MRS集群默认的MRS_ECS_DEFAULT_AGENCY、EVSAccessKMS委托权限过大，应该怎么进行权限最小化处理？

问题现象

在2026年3月之前，在MRS第一次创建使用了默认委托的集群时，系统会自动创建MRS_ECS_DEFAULT_AGENCY和EVSAccessKMS委托，其中包含OBS OperateAccess、CES Administrator、KMS Administrator等较大权限。

为了满足权限最小化的要求，您可以参考如下操作，修改系统创建的MRS_ECS_DEFAULT_AGENCY和EVSAccessKMS委托权限，以减少安全风险。

• 在2026年3月之后，系统创建的MRS_ECS_DEFAULT_AGENCY和EVSAccessKMS委托已切换为最小权限，无需再手动修改。
• 当前权限最小化只针对集群存算分离、磁盘加密、指标上报场景，请检查您创建的作业列表，是否有存算分离类型的作业正在运行，如果有建议删除后再进行权限最小化更改。如果业务需要曾修改过MRS_ECS_DEFAULT_AGENCY和EVSAccessKMS委托权限，请保持现有委托权限，切勿删除。因为删除操作不可逆，一旦删除，现有的任务可能由于权限缺失无法正常运行。

处理步骤

授予MRS_ECS_DEFAULT_AGENCY委托最小权限并删除高危权限

1. 登录统一身份认证服务IAM的旧版控制台。
   

   IAM新版本支持基于身份策略授权模型，不会展示旧版控制台的角色与策略。由于MRS服务定义的委托最小化权限策略为旧版控制台的角色与策略，因此需要前往旧版控制台进行操作。

2. 在IAM服务左侧导航窗格中，进入“委托”，搜索“MRS_ECS_DEFAULT_AGENCY”，在MRS_ECS_DEFAULT_AGENCY委托项的操作列单击“授权”。
   图1 MRS_ECS_DEFAULT_AGENCY委托
   
3. 在授权框中，找到并勾选之前MRS服务定义的委托最小化权限策略MRS Agency KMSAccess和OBS OperateAccess，单击“下一步”。
   图2 选择最小化权限策略
   

4. 单击“确定”，给委托完成授权。授权后，等待约15-30分钟，新增的委托权限即可生效。
5. 新增的委托权限生效后，在IAM服务左侧导航窗格中进入“委托”，搜索“MRS_ECS_DEFAULT_AGENCY”，单击MRS_ECS_DEFAULT_AGENCY委托名称进入详情页面。
   图3 MRS_ECS_DEFAULT_AGENCY委托
   
6. 在详情页面单击“授权记录”，在权限列表页面勾选各区域中的如下高危权限，并单击列表上方的“删除”，在弹窗中单击“确定”按钮完成高危权限删除。
   • KMS Administrator
   • CES Administrator
   图4 选择最小化权限策略
   

授予dis_admin_agency_op_svc_bigdata委托最小权限并删除高危权限

7. 在IAM服务左侧导航窗格中进入“委托”，搜索“EVSAccessKMS”。

• 如果该委托存在，则参考2到6，授予EVSAccessKMS委托最小权限MRS Agency KMSAccess并删除高危权限KMS Administrator。完成后则委托权限最小化处理完成。
• 如果该委托不存在，则跳过当前操作，委托权限最小化处理完成。