管理被委托的资源
当其他账号与您的账号创建了信任委托关系,即您的账号是被委托方,您的账号根用户以及分配了信任委托权限的IAM用户,可以切换角色至委托方账号中,根据权限管理委托方的资源。切换角色至委托方账号中时,您的权限不会累积。切换回您自己的账号中时,您的权限将恢复。有关信任委托以及如何创建信任委托的更多信息,请参考信任委托概述和创建信任委托并授权。
当您在控制台切换角色时,控制台总是使用您的原始账号和身份进行切换。例如,如果您尝试切换到角色张三,控制台会根据您的原始账号和身份确定是否允许您切换到角色张三。如果随后在使用角色张三时尝试切换到角色李四,控制台仍会使用您的原始账号和身份进行切换,而不是使用角色张三的账号和身份进行切换。
凭证有效期概述
在控制台中切换信任委托后,凭证会自动续期,您无需关注您的凭证有效期,只需要关注会话有效期,您切换信任委托后的会话有效期受限于委托方账号中的会话超时策略。例如,委托方账号中设置的会话超时策略为:用户在1小时内没有操作,则退出当前账号。那么,在您切换信任委托后1小时内没有在控制台进行任何操作,就会被强制退出该会话。
前提条件
- 已有账号与您的账号创建了信任委托关系。
- 您已经获取到委托方的账号名称及所创建的委托名称。
- 您当前登录用户为管理员用户或者具备了可用于切换到目标委托的sts:agencies:assume权限,请参考将委托方授予的权限分配给IAM用户。
切换角色操作步骤
- 使用账号或者上一章节步骤2中新建的用户登录华为云。
- 鼠标移动至右上方的用户名,选择“切换角色>切换其他角色”。 图1 切换角色
- 在“切换角色”页面中,输入委托方的账号名称。 图2 输入委托方的账号名称、委托名称
如果输入的是没有授权的委托名称,系统将提示您没有权限访问。
- 单击“确定”,切换至委托方账号中。
成功切换委托后,导航栏右侧会显示委托方的账号名和委托名称,之后您可使用新的角色在控制台进行操作。
后续步骤
鼠标移动至右上角的用户名,选择“切换角色”,可以返回到您自己的账号中。
控制台切换委托和API切换委托的差异点
| 切换信任委托的方法 | 谁能够切换信任委托 | 凭证有效期 |
|---|---|---|
| 控制台 | 账号根用户、IAM用户 | 在控制台中切换信任委托后,凭证会自动续期,您无需关注您的凭证有效期,只需要关注会话有效期,您切换信任委托后的会话有效期受限于委托方账号中的会话超时策略。例如,委托方账号中设置的会话超时策略为:用户在1小时内没有操作,则退出当前账号。那么,在您切换信任委托后1小时内没有在控制台进行任何操作,就会被强制退出该会话。 |
| AssumeAgency API | 账号根用户、IAM用户、信任委托 | 在通过AssumeAgency API切换信任委托时,获取的凭证称为临时安全凭证,其有效期受该API的duration_seconds参数、信任委托本身设置的最大会话持续时间、以及是否为委托链调用等多种因素影响。duration_seconds参数取值范围为[900, 43200]秒,默认为3600秒,它需要小于信任委托本身设置的最大会话持续时间,如果超过最大会话持续时间则会报错。同时通过委托链调用时duration_seconds参数不能超过3600秒。 |
委托链指先通过账号根用户或IAM用户身份调用AssumeAgency API获得信任委托A的临时安全凭证,再使用该信任委托A的临时安全凭证调用AssumeAgency API获得信任委托B的临时安全凭证。临时安全凭证包含临时AK/SK和会话令牌(AK/SK/SecurityToken),使用临时安全凭证调AssumeAgency API时,会比使用账号根用户和IAM用户的永久AK/SK调用多传递X-Security-Token的Header头。想要了解临时安全凭证的更多信息,见获取临时安全凭证。
