凭证管理
什么是凭证
凭证是由 Gitee 统一托管的认证信息并集中管理,通过颁发令牌的方式在 Gitee 业务中引用,如K8S证书、账号密码、阿里云AKSK、Docker仓库账号密码等。
可以做什么
- 凭证可以帮您统一托管认证信息,减少重复配置成本
- 配置凭证后,可以只在 Gitee Go 的流水线中引用,如K8S部署、Helm部署任务可以引用K8S证书
- 凭证可以帮您保护核心账号不泄漏,减少安全风险
- 配置凭证后,由 Gitee 颁发一个令牌(即唯一标识)和认证信息作映射,在 Gitee 中全部使用令牌获取认证信息,消除直接配置账号密码的风险
凭证特性
1、支持配置管理各种云服务(阿里云/腾讯云 等)、IM通讯(钉钉/飞书/企业微信 等)、其他服务(Kubernetes/Docker 仓库/Jenkins Master/Maven Settings 等)的凭证。
2、所有凭证支持设置使用范围:项目可见、仓库可见。项目或仓库成员可以使用别人的凭证创建流水线调用外部服务。
3、成员离职等原因导致的凭证失效问题,可通过配置凭证中的信息完成修改,无需重复修改流水线中的配置。
进入企业设置 -> 凭证管理,可以查看企业内所有的凭证。
云服务
目前支持的云服务包括:
- 阿里云
- 腾讯云
- 华为云
在多云部署的场景中,需要的权限如下:
读权限:读取Ecs实例、读取云助手状态、读取云命令执行结果
写权限:向Ecs实例安装云助手、重启Ecs实例、执行云助手命令
其中写权限中不包括对修改实例信息的权限
授权路径:权限=>权限策略=>RAM角色=>RAM用户
以上6种权限即为RAM角色所需的最小权限策略,也即基于用户最小的信任,用户需自定义创建的权限策略
IM 通讯
目前支持的通讯服务包括:
- 飞书
- 钉钉
- 企业微信
其他
目前支持的其他服务包括:
- Kubernetes
- Docker Registry
- 通用账号密码
- Jenkins Master
- Maven Settings
