机器账户
最后更新于
对应的官方文档地址
机器账户代表非人类机器用户,例如,需要以编程方式访问一组谨慎的机密的应用程序或部署管道。机器账户可用于:
适当地限制机器用户对一定范围的机密的访问权限。
发布访问令牌以促进对机密的编程访问和解密能力。
您的用户账户有权访问的机器账户可以通过从导航中选择机器账户查看:
打开机器账户将列出此机器账户有权访问的机密和人员,以及任何已生成的访问令牌和事件日志:
在管理控制台计费 → 订阅页面上,您可以分配可供组织使用的机器账户的数量。有关可用机器账户和机器账户扩展的更多信息,请参阅此处。
要创建一个新的机器账户:
1、使用新增下拉菜单选择机器账户:
2、输入机器账户名称,然后然后选择保存。
3、打开「机器账户」,然后在工程选项卡中键入或选择该机器账户应能够访问的工程的名称。对于每个添加的工程,选择一个权限级别:
可以读取:机器账户可以从分配的工程中检索机密。
可以读取、写入:机器账户可以从分配的工程中检索和编辑机密,在分配的工程中创建新的机密,或者完全创建新的工程。
将组织成员添加到机器账户将允许他们为机器账户生成访问令牌并与机器账户具有访问权限的所有机密进行交互。要将人员添加到您的机器账户:
1、在「服务账户」中,选择人员选项卡。
2、从「人员」下拉列表中,输入或选择要添加到工程的成员或群组。选择了合适的人员后,选择添加按钮:
将工程添加到机器账户将允许使用访问令牌以编程方式访问包含的机密。您可以将新工程和现有工程添加到机器账户:
要将工程添加到机器账户:
1、在「机器账户」中,选择工程选项卡。
2、从「工程」下拉菜单中,键入或选择要添加到机器账户的工程。选择正确的工程后,选择添加按钮:
3、对于每个已添加的工程,选择一个权限级别:
可以读取:机器账户可以从分配的工程中检索机密。
可以读取和写入:机器账户可以从分配的工程中检索和编辑机密,在分配的工程中创建新的机密,或者完全创建新的工程。
要删除机器账户,请使用要删除的机器账户的 (≡) 选项菜单选择删除机器账户。删除机器账户不会删除与其关联的机密。机器账户一旦删除就会被完全移除,不会像机密那样被发送到回收站。
每个机器账户执行操作的时间戳记录可从机器账户的事件日志选项卡中获得:
有权访问给定机器账户的任何用户都可以查看该机器账户的事件。捕获的事件包括:
访问了机密 secret-identifier. (2100)
事件日志可导出并且无限期保留。导出事件将创建一个指定日期范围内所有事件的 .csv 文件,该日期范围不应超过 367 天。
配置选项卡提供了配置应用程序以使用机器账户时可能需要的信息的快速视图。将显示身份服务器 URL、API 服务器 URL、组织 ID 和工程 ID,并且可以通过选择每个字段各自的 ❐图标来复制它们。有关 Secrets Manager 环境的更多信息,请参阅 Secrets Manager SDK 文档和 CLI 文档。