管理服务账号


服务账号(Service Account,SA)是一种特殊的 EnOS 账号,是应用程序通过 API 访问 EnOS 上的资源时需要使用的账号。通过 EnOS 管理控制台 > 应用注册 中注册或购买了一个应用之后,该应用会自动获得一个服务账号(即应用的 AccessKey)。


用户通过应用进行以下操作时,需要使用服务账号:

  • 应用程序通过 API 访问 EnOS 上的资源

  • 通过配置数据订阅任务,消费订阅数据


获得服务账号后,你可以通过 身份与授权 > 服务账号 页面查看组织内的所有服务账号。对服务账号进行授权后,应用程序即有权访问 EnOS 上的相应资源。为服务账号创建 RSA 密钥对后,可使用密钥对解密 EnOS 接入服务 V2.4 版本 API 中返回的 product secret 和 device secret。

前提条件


  • 拥有当前 OU 的管理员用户权限。

  • 已在当前 OU 注册一个应用或购买一个其他 OU 的应用。

  • 如果要授予应用自定义的权限,需要先创建自定义权限策略。详细信息,参见 新建和管理策略

授权服务账号


  1. 登录 EnOS 管理控制台,从导航栏中选择 身份与授权 > 服务账号

  2. 在服务账号列表中选择需要授权的应用,点击 授权 按钮,进入授权页面。如果组织尚未注册任何应用,前往 应用注册 页面,完成应用注册后再返回服务账号页面继续授权操作。


    ../../_images/iam_service_account_authorize.png


  3. 点击 添加权限策略,在弹窗中选择需要为该服务账号添加的策略(点击 + 为将所选权限授予应用),点击 保存。可选择的权限列表默认显示预定义的权限,用户自定义的权限也会被添加到可选择的权限列表中。


    ../../_images/iam_service_account_assign_policies_confirm.png


  4. 在授权页面点击 保存 按钮,完成服务账号授权操作。


    ../../_images/iam_service_account_policies.png

管理 RSA 密钥对


备注

使用该功能前,确保已安装 EnOS 2.4 CU1。更多信息,参见 2.4 CU1


每个服务账号可拥有一个 RSA 密钥对,密钥对由 RSA 公钥和 RSA 私钥组成。通过 接入服务 V2.4 API 获取 product secret 和 device secret 时,返回的参数值经过加密,需使用 RSA 私钥解密,得到实际的值。有关解密的更多信息,参见 解密 Product/Device Secret

仅服务账号所属组织的 OU 管理员有权创建、更新和查看密钥对。一个服务账号下同一时间最多只有 1 个生效的密钥对。


  1. 登录 EnOS 管理控制台,从导航栏中选择 身份与授权 > 服务账号

  2. 在服务账号列表中选择需要创建密钥对的应用,点击 密钥对 key-pair

  3. (可选)如有需要,输入 私钥密码 为私钥进行加密。私钥密码需妥善保存,页面将不再展示。如不需要,可直接留空。

  4. 点击 创建密钥对,将自动生成 RSA 密钥对。

  5. 创建后,可再次点击 密钥对 key-pair,获取 RSA 公钥和私钥。

    • 生效时间:创建或更换该 RSA 密钥对的时间。

    • RSA 公钥:点击 复制 copy 复制公钥。

    • RSA 私钥:点击私钥文件名(例如 test001.pem)下载私钥文件。若已配置私钥密码,则下载的私钥将经过加密处理,使用私钥时需与 私钥密码 配合使用。

    • 更换密钥对:更换密钥对后,原密钥对将失效,页面上将无法查看和下载。已通过原密钥对加密的数据仍可使用本地保存的私钥解密。


../../_images/iam_service_account_secret_pair.png