更新时间:2024-09-05 GMT+08:00
分享

凭证管理

概述

MAS支持纳管华为云内多账号资源,基于IAM委托或访问密钥( AK/SK)创建凭证,通过使用凭证实现当前账号查询、调用其他账号资源。

创建凭证

  1. 登录MAS控制台,在“凭证管理”页面单击“创建凭证”。
  2. 在“创建凭证”弹窗,填写配置信息。

    图1 创建凭证
    表1 凭证参数配置

    参数

    配置说明

    凭证名称

    填写自定义凭证名称。

    Cloud

    选择所属云,仅支持选择“华为云”。

    凭证类型

    选择凭证类型。

    • IAM委托
    • IAM AK/SK

    委托账号

    凭证类型为“IAM委托”时可见,填写委托账号。

    委托名称

    凭证类型为“IAM委托”时可见,填写委托名称。如无委托,请先创建委托(委托方操作)

    AK

    凭证类型为“IAM AK/SK”时可见,填写访问密钥ID(AK)。更多信息请参考访问密钥

    SK

    凭证类型为“IAM AK/SK”时可见,填写秘密访问密钥(SK)。

    企业项目

    选择企业项目。

    描述

    填写描述信息。

  3. 单击“校验凭证”,如校验不通过,请确认“IAM委托”和“IAM AK/SK”相关参数是否配置正确。
  4. 单击“确定”,完成创建凭证。

删除凭证

  1. 登录MAS控制台,进入“凭证管理”页面。
  2. 单击凭证所在行的“删除”。
  3. 单击提示弹框的“确认”,完成删除操作。

应用场景举例

当您使用A账号登录MAS控制台,默认可以添加A账号下的RDS资源作为数据源,如需要添加B账号下的RDS资源作为数据源,可通过B账号先创建委托将RDS资源共享给A账号,A账号在MAS控制台创建凭证(基于B账号创建的委托),并通过凭证来查询和调用B账号的RDS资源。

参考步骤如下:

  1. 委托方B账号创建委托并授权,建议授予被委托账号所需IAM和RDS的最小权限。
    • IAM所需最小权限策略如下:
    {
    	"Version": "1.1",
    	"Statement": [{
    		"Action": [
    			"iam:projects:listProjects"
    		],
    		"Effect": "Allow"
    	}]
    }
    • RDS所需最小权限策略如下:
    {
    	"Version": "1.1",
    	"Statement": [{
    		"Action": [
    			"rds:instance:list"
    		],
    		"Effect": "Allow"
    	}]
    }
  2. 被委托的A账号创建凭证,凭证类型选择“IAM委托”,“委托账号”和“委托名”根据1配置。
  3. A账号创建命名空间,主多活分区“默认凭证”配置为“当前账号凭证”,备多活分区“默认凭证”配置为2中创建的凭证。
  4. A账号添加数据源,命名空间选择3中命名空间的“备多活分区”,“链接模式”选择“RDS”,“凭证”默认为2中创建的凭证,此时在“实例列表”下所获取的RDS实例资源,均为B账号所属资源。
  5. 若A账号下的IAM用户需要通过凭证操作B账号资源,可参考权限管理为IAM用户授权,其权限需要包括如下自定义策略所含权限:
    {
    	"Version": "1.1",
    	"Statement": [{
    		"Effect": "Allow",
    		"Action": [
    			"iam:tokens:assume"
    		]
    	}]
    }

相关文档