文档首页/ 图引擎服务 GES/ 用户指南/ 权限管理/ 云服务委托权限过大优化
更新时间:2024-12-02 GMT+08:00
分享

云服务委托权限过大优化

GES服务在2.4.6版本前,使用委托有以下两种场景:

表1 委托场景

委托名

权限

说明

get_agency或者ges_agency_default_{RegionId}

Server Administrator或者XX FullAccess

允许GES调用您的VPC服务。例如,发生故障转移时,GES使用这个委托将您的弹性IP绑定到主GES负载均衡实例。

GESAccessKMS

KMS Administrator

允许GES调用您的KMS服务,用在创建加密集群/加密元数据场景。版本优化后不再需要该委托。

受限于历史上IAM1.0只有RBAC授权的限制,这两种场景委托权限比较大,GES服务实际上并不需要这么大的权限。

为了优化委托的权限,GES在界面上提供了一键优化的功能,可以帮助客户一键删除委托给GES服务的不必要的权限。

委托权限优化

  1. 登录图引擎服务管理控制台,在左侧导航栏,选择“图管理”
  2. 如果未整改,在界面的上部,会看到委托权限待整改通知。
  3. 单击“前往进行整改”,弹出优化委托权限界面,如图1所示。
    注意:该界面会提醒用户在使用GES服务时,部分场景需要委托以授权GES服务访问用户资源,系统会创建ges_access_vpc_custom自定义策略,并授权给ges_agency,以及列举出待删除的具有高风险的委托权限,以提升账号安全性。
    图1 优化委托权限
  4. 手动输入或者一键输入“DELETE”,执行优化操作,执行成功后该界面会自动关掉待整改通知。

    如果当前用户没有查询委托权限,系统无法根据当前用户的认证凭据查询委托信息,整改通知会在每次进入界面时都会弹出,并提示用户通知管理员进行整改。用户也可以关闭该通知或者设置“不再提醒”。

相关文档