文档首页/ 数据加密服务 DEW/ 用户指南/ 凭据管理/ 创建凭据
更新时间:2025-07-23 GMT+08:00
查看PDF
分享

创建凭据

通过凭据管理管理服务创建凭据实现凭据托管服务,新创建的凭据,会将凭据值存入凭据的初始版本,初始版本的状态被标记为“SYSCURRENT”

凭据值是凭据的具体内容,用于在身份验证过程中证明用户的身份或授权。它可以是多种形式的数据,具体取决于所使用的身份验证机制。常见的凭据值包括:
  • 用户名和密码:用户名是用户的身份标识,密码是用户身份验证的关键凭据值。
  • 数字证书:证书中的公钥和身份信息是凭据值,用于验证用户或设备的身份。
  • 密钥对:私钥是凭据值,用于签名和解密操作。
  • 令牌(Token):令牌是一个临时的凭据值,用于验证用户的身份。
  • 生物识别信息:指纹、面部识别、虹膜识别等生物特征数据是凭据值。
  • 一次性密码(OTP):通过短信、邮件或专门的应用程序生成的一次性密码是凭据值。

约束条件

  • CSMS最多支持创建500个凭据。
  • 凭据大小最大限制为64kb。
  • 默认使用凭据管理为您创建的默认密钥“csms/default”作为当前凭据的加密密钥。您也可以前往KMS服务页面创建自定义对称密钥,并使用自定义密钥加密。
  • RDS凭据支持的数据库引擎为:MySQL、PostgreSQL、SQLServer、MariaDB、TaurusDB。
  • TaurusDB凭据支持选择TaurusDB类型数据库。
  • 首次开启轮转时,当用户确认授权后,CSMS会在当前区域当前项目下,帮助用户自动创建委托授权。因此,用户需要确认账号拥有IAM相关权限:iam:permissions:grantRoleToAgencyOnProject、iam:agencies:listAgencies、iam:roles:listRoles、iam:agencies:createAgency、iam:permissions:checkRoleForAgencyOnProject、iam:roles:createRole。

    根据轮转凭据类型不同,创建的委托不同:

    • RDS凭据
      • 创建一个名为CSMSAccessFunctionGraph的委托 ,账号是op_svc_kms,权限名称是CSMSAccessFunctionGraph,使用项目级服务策略,包含函数工作流服务(FunctionGraph)的同步执行函数的权限(functiongraph:function:invoke)。
      • 创建一个名为FunctionGraphAgencyForRotateRDSByCSMSV3委托 ,云服务是FunctionGraph,权限名称是FunctionGraphAgencyForRotateRDSByCSMSV3,使用项目级服务策略,包含:
        • 凭据管理服务(CSMS)的相关权限:csms:secret:getVersion、csms:secret:listVersion、csms:secret:createVersion、csms:secret:getStage、csms:secret:get、csms:secret:updateStage。
        • 虚拟私有云云服务(VPC)的相关权限:vpc:ports:create、vpc:vpcs:get、vpc:ports:get、vpc:ports:delete、vpc:subnets:get。
        • 密钥管理服务(KMS)的相关权限:kms:cmk:createDataKey、kms:cmk:decryptDataKey。
        • 云数据库(RDS)的相关权限:rds:password:update。
    • TaurusDB凭据
      • 创建一个名为CSMSAccessFunctionGraph的委托 ,账号是op_svc_kms,权限名称是CSMSAccessFunctionGraph,使用项目级服务策略,包含函数工作流服务(FunctionGraph)的同步执行函数的权限(functiongraph:function:invoke)。
      • 创建一个名为FunctionGraphAgencyForRotateGaussDBByCSMSV3委托 ,云服务是FunctionGraph,权限名称是FunctionGraphAgencyForRotateGaussDBByCSMSV3,使用项目级服务策略,包含:
        • 凭据管理服务(CSMS)的相关权限:csms:secretVersion:get、csms:secretVersion:list、csms:secretVersion:create、csms:secretStage:get、csms:secret:get、csms:secretStage:update。
        • 虚拟私有云云服务(VPC)的相关权限:vpc:ports:create、vpc:vpcs:get、vpc:ports:get、vpc:ports:delete、vpc:subnets:get。
        • 密钥管理服务(KMS)的相关权限:kms:dek:create、kms:dek:decrypt。
        • 云数据库TaurusDB的相关权限:gaussdb:user:modify。

创建凭据

CSMS支持创建通用凭据和轮转凭据,可根据需要进行选择。

  1. 登录DEW管理控制台
  2. 单击管理控制台左上角,选择区域或项目。
  3. 在左侧导航树中,选择凭据管理 > 凭据列表,进入“凭据管理”页面。
  4. 单击“创建凭据”。弹出“创建凭据”页面,如图 创建凭据所示,填写参数,参数说明如表1所示。

    图1 创建凭据


    表1 凭据配置参数说明

    参数名称

    参数说明

    凭据类型

    创建凭据类型,默认选择“通用凭据”。支持“通用凭据”“轮转凭据”两种凭据类型,两种凭据的区别请参见凭据概述

    凭据名称

    待创建凭据的名称。

    说明:

    仅支持输入大小写英文字母、数字、“.”“-”、“_”。

    企业项目

    该参数针对企业用户使用。如果您是企业用户,且已创建企业项目,则请从下拉列表中为密钥选择需要绑定的企业项目,默认项目为“default”。

    说明:

    未开通企业管理的用户页面则没有“企业项目”参数项,无需进行配置。

    设置凭据值

    配置为待加密的用户凭据键/值或明文凭据。

    凭据值是凭据的具体内容,用于在身份验证过程中证明用户的身份或授权。它可以是多种形式的数据,具体取决于所使用的身份验证机制。常见的凭据值包括:
    • 用户名和密码:用户名是用户的身份标识,密码是用户身份验证的关键凭据值。
    • 数字证书:证书中的公钥和身份信息是凭据值,用于验证用户或设备的身份。
    • 密钥对:私钥是凭据值,用于签名和解密操作。
    • 令牌(Token):令牌是一个临时的凭据值,用于验证用户的身份。
    • 生物识别信息:指纹、面部识别、虹膜识别等生物特征数据是凭据值。
    • 一次性密码(OTP):通过短信、邮件或专门的应用程序生成的一次性密码是凭据值。

    KMS加密
    支持以下两种KMS加密方式:
    • “列表选择”:适用于使用本账号的密钥或共享密钥的场景。可选择默认密钥“csms/default”或用户在KMS已创建的自定义密钥
    • “手工输入”:输入授权密钥的ID。适用于使用授权的密钥场景,仅支持对称算法密钥ID,请勿输入非对称算法密钥ID。
    说明:
    • CSMS使用KMS提供的加密密钥对凭据值进行加密,使用KMS加密功能时,可选择KMS创建的默认密钥“csms/default”
    • 用户使用KMS创建的自定义密钥,具体操作请参见创建密钥
    • 用户使用授权密钥,创建授权后,用户可以通过切换手工输入方式,输入密钥ID后使用被授权密钥加密。授权密钥操作可参见创建授权

    高级配置
    • 关联事件

      为凭据选择关联事件,可以查看凭据轮转、版本过期等信息。

    • 描述信息

      凭据的描述信息。

    • 标签

      可根据自己的需要为凭据添加标签。

      说明:

      最多可以给单个凭据添加20个标签。

  5. 单击“下一步”
  6. 单击“下一步”,确认创建的信息。
  7. 单击“确定”,凭据创建完成。用户可在凭据列表查看已完成创建的凭据,凭据默认状态为“启用”
  1. 登录DEW管理控制台
  2. 单击管理控制台左上角,选择区域或项目。
  3. 在左侧导航树中,选择凭据管理 > 凭据列表,进入“凭据管理”页面。
  4. 单击“创建凭据”,选择轮转凭据。

    图2 创建轮转凭据

  5. 在弹出的“创建凭据”对话框中,填写参数,参数说明如表2所示。

    表2 轮转凭据参数说明

    参数名称

    参数说明

    凭据类型

    创建轮转凭据类型,可选择以下类型凭据。

    • RDS凭据
    • TaurusDB凭据

    凭据名称

    待创建凭据的名称。

    企业项目

    该参数针对企业用户使用。如果您是企业用户,且已创建企业项目,则请从下拉列表中为密钥选择需要绑定的企业项目,默认项目为“default”。

    说明:

    未开通企业管理的用户页面则没有“企业项目”参数项,无需进行配置。

    选择数据库类型

    “凭据类型”选择轮转凭据 > RDS凭据时,需要选择数据库类型。

    RDS凭据支持的数据库类型为:MySQL、PostgreSQL、SQLServer、MariaDB、TaurusDB。

    选择RDS实例

    选择目标数据库类型对应的RDS实例。

    选择TaurusDB实例

    “凭据类型”选择轮转凭据 > TaurusDB凭据时,需要选择TaurusDB类型数据库实例。

    单击“查看TaurusDB实例”,可跳转到云数据库TaurusDB控制台购买数据库实例。

    设置凭据值
    待加密的账号名以及密码。
    • 选择“单账号托管”时,需要填入一个可使用的数据库账号名及口令。
    • 选择“双账号托管”时,填入一个可使用的数据库账号及口令后,会克隆一个具有一致权限的账号。需勾选“我已知晓风险”

    具体差异可以参考凭据概述中的轮转策略

    KMS加密
    支持以下两种KMS加密方式:
    • “列表选择”:适用于使用本账号的密钥或共享密钥的场景。可选择默认密钥“csms/default”或用户在KMS已创建的自定义密钥
    • “手工输入”:输入授权密钥的ID。适用于使用授权的密钥场景,仅支持对称算法密钥ID,请勿输入非对称算法密钥ID。
    说明:
    • CSMS使用KMS提供的加密密钥对凭据值进行加密,使用KMS加密功能时,可选择KMS创建的默认密钥“csms/default”
    • 用户使用KMS创建的自定义密钥,具体操作请参见创建密钥
    • 用户使用授权密钥,创建授权后,用户可以通过切换手工输入方式,输入密钥ID后使用被授权密钥加密。授权密钥操作可参见创建授权

    高级配置
    • 关联事件

      为凭据选择关联事件,可以查看凭据轮转、版本过期等信息。

    • 描述信息

      凭据的描述信息。

    • 标签

      可根据自己的需要为凭据添加标签。

      说明:

      最多可以给单个凭据添加20个标签。

相关操作

查看凭据信息

该任务指导用户通过凭据管理界面查看凭据的信息,包括凭据名称、状态和创建时间。凭据状态包括“启用”“待删除”

  1. 在左侧导航树中,选择凭据管理 > 凭据列表,进入“凭据管理”页面。
  2. 在凭据列表中,查看凭据信息,凭据列表参数说明,如表3所示。

    图3 凭据列表


    表3 凭据列表参数说明

    参数

    操作说明

    凭据名称/ID

    凭据的名称和ID。

    状态

    凭据的状态,包含“启用”“待删除”

    凭据类型

    凭据的类型,包含通用凭据、RDS凭据、TaurusDB凭据等。

    关联事件

    凭据创建时关联的事件通知。

    创建时间

    创建该凭据的时间。

    企业项目

    创建凭据绑定的企业项目ID

  3. 用户可单击凭据名称,查看凭据详细信息,如图4所示。

    • 用户可单击“编辑”,修改凭据的“加密密钥”“描述信息”
    • 单击“刷新”,刷新凭据信息。
      图4 凭据详细信息


下载凭据备份

该章节指导用户将凭据下载到本地进行备份。

  1. 在左侧导航树中,选择凭据管理 > 凭据列表,进入“凭据管理”页面。
  2. 在目标凭据所在行的“操作”列,单击“下载凭据备份”

    凭据文件将下载到本地,凭据文件样式为“凭据名称.secretbackup”

恢复凭据备份

数据加密服务支持使用凭据备份,手动恢复凭据数据至凭据列表。恢复凭据备份后凭据ID与原凭据ID不同。

只能上传 secretbackup 文件,且不能超过5M。

  1. 在左侧导航树中,选择凭据管理 > 凭据列表,进入“凭据管理”页面。
  2. 单击“恢复凭证备份”,进入页面后,添加文件后,单击“确定”,完成恢复凭证备份。

    图5 恢复凭证备份


删除凭据

在删除凭据前,您需要确保该凭据没有被使用或将来也不会被使用。

  • “计划删除凭据”不会立即删除,凭据管理会将该操作按用户指定时间推迟执行,推迟时间范围为7天~30天。在推迟删除时间未到时,如果需要重新使用该凭据,可以执行撤销删除凭据操作。如果超过推迟时间,凭据将被彻底删除,请谨慎操作。
  • 关于处于计划删除状态的凭据计费情况,请参见计划删除的凭据是否还计费?
  • “立即删除”凭据,删除后如果需找回,需提前下载凭据备份用于恢复凭据,请谨慎操作。
  1. 在左侧导航树中,选择凭据管理 > 凭据列表,进入“凭据管理”页面。
  2. 在需要删除的凭据所在行,单击“删除”
  3. “删除凭据”界面,选择删除方式,如果选择计划删除凭据,需填写“推迟删除”的时间。

    图6 推迟删除时间


  4. 如果未开启删除验证,在确认删除提示框中输入“DELETE”后,单击“确定”,完成删除操作。

    如果开启删除验证,选择验证方式后,单击“获取验证码”,在验证码对话框中输入获取的验证码,单击“确定”,完成删除操作。

    如果需要关闭操作保护,可以在账号的安全设置 > 敏感操作中关闭。也可以单击删除页面的“关闭操作保护”

父主题: 凭据管理