委托权限
为正常提供服务功能,GCS老的委托方式是要求客户创建名为servicestage_admin_trust的委托,提供op_svc_servicestage账号获取创建资源的能力。
但由于op_svc_servicestage账号被多个服务共享,将导致您无法精细化控制对特定服务的授权行为,即授权servicestage的同时也会授权GCS,反之亦然。
为解决该问题,GCS服务提供了新的委托方式,后续若您不再使用GCS服务,可直接删除委托“gcs_admin_trust”,该操作将只影响GCS,不影响您使用其他服务。
由于GCS在运行中对存储、容器等各类云服务资源都存在依赖关系(如:按照您的流程在指定的环境中下发任务)。因此在您使用GCS服务前,需要在IAM中创建名为“gcs_admin_trust”委托并授予“op_svc_gcs_container”账号Tenant Administrator权限,即允许GCS服务使用账户“op_svc_gcs_container”对您的其他云服务资源进行操作,从而更好地为您提供服务。该委托将仅用于GCS服务对所依赖的其他云服务资源进行调用。
具体操作步骤如下:
- 使用“管理员账号”登录统一身份认证服务控制台。
- 在统一身份认证服务的左侧导航窗格中,选择“委托”页签,单击右上方的“创建委托”。
图1 创建委托
- 在创建委托页面,设置委托名称为“gcs_admin_trust”。
- “委托类型”选择“普通帐号”,在“委托的帐号”中输入需要建立委托关系的帐号名“op_svc_gcs_container”。
图2 云服务委托名称
- 选择“持续时间”,填写“描述”信息。
- 单击“下一步”,进入给委托授权页面。
- 勾选“Tenant Administrator”权限,单击“下一步”。
图3 选择策略
- 选择权限的作用范围为“所有资源”。
图4 授权范围
- 单击“确定”,委托创建完成,服务即可使用。
如果您不再使用GCS服务,可直接删除委托“gcs_admin_trust”,该操作将只禁止GCS服务操作您的服务,不影响您使用其他服务。