最近更新时间:2021-10-29 14:28:03
当企业购买了金山云的产品后,应用程序可以通过访问控制(IAM)可以获取到IAM角色的临时安全令牌,从而访问金山云服务。
企业A购买了KEC实例,并计划在KEC实例中部署企业的应用程序。这些应用程序需要使用访问密钥(AccessKey)访问其它云服务API。
有两种做法:
这样会带来两个问题:
KEC结合访问控制提供的访问控制能力,允许给每一个KEC实例配置一个拥有合适权限的IAM角色身份。应用程序通过获取该IAM角色的临时安全令牌来访问云API。
创建IAM角色时受信实体选择金山云服务,受信服务选择云服务器,即允许KEC扮演该IAM角色来访问金山云资源。
如果临时安全令牌权限不足时,您可以根据需要为IAM角色添加相应的权限。权限更新后立即生效,无需重新启动KEC实例。
被授权的IAM用户才能为KEC实例配置IAM角色,参考系统策略KECAdminFullAccess (提供云主机全部操作管理的权限)。
在左侧导航菜单,单击实例列表。
在实例列表中,根据实际需求选择如下操作:
在绑定/解绑IAM角色弹窗中选择操作类型为绑定,并为实例选择IAM角色。(若无角色请先前往IAM角色列表创建授信实体为金山云服务的IAM角色。)
单击确定,完成绑定。
您也可以在创建KEC实例时,并在系统配置页面高级选项的实例IAM角色属性中为实例选择已创建好的实例IAM角色或者新建实例IAM角色
1.启动KEC,KEC调用STS API AssumeRole去获取该IAM角色的临时安全令牌。
2.STS将临时安全令牌返回给KEC。
3.KEC将通过实例元数据将临时安全令牌传递给KEC实例中的应用程序。
(1)Linux系统
通过实例元数据可以获取临时安全令牌及过期时间等信息。
请求示例
curl http://global.cloudinit.sdns.ksyun.com:8775/latest/iam
返回示例
{
<SecretAccessKey>wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY</SecretAccessKey>
<Expiration>2017-07-15T23:28:33.359Z</Expiration>
<AccessKeyId>AKIAIOSFODNN7EXAMPLE</AccessKeyId>
<SecurityToken>V1xxxxxxxxxxxx</SecurityToken>
<IamRoleName>XXXXX</IamRoleName>
}
(2)Windows系统
4.应用程序使用临时安全令牌访问金山云API。
纯净模式