跳到主要内容

凭证管理

什么是凭证

凭证是由 Gitee 统一托管的认证信息并集中管理,通过颁发令牌的方式在 Gitee 业务中引用,如K8S证书、账号密码、阿里云AKSK、Docker仓库账号密码等。

可以做什么

  • 凭证可以帮您统一托管认证信息,减少重复配置成本
    • 配置凭证后,可以只在 Gitee Go 的流水线中引用,如K8S部署、Helm部署任务可以引用K8S证书
  • 凭证可以帮您保护核心账号不泄漏,减少安全风险
    • 配置凭证后,由 Gitee 颁发一个令牌(即唯一标识)和认证信息作映射,在 Gitee 中全部使用令牌获取认证信息,消除直接配置账号密码的风险

凭证特性

  1. 支持配置管理各种云服务(阿里云/腾讯云 等)、IM通讯(钉钉/飞书/企业微信 等)、其他服务(Kubernetes/Docker 仓库/Jenkins Master/Maven Settings 等)的凭证。

  2. 所有凭证支持设置使用范围:项目可见、仓库可见。项目或仓库成员可以使用别人的凭证创建流水线调用外部服务。

  3. 成员离职等原因导致的凭证失效问题,可通过配置凭证中的信息完成修改,无需重复修改流水线中的配置。

进入企业设置 -> 凭证管理,可以查看企业内所有的凭证。

企业凭证管理

云服务

目前支持的云服务包括:

  • 阿里云
  • 腾讯云
  • 华为云

云服务

:::info注意,阿里云aksk需要授予的权限:

在多云部署的场景中,需要的权限如下:

读权限:读取Ecs实例、读取云助手状态、读取云命令执行结果

写权限:向Ecs实例安装云助手、重启Ecs实例、执行云助手命令

其中写权限中不包括对修改实例信息的权限

授权路径:权限=>权限策略=>RAM角色=>RAM用户

以上6种权限即为RAM角色所需的最小权限策略,也即基于用户最小的信任,用户需自定义创建的权限策略 :::

IM 通讯

目前支持的通讯服务包括:

  • 飞书
  • 钉钉
  • 企业微信

IM通讯

其他

目前支持的其他服务包括:

  • Kubernetes
  • Docker Registry
  • 通用账号密码
  • Jenkins Master
  • Maven Settings

k8s凭证