检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
该接口返回为登录页的静态资源login.html,即登录页的界面。 图3 配置thymeleaf /is/login接口 该接口为查询当前访问的用户是否登录,如果登录,则返回当前登录的用户信息,否则返回消息为空。与OrgID的登录流程在本Demo中进行,当其他微服务需要判断当前用
TS认证凭据,两个微服务之间通信时,可以使用该认证凭据,进行STS认证。 为了让微服务可以安全地获取到STS认证凭据,STS给每个接入的微服务颁发了一张身份证书,该证书中包含了微服务的名称等信息。该证书在微服务部署时,安装到微服务所在的虚拟机或容器里。微服务使用该证书,就可以到STS-Server上获取认证凭据。
约束与限制 应用平台服务对浏览器的限制如表1所示。 表1 浏览器限制 浏览器版本 说明 Google Chrome浏览器93.x及以上 建议优选。
配置访问凭据管理服务 运行时引擎访问凭据管理服务功能介绍 将微服务注册到ACMS 在ACMS中配置ACL 在ACMS中管理敏感配置 在ACMS中查询认证凭据
在顶部导航栏选择服务。 单击,选择“安全 > 访问凭据管理服务”。 选择左侧导航栏的“认证凭据托管”。 选择推送实例,单击“查询”,查看认证凭据。 此处选择的推送实例应与ACMS的部署环境保持一致,如:cn_product_cbu,cn表示中国站。 父主题: 配置访问凭据管理服务
运行时引擎访问凭据管理服务 已申请权限,但是仍然没有权限操作 服务、微服务名称大小写不正确 切换offering,服务名和微服务名没有发生变化,是否需要重新注册? 服务或微服务改名了,是否需要删除原来的服务/微服务,注册新的服务/微服务? 服务或微服务改名了,使用了STS敏感配置
权限。 操作须知 如果访问密钥泄露,会带来数据泄露风险。且每个访问密钥仅能下载一次,为了账号安全性,建议您定期更换并妥善保存访问密钥。 若您的访问密钥已丢失,您可创建新的访问密钥并停用原有的访问密钥。 每个租户最多只能拥有两个访问密钥。 创建AK/SK访问密钥 在AI原生应用引擎的左侧导航栏选择“系统管理
更多操作 微服务注册完成后,您可以执行如表1的操作。 表1 操作说明 操作 说明 修改微服务注册信息 单击微服务列表操作列的“修改”,可以配置如下信息: 访问能力表:当前微服务可以访问的微服务列表,目前所有微服务默认访问 SecurityTokenMicroService,无需配置。
AM申请权限。 如果站点一致,则检查ACMS上的服务和IAM里有权限的服务是否一致。当前服务下,必须有服务运维岗位权限或运维管理员权限。 如果上述检查正确,但仍然没有权限,那么重新登录,再回到ACMS,查看是否有权限。 如果重新登录后依然没有权限,在ACMS中,按F12,打开工作
表1 录入敏感配置参数说明 参数 说明 推送实例 选择在哪个环境下配置敏感配置项。 说明: 此处选择的环境应与ACMS的部署环境保持一致,如:cn_product_cbu,cn表示中国站。 服务名称 显示当前的服务名称。 微服务名称 选择微服务名称。 敏感配置项名称 输入敏感配置项名称。
前提条件 需要具备AppStage服务运维岗位权限或运维管理员权限,权限申请操作请参见申请权限。 配置ACL 进入AppStage运维中心。 在顶部导航栏选择服务。 单击,选择“安全 > 访问凭据管理服务”。 选择左侧导航栏的“微服务注册”,单击微服务列表Provider端操作列的“修改”。
在ACMS中管理敏感配置 ACMS敏感配置管理使用流程 在ACMS中录入敏感配置 通过IaC分发敏感配置 在业务代码中配置敏感配置解密 父主题: 配置访问凭据管理服务
服务、微服务名称大小写不正确 当前ACMS会将已注册的微服务名称和租户管理服务中保存的微服务名称做匹配,如果匹配不到,或大小写不一致,则会报错。 如果业务发现租户管理服务的名称大小写不正确,但是已经在ACMS注册了该大小写不正确的微服务名,那么需要先在ACMS上删除该微服务,然后
进入AppStage运维中心。 在顶部导航栏选择服务。 单击,选择“安全 > 访问凭据管理服务”。 选择左侧导航栏的“敏感配置管理”。 勾选需要分发的敏感配置,单击“导出敏感配置ID”,即可生成敏感配置项坐标。 敏感配置项坐标的生成规则为: 服务级别的配置项: Service/{Serv
敏感配置管理使用流程 在ACMS中录入敏感配置:业务研发人员登录ACMS管理台录入敏感配置。 通过IaC分发敏感配置:业务研发人员编写IaC代码,声明业务软件依赖的敏感配置,IaC部署后,敏感配置项生效变成已发布状态,微服务才能获取。 在业务代码中配置敏感配置解密:通过STS SDK获取敏感配置并自动解密。
服务或微服务改名了,是否需要删除原来的服务/微服务,注册新的服务/微服务? STS现在已经支持了自动感知业务服务、微服务改名的信息,会自动将服务名、微服务名变更为最新的服务名、微服务名,并保持密钥、敏感配置、ACL等信息不变。但并不是业务改名后立即就会感知到,会有一段同步时间,大约10-15分钟左右。
切换offering,服务名和微服务名没有发生变化,是否需要重新注册? STS是按照 (服务+微服务)的粒度注册微服务的,不会保存offering信息,因此如果只是切换offering,服务名和微服务名保持不变,那么在STS上不用做任何操作,可以直接使用之前注册的微服务。 父主题: 运行时引擎访问凭据管理服务
行解密。 前提条件 在业务代码中引入STS SDK,具体操作请参见使用STS SDK(Spring Cloud框架)。 解密敏感配置 在微服务业务代码的application.yml文件中配置敏感配置项,样例如下: nuwa: security: config:
隔离域是将业务使用的底层网络资源进行封装,为具有相同安全保护需求并相互信任的服务提供访问策略的安全分组。当服务器加入到隔离域后,即受到这些访问规则的保护。访问规则继承自选定的安全区域(安全域),并根据租户声明的服务依赖关系自动生成。本章节介绍如何创建隔离域。 前提条件 已获取基础运维岗
在监听器列表中,单击待开启访问控制的监听器所在行“操作”列的“更多 > 访问控制”。 开启访问控制按钮,并输入允许访问的白名单IP,如果输入多个IP使用英文逗号隔开。然后单击“确定”。 添加后端云服务器 创建监听器时会同步创建后端云服务器组,需要为云服务器组添加云服务器。 进入AppStage运维中心。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
