您可以建立動態RAM憑據,對RAM憑據進行全自動的定期輪換,從而降低RAM憑據泄露的安全風險。本文為您介紹如何通過KMS控制台建立、刪除或還原動態RAM憑據。
前提條件
- 阿里雲帳號和具有相關許可權的RAM使用者或RAM角色都可以管理動態RAM憑據。
當RAM使用者或RAM角色管理動態RAM憑據時,您需要將系統策略AliyunKMSSecretAdminAccess和AliyunRAMFullAccess授予該RAM使用者或RAM角色。
- 管理動態RAM憑據前,您需要通過RAM服務角色授予憑據管家管理RAM使用者AccessKey的許可權。具體操作,請參見授予憑據管家管理RAM使用者AccessKey的許可權。
- 請為待託管RAM憑據的RAM使用者建立AccessKey。具體操作,請參見建立AccessKey。
建立動態RAM憑據
- 登入Key Management Service控制台。
- 在頁面左上方的地區下拉式清單,選擇RAM憑據託管的地區。
- 在左側導覽列,單擊憑據。
- 單擊建立憑據。
- 在建立憑據對話方塊,配置以下參數,然後單擊下一步。
- 選擇憑據類型:選擇託管RAM憑據。
- 選擇RAM使用者:選擇您要託管憑據的RAM使用者,所選RAM使用者需要至少有一個AccessKey。
- 設定憑據值:在AccessKey ID右側輸入對應的AccessKey Secret。說明 建議您輸入正確的AccessKey Secret。如果AccessKey Secret不正確,您將在RAM憑據首次輪轉後擷取一組新的AccessKey ID和AccessKey Secret。
- 描述資訊:輸入RAM憑據的描述資訊。
- 在建立憑據對話方塊,選中開啟自動輪轉,配置輪轉周期,然後單擊下一步。說明 如果無需自動輪轉RAM憑據,請選擇關閉自動輪轉。
- 在建立憑據對話方塊,審核憑據配置資訊,然後單擊確定。
- 在建立成功對話方塊,單擊關閉。您也可以單擊查看憑據詳情查看憑據資訊。
刪除動態RAM憑據
刪除RAM憑據前,請確認該RAM憑據已不被使用。
您可以選擇計劃刪除憑據和立即刪除憑據兩種方式,刪除不需要的動態RAM憑據。刪除動態RAM憑據不會刪除RAM使用者的AccessKey。
- 在左側導覽列,單擊憑據。
- 在目標RAM憑據右側的操作列,選擇。
- 在刪除憑據對話方塊,選擇憑據刪除方式,然後單擊確定。
- 選擇計劃刪除憑據,然後設定預刪除周期(7~30天)。系統將在預刪除周期後刪除憑據。
在預刪除周期內,您可以還原憑據,取消刪除操作。具體操作,請參見還原動態RAM憑據。
- 選擇立即刪除憑據,系統將立即刪除憑據。
- 選擇計劃刪除憑據,然後設定預刪除周期(7~30天)。系統將在預刪除周期後刪除憑據。
還原動態RAM憑據
當您選擇了計劃刪除憑據的方式刪除動態RAM憑據時,在預刪除周期內,可以還原動態RAM憑據,取消刪除操作。還原動態RAM憑據後,即可正常使用動態RAM憑據。
- 在左側導覽列,單擊憑據。
- 在目標RAM憑據右側的操作列,選擇。
- 在還原憑據對話方塊,單擊確定。