多活高可用服务 MAS
多活高可用服务 MAS
- 最新动态
- 功能总览
- 产品介绍
- 计费说明
- 快速入门
-
用户指南
- 开始使用多活高可用服务
- 功能模块
- 命名空间
- 多活管理
- 应用管理
- 监控管理
-
工作流管理
- 工作流简介
- 工作流模板
- 创建工作流
- 编排工作流
- 导入工作流
-
工作流插件说明
- DRS灾备切换
- DRS检查RTO&RPO
- RDS实例读写设置
- RDS实例重启
- RDS实例创建备份
- DWS检查容灾任务
- DWS容灾操作
- DCS开启/关闭白名单
- OBS桶存量比较
- OBS跨区域复制任务设置
- OBS桶策略操作授权用户
- DNS添加记录集
- DNS删除记录集
- DNS公网域名记录集权重设置
- Smart Connect任务操作
- 人工卡点
- 等待
- AOM作业执行
- 混沌实验执行
- PerfTest测试任务启动/停止
- HTTP请求
- MAS多活管理切换/回切
- DDM实例创建备份
- DDM实例读写设置
- RDS实例指定用户读写设置
- RDS检查容灾复制状态
- RDS灾备实例升主
- RDS修改实例参数
- DRS任务操作
- DRS检查任务方向和状态
- RDS自动备份策略设置
- RDS检查实例备份信息
- DRS检查任务信息
- DRS数据级/对象级对比
- OpenGauss容灾操作
- OpenGauss检查容灾信息
- 执行工作流
- 查看工作流执行详情
- 编辑工作流
- 复制工作流
- 删除工作流
- 关注工作流
- 混沌工程
- 应用韧性Hub
- 凭证管理
- 事件监控
- 查看审计日志
- 权限管理
- 最佳实践
- 开发指南
- 常见问题
- 视频帮助
- 文档下载
- 通用参考
链接复制成功!
凭证管理
概述
MAS支持纳管华为云内多账号资源,基于IAM委托或AOM访问密钥( AK/SK)创建凭证,通过使用凭证实现当前账号查询、调用其他账号资源。
创建凭证
- 登录MAS控制台,在“凭证管理”页面单击“创建凭证”。
- 在“创建凭证”弹窗,填写配置信息。
图1 创建凭证
表1 凭证参数配置 参数
配置说明
凭证名称
填写自定义凭证名称。
Cloud
选择所属云,仅支持选择“华为云”。
凭证类型
选择凭证类型。
- IAM委托
- AOM AK/SK
委托账号
凭证类型为“IAM委托”时可见,填写委托账号。
委托名称
凭证类型为“IAM委托”时可见,填写委托名称。如无委托,请先创建委托(委托方操作)。
AK
凭证类型为“AOM AK/SK”时可见,填写访问密钥ID(AK)。
SK
凭证类型为“AOM AK/SK”时可见,填写秘密访问密钥(SK)。
企业项目
选择企业项目。
描述
填写描述信息。
- 单击“校验凭证”,如校验不通过,请确认“IAM委托”和“AOM AK/SK”相关参数是否配置正确。
- 单击“确定”,完成创建凭证。
删除凭证
- 登录MAS控制台,进入“凭证管理”页面。
- 单击凭证所在行的“删除”。
- 单击提示弹框的“确认”,完成删除操作。
应用场景举例
当您使用A账号登录MAS控制台,默认可以添加A账号下的RDS资源作为数据源,如需要添加B账号下的RDS资源作为数据源,可通过B账号先创建委托将RDS资源共享给A账号,A账号在MAS控制台创建凭证(基于B账号创建的委托),并通过凭证来查询和调用B账号的RDS资源。
参考步骤如下:
- 委托方B账号创建委托并授权,建议授予被委托账号所需IAM和RDS的最小权限。
- IAM所需最小权限策略如下:
{ "Version": "1.1", "Statement": [{ "Action": [ "iam:projects:listProjects" ], "Effect": "Allow" }] }
- RDS所需最小权限策略如下:
{ "Version": "1.1", "Statement": [{ "Action": [ "rds:instance:list" ], "Effect": "Allow" }] }
- 被委托的A账号创建凭证,凭证类型选择“IAM委托”,“委托账号”和“委托名”根据1配置。
- A账号创建命名空间,主多活分区“默认凭证”配置为“当前账号凭证”,备多活分区“默认凭证”配置为2中创建的凭证。
- A账号添加数据源,命名空间选择3中命名空间的“备多活分区”,“链接模式”选择“RDS”,“凭证”默认为2中创建的凭证,此时在“实例列表”下所获取的RDS实例资源,均为B账号所属资源。
- 若A账号下的IAM用户需要通过凭证操作B账号资源,可参考权限管理为IAM用户授权,其权限需要包括如下自定义策略所含权限:
{ "Version": "1.1", "Statement": [{ "Effect": "Allow", "Action": [ "iam:tokens:assume" ] }] }