使用身份
当企业云平台的 IAM 身份创建成功后,用户可以通过下载企业云平台官方 SDK 来更新应用中的认证代码来调用身份,账户类身份也可以通过登录管理控制台 UI 面板执行切换身份操作。详细操作说明如下。
使用前提
代入身份的实体,必须是该身份的信任载体。若尚未为该实体创建身份,或者尝试代入错误的身份,用户在该实体上的任何身份使用操作都将遭到拒绝。
操作步骤
方式一:利用 SDK 开发应用
该方式可以让授权云服务器上的应用程序,APP 或 SDK 等,通过获取云服务器临时安全凭证来执行身份允许的操作,从而屏蔽因 Access_Key 和 Secret_Key 泄露导致的安全问题。
| 说明 |
|---|
如果您是在 Windows 云服务器上开发应用,需要先参考下文配置路由才可使用。 |
-
使用示例
-
给云服务器绑定已经赋予一定权限的身份,可在该身份详情页下的信任载体详情中看到云服务器信息。
-
切换关联策略选项卡,查看该云服务器已拥有的权限。
-
访问该云服务器终端,执行以下命令行,使用
pip安装 SDK。pip install qingcloud-sdk如果你已安装
qingcloud-sdk且需要更新到最新版本,可执行以下命令行。pip install --upgrade qingcloud-sdk -
使用 SDK。这里以 Python 语言为例,无需提供
access key id和secret access key。代码示例
#API Connection from qingcloud.iaas import APIConnection conn = qingcloud.iaas.connect_to_zone( 'pek3', # 你的资源所在的节点ID,可在控制台切换节点的地方查看,如 'pek3', 'ap2a', 'gd2' 等 None, None ) ret = conn.describe_routers() # 查看路由器信息 print(ret)输出示例
-
-
如果该云服务器绑定的身份拥有允许访问路由器的权限,执行上述示例代码后输出结果如下。
DescribeRouters: {u'action': u'DescribeRoutersResponse', u'router_set': [...], u'ret_code': 0, u'total_count': 1}如果该云服务器绑定的身份没有附加访问路由器的权限,执行上述实例代码后输出结果。
DescribeRouters: {u'message': u'PermissionDenied, IAM authorization evaluate deny', u'ret_code': 1400}
方式二:管理控制台切换身份
当用户 A 将用户 B 的账户 ID 作为信任载体创建身份后,用户 B 可以登录到管理控制台使用此方法访问用户 A 的账户以辅助其运维。
-
用户 B 登录控制台,鼠标移至界面右上角头像处,点击切换身份即可查看用户 B 可访问的所有身份列表。
-
选择要代入的身份后,点击切换。
-
成功切换后,用户 B 将进入该身份所代表的操作空间。在该操作空间内,执行的所有操作都受到该身份上所附加策略的限制,并将代表该身份属主进行操作。
可供用户 B 操作的模块有限,如页面提示
您没有权限执行此操作,这是因为该身份属主在身份上配置了可见模块,用户 B 只能访问这些可见模块。 -
如果在代入身份后的操作过程中界面右下角出现提示
访问被拒绝…,则代表用户 B 当前代入的身份没有权限执行该操作,当前操作失败。如需执行该操作的权限,可联系身份拥有者通过策略配置授予相应权限。
-
如需要退出身份代入,您可以在工作台页点击返回到账户链接,或点击头像处个人菜单的回到账户。
附录
Windows 云服务器路由配置
配置方法如下:
-
打开 cmd 命令行工具,执行
ipconfig获取本机 IPv4 默认网关地址。
-
执行命令
route add -p 169.254.169.254 mask 255.255.255.255 <默认网关地址>,将 IAM 的凭证颁发中心的固定地址169.254.169.254配置到该云服务器的默认网关路由中即可。
-
添加成功后,可执行命令
route print以查看该路由配置是否生效。
-
Windows 云服务器配置完路由后,才可代入身份开发应用。