限:iam:permissions:grantRoleToAgencyOnProject、iam:agencies:listAgencies、iam:roles:listRoles、iam:agencies:createAgency、iam:permissions:checkRoleForAgencyOnProject、iam:roles:createRole。

    根据轮转凭据类型不同,创建的委托不同:

    • RDS凭据
      • 创建一个名为CSMSAccessFunctionGraph的委托 ,账号是op_svc_kms,权限名称是CSMSAccessFunctionGraph,使用项目级服务策略,包含函数工作流服务(FunctionGraph)的同步执行函数的权限(functiongraph:function:invoke)。
      • 创建一个名为FunctionGraphAgencyForRotateRDSByCSMSV3委托 ,云服务是FunctionGraph,权限名称是FunctionGraphAgencyForRotateRDSByCSMSV3,使用项目级服务策略,包含:
        • 凭据管理服务(CSMS)的相关权限:csms:secret:getVersion、csms:secret:listVersion、csms:secret:createVersion、csms:secret:getStage、csms:secret:get、csms:secret:updateStage。
        • 虚拟私有云云服务(VPC)的相关权限:vpc:ports:create、vpc:vpcs:get、vpc:ports:get、vpc:ports:delete、vpc:subnets:get。
        • 密钥管理服务(KMS)的相关权限:kms:cmk:createDataKey、kms:cmk:decryptDataKey。
        • 云数据库(RDS)的相关权限:rds:password:update。
    • TaurusDB凭据
      • 创建一个名为CSMSAccessFunctionGraph的委托 ,账号是op_svc_kms,权限名称是CSMSAccessFunctionGraph,使用项目级服务策略,包含函数工作流服务(FunctionGraph)的同步执行函数的权限(functiongraph:function:invoke)。
      • 创建一个名为FunctionGraphAgencyForRotateGaussDBByCSMSV3委托 ,云服务是FunctionGraph,权限名称是FunctionGraphAgencyForRotateGaussDBByCSMSV3,使用项目级服务策略,包含:
        • 凭据管理服务(CSMS)的相关权限:csms:secretVersion:get、csms:secretVersion:list、csms:secretVersion:create、csms:secretStage:get、csms:secret:get、csms:secretStage:update。
        • 虚拟私有云云服务(VPC)的相关权限:vpc:ports:create、vpc:vpcs:get、vpc:ports:get、vpc:ports:delete、vpc:subnets:get。
        • 密钥管理服务(KMS)的相关权限:kms:dek:create、kms:dek:decrypt。
        • 云数据库TaurusDB的相关权限:gaussdb:user:modify。

手动轮转操作步骤

  1. 登录管理控制台
  2. 单击管理控制台左上角,选择区域或项目。
  3. 单击页面左侧,选择安全与合规 > 数据加密服务,默认进入“密钥管理”界面。
  4. 在左侧导航树中,选择凭据管理 > 凭据列表,进入“凭据管理”页面。
  5. 单击凭据名称,进入凭据详细信息页面。
  1. 在“当前版本”区,单击“立即轮转”。
  2. 在“立即轮转”页面,输入“ROTATE”后,单击“确认”
  3. 待右上角出现提示立即轮转成功,即为版本切换完成。
  4. 版本轮转完成后,最新凭据版本的版本状态显示为SYSCURRENT。

自动轮转操作步骤

  1. 登录管理控制台
  2. 单击管理控制台左上角,选择区域或项目。
  3. 单击页面左侧,选择安全与合规 > 数据加密服务,默认进入“密钥管理”界面。
  4. 在左侧导航树中,选择凭据管理 > 凭据列表,进入“凭据管理”页面。
  5. 单击凭据名称,进入凭据详细信息页面。
  6. 单击右上角按钮“设置轮转策略”,在设置轮转策略页面,如图 自动轮转开关所示,打开自动轮转开关。

    图1 自动轮转开关

  7. 选择自动轮转周期,勾选轮转提示,单击“确定”。待右上角出现提示设置轮转策略成功提示,即为设置成功。
  8. 开启自动轮转后,若凭据版本轮转失败,在当前版本区域可查看轮转失败次数,单击轮转失败次数即可查看轮转失败记录。

    • 连续轮转3次失败,会关闭凭据的自动轮转按钮。
    • 轮转失败记录不能手动执行删除,保存时间一个月,满一个月后会自动删除。