工作负载身份管理
本文介绍如何在Agent Identity控制台创建、删除、修改工作负载身份。
权限要求
建议为操作人员分配Agent Identity管理员AliyunAgentIdentityFullAccess。
创建工作负载身份
登录AgentIdentity控制台,在左侧导航栏选择。
在工作负载身份列表页,单击创建工作负载身份。
在创建工作负载身份页,输入工作负载身份名称。
单击创建工作负载身份
为工作负载身份关联RAM角色
工作负载身份需关联到具备Agent Identity数据面获取凭证权限的RAM角色,才能为Agent获取凭证(STS Token、API Key或OAuth2访问令牌)。
为了简化RAM角色创建和权限分配操作,建议您按照以下步骤在Agent Identity控制台中使用创建RAM角色向导自动创建RAM角色并授权。操作人员需要具备以下RAM权限:
ram:ListRolesram:ListPoliciesram:CreateRoleram:AttachPolicyToRole
参考策略:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ram:ListRoles",
"ram:ListPolicies",
"ram:CreateRole",
"ram:AttachPolicyToRole"
],
"Resource": "*"
}
]
}登录AgentIdentity控制台,在左侧导航栏选择。
在工作负载身份页面,单击目标工作负载身份名称。
在工作负载身份详情页的认证流程区域,单击关联RAM角色。
在关联RAM角色对话框,单击创建RAM角色。
在访问控制快速授权页面,查看即将创建的RAM角色。您可按需更改角色名称及权限策略。
单击确认授权。稍等片刻,系统将自动创建RAM角色并为其配置信任策略和权限策略。
单击返回控制台,回到工作负载身份详情页。
再次单击关联RAM角色。
在关联RAM角色对话框中,选择刚刚系统自动创建的RAM角色。
单击确定。
为工作负载身份设置应用回调地址
如果您希望通过Agent Identity为您的Agent从凭证提供商处获取OAuth访问令牌,建议为创建的工作负载身份配置应用回调地址。该地址用来验证当前用户会话以便完成OAuth访问令牌的获取,具体请参见会话绑定。
登录AgentIdentity控制台,在工作负载身份列表中,单击目标工作负载身份。
在工作负载身份详情页的认证流程区域,单击设置应用回调地址。
在设置应用回调地址对话框中,单击添加。输入您的应用回调地址,例如:
https://your-app-fqdn/callback。单击确定。
为工作负载身份关联身份提供商
如您希望工作负载身份与外部身份提供商集成,以信任用户的身份提供商签发的JWT令牌,则需要为创建的工作负载身份关联身份提供商。
登录AgentIdentity控制台,在左侧导航栏选择。
在工作负载身份列表页,单击目标工作负载身份。
在工作负载身份详情页的认证流程区域,单击身份提供商下的关联身份提供商。
在关联身份提供商对话框中,单击下拉菜单并选择您配置的身份提供商。如果您还没有身份提供商,请参考创建身份提供商。
单击确定。
删除工作负载身份
登录AgentIdentity控制台,在左侧导航栏选择。
在工作负载身份页面,找到目标工作负载身份,在其操作列单击删除工作负载身份。
在删除工作负载身份对话框中,输入工作负载身份名称,然后单击删除工作负载身份。