凭证管理
概述
MAS支持纳管华为云内多账号资源,基于IAM委托或访问密钥( AK/SK)创建凭证,通过使用凭证实现当前账号查询、调用其他账号资源。
创建凭证
- 登录MAS控制台,在“凭证管理”页面单击“创建凭证”。
- 在“创建凭证”弹窗,填写配置信息。
图1 创建凭证
表1 凭证参数配置 参数
配置说明
凭证名称
填写自定义凭证名称。
Cloud
选择所属云,仅支持选择“华为云”。
凭证类型
选择凭证类型。
- IAM委托
- IAM AK/SK
委托账号
凭证类型为“IAM委托”时可见,填写委托账号。
委托名称
凭证类型为“IAM委托”时可见,填写委托名称。如无委托,请先创建委托(委托方操作)。
AK
凭证类型为“IAM AK/SK”时可见,填写访问密钥ID(AK)。更多信息请参考访问密钥。
SK
凭证类型为“IAM AK/SK”时可见,填写秘密访问密钥(SK)。
企业项目
选择企业项目。
描述
填写描述信息。
- 单击“校验凭证”,如校验不通过,请确认“IAM委托”和“IAM AK/SK”相关参数是否配置正确。
- 单击“确定”,完成创建凭证。
删除凭证
- 登录MAS控制台,进入“凭证管理”页面。
- 单击凭证所在行的“删除”。
- 单击提示弹框的“确认”,完成删除操作。
应用场景举例
当您使用A账号登录MAS控制台,默认可以添加A账号下的RDS资源作为数据源,如需要添加B账号下的RDS资源作为数据源,可通过B账号先创建委托将RDS资源共享给A账号,A账号在MAS控制台创建凭证(基于B账号创建的委托),并通过凭证来查询和调用B账号的RDS资源。
参考步骤如下:
- 委托方B账号创建委托并授权,建议授予被委托账号所需IAM和RDS的最小权限。
- IAM所需最小权限策略如下:
{ "Version": "1.1", "Statement": [{ "Action": [ "iam:projects:listProjects" ], "Effect": "Allow" }] }
- RDS所需最小权限策略如下:
{ "Version": "1.1", "Statement": [{ "Action": [ "rds:instance:list" ], "Effect": "Allow" }] }
- 被委托的A账号创建凭证,凭证类型选择“IAM委托”,“委托账号”和“委托名”根据1配置。
- A账号创建命名空间,主多活分区“默认凭证”配置为“当前账号凭证”,备多活分区“默认凭证”配置为2中创建的凭证。
- A账号添加数据源,命名空间选择3中命名空间的“备多活分区”,“链接模式”选择“RDS”,“凭证”默认为2中创建的凭证,此时在“实例列表”下所获取的RDS实例资源,均为B账号所属资源。
- 若A账号下的IAM用户需要通过凭证操作B账号资源,可参考权限管理为IAM用户授权,其权限需要包括如下自定义策略所含权限:
{ "Version": "1.1", "Statement": [{ "Effect": "Allow", "Action": [ "iam:tokens:assume" ] }] }