创建凭据
通过凭据管理管理服务创建凭据实现凭据托管服务,新创建的凭据,会将凭据值存入凭据的初始版本,初始版本的状态被标记为“SYSCURRENT”。
- 用户名和密码:用户名是用户的身份标识,密码是用户身份验证的关键凭据值。
- 数字证书:证书中的公钥和身份信息是凭据值,用于验证用户或设备的身份。
- 密钥对:私钥是凭据值,用于签名和解密操作。
- 令牌(Token):令牌是一个临时的凭据值,用于验证用户的身份。
- 生物识别信息:指纹、面部识别、虹膜识别等生物特征数据是凭据值。
- 一次性密码(OTP):通过短信、邮件或专门的应用程序生成的一次性密码是凭据值。
约束条件
- CSMS最多支持创建500个凭据。
- 凭据大小最大限制为64kb。
- 默认使用凭据管理为您创建的默认密钥“csms/default”作为当前凭据的加密密钥。您也可以前往KMS服务页面创建自定义对称密钥,并使用自定义密钥加密。
- RDS凭据支持的数据库引擎为:MySQL、PostgreSQL、SQLServer、MariaDB、TaurusDB。
- TaurusDB凭据支持选择TaurusDB类型数据库。
创建凭据
CSMS支持创建通用凭据和轮转凭据,可根据需要进行选择。
- 登录DEW服务控制台。
- 单击管理控制台左上角
,选择区域或项目。 - 在左侧导航树中,选择,进入“凭据管理”页面。
- 单击“创建凭据”。弹出“创建凭据”页面,如图 创建凭据所示,填写参数,参数说明如表1所示。
表1 凭据配置参数说明 参数名称
参数说明
凭据类型
创建凭据类型,默认选择“通用凭据”。支持“通用凭据”和“轮转凭据”两种凭据类型,两种凭据的区别请参见凭据概述。
凭据名称
待创建凭据的名称。
说明:仅支持输入大小写英文字母、数字、“.”“-”、“_”。
企业项目
该参数针对企业用户使用。如果您是企业用户,且已创建企业项目,则请从下拉列表中为密钥选择需要绑定的企业项目,默认项目为“default”。
说明:未开通企业管理的用户页面则没有“企业项目”参数项,无需进行配置。
设置凭据值
配置为待加密的用户凭据键/值或明文凭据。
凭据值是凭据的具体内容,用于在身份验证过程中证明用户的身份或授权。它可以是多种形式的数据,具体取决于所使用的身份验证机制。常见的凭据值包括:- 用户名和密码:用户名是用户的身份标识,密码是用户身份验证的关键凭据值。
- 数字证书:证书中的公钥和身份信息是凭据值,用于验证用户或设备的身份。
- 密钥对:私钥是凭据值,用于签名和解密操作。
- 令牌(Token):令牌是一个临时的凭据值,用于验证用户的身份。
- 生物识别信息:指纹、面部识别、虹膜识别等生物特征数据是凭据值。
- 一次性密码(OTP):通过短信、邮件或专门的应用程序生成的一次性密码是凭据值。
KMS加密
高级配置
- 单击“下一步”,通用凭据不支持选择轮转周期,直接执行下一步。
- 单击“下一步”,确认创建的信息。
- 单击“确定”,凭据创建完成。用户可在凭据列表查看已完成创建的凭据,凭据默认状态为“启用”。
- 登录DEW服务控制台。
- 单击管理控制台左上角
,选择区域或项目。 - 在左侧导航树中,选择,进入“凭据管理”页面。
- 单击“创建凭据”,选择轮转凭据。
图2 创建轮转凭据
- 在弹出的“创建凭据”对话框中,填写参数,参数说明如表2所示。
表2 轮转凭据参数说明 参数名称
参数说明
凭据类型
创建轮转凭据类型,可选择以下类型凭据。
- RDS凭据
- TaurusDB凭据
- APIG凭据
- GaussDB凭据
凭据名称
待创建凭据的名称。
企业项目
该参数针对企业用户使用。如果您是企业用户,且已创建企业项目,则请从下拉列表中为密钥选择需要绑定的企业项目,默认项目为“default”。
说明:未开通企业管理的用户页面则没有“企业项目”参数项,无需进行配置。
选择数据库类型
“凭据类型”选择时,需要选择数据库类型。
RDS凭据支持的数据库类型为:MySQL、PostgreSQL、SQLServer、MariaDB、TaurusDB。
选择RDS实例
选择目标数据库类型对应的RDS实例。
选择TaurusDB实例
“凭据类型”选择时,需要选择TaurusDB类型数据库实例。
单击“查看TaurusDB实例”,可跳转到云数据库TaurusDB控制台购买数据库实例。
选择GaussDB实例
“凭据类型”选择时,需要选择GaussDB实例。
单击“查看GaussDB实例”,可跳转到云数据库GaussDB控制台购买数据库实例。
选择APIG实例
“凭据类型”选择时,需要选择APIG实例。
APIG凭据选择目标实例后,需要选择App(APIG创建的凭据)、APP凭据类型。
App
凭据类型选择时,需要配置此参数,可单击“查看APP”跳转到APIG控制台查看已创建的APIG凭据。
APIG凭据类型
“凭据类型”选择时,需要选择APIG凭据类型。支持两种APIG凭据类型。
- Secret:App选择后,会自动生成App Key。
- AppCode:选择此类型时,需要在下拉框中选择已有的AppCode编码,也可以单击“查看AppCode”跳转到对应平台添加AppCode。
设置凭据值
待加密的账号名以及密码。- 选择“单账号托管”时,需要填入一个可使用的数据库账号名及口令。
- 选择“双账号托管”时,填入一个可使用的数据库账号及口令后,会克隆一个具有一致权限的账号。需勾选“我已知晓风险”。
具体差异可以参考凭据概述中的轮转策略。
KMS加密
高级配置
- 关联事件
- 描述信息
- 标签
可根据自己的需要为凭据添加标签。更多标签相关操作请参见标签管理。
说明:最多可以给单个凭据添加20个标签。
- 单击“下一步”,打开自动轮转开关,选择轮转周期、轮转函数,勾选“我已知晓风险”提示,单击“下一步”。
可选择已有轮转周期或者自定义设置轮转周期。图3 开启自动轮转
开启自动轮转开关后,若当前用户未创建委托,会弹出对话框,对话框中提示授权权限名称以及授权项,单击“确定”即可自动完成授权创建。
表3 轮转设置参数说明 参数名称
参数说明
示例
自动轮转开关
可选择是否开启凭据自动轮转。
开启
轮转周期
可选择已有轮转周期或者自定义设置轮转周期。
6小时
轮转函数
通过FunctionGraph函数工作流实现凭据值轮转,可以创建函数或者使用账号中已有的轮转函数。
CloudSecretManager-kl15
- 单击“下一步”,确认创建的信息,单击“确定”,凭据创建完成。
查看凭据信息
该任务指导用户通过凭据管理界面查看凭据的信息,包括凭据名称、状态和创建时间。凭据状态包括“启用”和“待删除”。
下载凭据备份
该章节指导用户将凭据下载到本地进行备份。
- 在左侧导航树中,选择,进入“凭据管理”页面。
- 在目标凭据所在行的“操作”列,单击“下载凭据备份”。
凭据文件将下载到本地,凭据文件样式为“凭据名称.secretbackup”。
恢复凭据备份
密码安全中心支持使用凭据备份,手动恢复凭据数据至凭据列表。恢复凭据备份后凭据ID与原凭据ID不同。
只能上传 secretbackup 文件,且不能超过5M。
- 在左侧导航树中,选择,进入“凭据管理”页面。
- 单击“恢复凭证备份”,进入页面后,后,单击“确定”,完成恢复凭证备份。
图6 恢复凭证备份
删除凭据
在删除凭据前,您需要确保该凭据没有被使用或将来也不会被使用。
- “计划删除凭据”不会立即删除,凭据管理会将该操作按用户指定时间推迟执行,推迟时间范围为7天~30天。在推迟删除时间未到时,如果需要重新使用该凭据,可以执行撤销删除凭据操作。如果超过推迟时间,凭据将被彻底删除,请谨慎操作。
- 关于处于计划删除状态的凭据计费情况,请参见计划删除的凭据是否还计费?。
- “立即删除”凭据,删除后如果需找回,需提前下载凭据备份用于恢复凭据,请谨慎操作。
- 在左侧导航树中,选择,进入“凭据管理”页面。
- 在需要删除的凭据所在行,单击“删除”。
- 在“删除凭据”界面,选择删除方式,如果选择计划删除凭据,需填写“推迟删除”的时间。
图7 推迟删除时间
- 如果未开启删除验证,在确认删除提示框中输入“DELETE”后,单击“确定”,完成删除操作。
如果开启删除验证,选择验证方式后,单击“获取验证码”,在验证码对话框中输入获取的验证码,单击“确定”,完成删除操作。
如果需要关闭操作保护,可以在账号的安全设置 > 敏感操作中关闭。也可以单击删除页面的“关闭操作保护”
