创建轮转凭据

约束条件

• 用户最多可创建200个凭据。
• 默认使用凭据管理为您创建的默认密钥“csms/default”作为当前凭据的加密密钥。您也可以前往KMS服务页面创建自定义对称密钥，并使用自定义加密密钥。
• RDS凭据支持的数据库引擎为：MySQL。
• TaurusDB凭据支持选择TaurusDB类型数据库。
• 首次开启轮转时，当用户确认授权后，CSMS会在当前区域当前项目下，帮助用户自动创建委托授权。因此，用户需要确认账号拥有IAM相关权限：iam:permissions:grantRoleToAgencyOnProject、iam:agencies:listAgencies、iam:roles:listRoles、iam:agencies:createAgency、iam:permissions:checkRoleForAgencyOnProject、iam:roles:createRole。

  根据轮转凭据类型不同，创建的委托不同：

  • RDS凭据
    • 创建一个名为CSMSAccessFunctionGraph的委托 ，账号是op_svc_kms，权限名称是CSMSAccessFunctionGraph，使用项目级服务策略，包含函数工作流服务（FunctionGraph）的同步执行函数的权限（functiongraph:function:invoke）。
    • 创建一个名为FunctionGraphAgencyForRotateRDSByCSMSV3委托 ，云服务是FunctionGraph，权限名称是FunctionGraphAgencyForRotateRDSByCSMSV3，使用项目级服务策略，包含：
      • 凭据管理服务（CSMS）的相关权限：csms:secret:getVersion、csms:secret:listVersion、csms:secret:createVersion、csms:secret:getStage、csms:secret:get、csms:secret:updateStage。
      • 虚拟私有云云服务（VPC）的相关权限：vpc:ports:create、vpc:vpcs:get、vpc:ports:get、vpc:ports:delete、vpc:subnets:get。
      • 密钥管理服务（KMS）的相关权限：kms:cmk:createDataKey、kms:cmk:decryptDataKey。
      • 云数据库（RDS）的相关权限：rds:password:update。
  • TaurusDB凭据
    • 创建一个名为CSMSAccessFunctionGraph的委托 ，账号是op_svc_kms，权限名称是CSMSAccessFunctionGraph，使用项目级服务策略，包含函数工作流服务（FunctionGraph）的同步执行函数的权限（functiongraph:function:invoke）。
    • 创建一个名为FunctionGraphAgencyForRotateGaussDBByCSMSV3委托 ，云服务是FunctionGraph，权限名称是FunctionGraphAgencyForRotateGaussDBByCSMSV3，使用项目级服务策略，包含：
      • 凭据管理服务（CSMS）的相关权限：csms:secretVersion:get、csms:secretVersion:list、csms:secretVersion:create、csms:secretStage:get、csms:secret:get、csms:secretStage:update。
      • 虚拟私有云云服务（VPC）的相关权限：vpc:ports:create、vpc:vpcs:get、vpc:ports:get、vpc:ports:delete、vpc:subnets:get。
      • 密钥管理服务（KMS）的相关权限：kms:dek:create、kms:dek:decrypt。
      • 云数据库TaurusDB的相关权限：gaussdb:user:modify。

创建轮转凭据

1. 登录管理控制台。
2. 单击管理控制台左上角，选择区域或项目。
3. 单击页面左侧，选择“安全与合规 > 数据加密服务”，默认进入“密钥管理”界面。
4. 在左侧导航树中，选择“凭据管理”，进入“凭据管理”页面。
5. 单击“创建凭据”，选择轮转凭据，如图 创建轮转凭据所示。
   图1 创建轮转凭据
   

6. 在弹出的“创建凭据”对话框中，填写参数，参数说明如表1所示。

   表1 轮转凭据参数说明

   参数名称	参数说明
   凭据类型	创建轮转凭据类型，选择RDS轮转凭据，可选择以下类型凭据。 RDS凭据 TaurusDB凭据
   凭据名称	待创建凭据的名称。
   企业项目	该参数针对企业用户使用。如果您是企业用户，且已创建企业项目，则请从下拉列表中为密钥选择需要绑定的企业项目，默认项目为“default”。 说明： 未开通企业管理的用户页面则没有“企业项目”参数项，无需进行配置。
   选择实例	选择目标凭据类型对应的服务实例。 说明： RDS凭据支持的数据库引擎为：MySQL。 TaurusDB凭据支持选择TaurusDB类型数据库。
   设置凭据值	待加密的账号名以及密码。 选择单账号托管时，需要填入一个可使用的数据库账号及口令。 选择双账号托管时，填入一个可使用的数据库账号及口令后，会克隆一个具有一致权限的账号。 具体差异可以参考凭据概述中的轮转策略。
   KMS加密	支持选择的密钥： 列表选择：支持选择账号下的自定义密钥、默认密钥以及共享密钥。 可选择默认密钥“csms/default”。 用户在KMS创建的自定义密钥，具体操作请参见创建密钥。 手工输入：支持手动输入授权密钥的ID，当前仅支持对称算法的密钥ID。 创建授权后，通过输入密钥ID后使用被授权密钥加密。授权密钥操作可参见创建授权。
   高级配置	关联事件 为凭据选择关联事件，可以查看凭据轮转、版本过期等信息。 描述信息 凭据的描述信息。 标签 可根据自己的需要为凭据添加标签。更多标签相关操作请参见标签管理。 说明： 最多可以给单个凭据添加20个标签。

7. 打开自动轮转开关，选择轮转周期、轮转函数，勾选“我已知晓风险”提示，单击“下一步”。可选择已有轮转周期或者自定义设置轮转周期。
   图2 开启自动轮转
   

   表2 轮转设置参数说明

   参数名称	参数说明	示例
   自动轮转开关	可选择是否开启凭据自动轮转。	开启
   轮转周期	可选择已有轮转周期或者自定义设置轮转周期。	6小时
   轮转函数	通过FunctionGraph函数工作流实现凭据值轮转，可以创建函数或者使用账号中已有的轮转函数。	CloudSecretManager-kl15

8. 单击“下一步”，确认创建的信息，单击“确定”，凭据创建完成，页面右上角提示创建凭据成功。