cloud-architecture-holistic-view

# ☁️ 腾讯云智能顾问助手 核心能力：通过 **AK/SK 鉴权**调用腾讯云智能顾问（Tencent Cloud Smart Advisor）API，管理云架构图的目录与详情、获取架构评估结果，以及查询风险评估项。 --- ## 一、鉴权方式 使用腾讯云 API **AK/SK 签名认证**（TC3-HMAC-SHA256），通过环境变量配置密钥： ### 1.1 必填环境变量 - `TENCENTCLOUD_SECRET_ID` — 腾讯云 SecretId（必填） - `TENCENTCLOUD_SECRET_KEY` — 腾讯云 SecretKey（必填） 密钥获取地址：https://console.cloud.tencent.com/cam/capi **环境变量必须永久写入 shell 配置文件**，确保新会话中仍然生效： Linux / macOS（写入 `~/.bashrc` 或 `~/.zshrc`）： ```bash echo 'export TENCENTCLOUD_SECRET_ID="your-secret-id"' >> ~/.bashrc echo 'export TENCENTCLOUD_SECRET_KEY="your-secret-key"' >> ~/.bashrc source ~/.bashrc ``` Windows PowerShell（写入用户级环境变量）： ```powershell [Environment]::SetEnvironmentVariable("TENCENTCLOUD_SECRET_ID", "your-secret-id", "User") [Environment]::SetEnvironmentVariable("TENCENTCLOUD_SECRET_KEY", "your-secret-key", "User") ``` ### 1.2 角色配置（免密登录需要） 为生成控制台免密登录链接，需要配置 CAM 角色。角色配置分为 **检测** 和 **创建** 两个独立步骤，角色创建属于 IAM 写入操作，**必须在用户明确同意后才能执行**。 #### 步骤一：环境检测（只读） 运行环境自检脚本，检测依赖、版本更新、密钥、角色配置状态： ```bash python3 {baseDir}/check_env.py ``` 自检脚本 **仅做只读检测**，不会创建或修改任何资源。返回码含义： - `0` = 环境就绪（密钥 + 角色全部正常） - `1` = Python 版本不满足要求 - `2` = AK/SK 未配置或无效 - `3` = 角色未配置（需要执行步骤二） - `4` = Skill 版本过旧，请更新 Skill 脚本首次运行时会自动检查本地 `_meta.json` 中的版本号与远端最新版本是否一致，若发现新版本则提示更新并退出（返回码 `4`）。可通过 `--skip-update` 参数跳过版本检查。 #### 步骤二：角色创建（需用户同意） 当 `check_env.py` 返回码为 `3`（角色未配置）时，**必须**向用户展示角色创建方案并等待同意： **向用户说明以下内容**： 1. 将创建 CAM 角色 `advisor`，仅用于免密登录控制台查看智能顾问信息 2. 将关联策略 `QcloudAdvisorFullAccess`（智能顾问只读访问权限，不影响其他云资源） 3. 信任策略仅允许当前账号扮演此角色 4. 用户可随时在 CAM 控制台删除此角色 **用户同意后**，执行角色创建脚本： ```bash python3 {baseDir}/scripts/create_role.py ``` 脚本输出 JSON 格式结果，`success: true` 表示创建成功并已保存配置。 **用户拒绝时**，提供手动配置方式（方式二、三、四）。 #### 方式二：配置向导（交互式选择已有角色） 运行配置向导，从已有角色中选择，或交互式创建新角色： ```bash python3 {baseDir}/scripts/setup_role.py ``` #### 方式三：简化配置 只需提供角色名称，系统自动获取账号 UIN。将以下内容写入 shell 配置文件（如 `~/.bashrc` 或 `~/.zshrc`）： ```bash echo 'export TENCENTCLOUD_ROLE_NAME="advisor"' >> ~/.bashrc source ~/.bashrc ``` 系统会自动调用 API 获取您的账号 UIN，并拼接完整的 roleArn。 #### 方式四：完整配置（高级用户） 手动设置完整的角色 ARN，写入 shell 配置文件（如 `~/.bashrc` 或 `~/.zshrc`）： ```bash echo 'export TENCENTCLOUD_ROLE_ARN="qcs::cam::uin/100001234567:roleName/advisor"' >> ~/.bashrc source ~/.bashrc ``` ### 1.3 可选环境变量 - `TENCENTCLOUD_TOKEN` — 临时密钥 Token（使用临时密钥时设置） - `TENCENTCLOUD_ROLE_SESSION` — 角色会话名称（默认 `advisor-session`） - `TENCENTCLOUD_STS_DURATION` — 临时凭证有效期秒数（默认 `3600`，即 1 小时；最大 `43200`，即 12 小时） > **注意**：所有环境变量均需永久写入 shell 配置文件（如 `~/.bashrc`、`~/.zshrc`），`export` 仅对当前会话生效，新开会话会丢失。 ### 1.4 配置优先级 系统按以下优先级加载角色配置： 1. 环境变量 `TENCENTCLOUD_ROLE_ARN`（完整 ARN） 2. 配置文件 `~/.tencent-cloudq/config.json` 3. 环境变量 `TENCENTCLOUD_ROLE_NAME` + 自动获取账号 UIN --- ## 二、前置检查（初始化工作流） 每次操作前必须先执行环境检测。初始化分为 **版本检查**、**环境检测** 和 **角色创建** 三个阶段，角色创建属于 IAM 写入操作，必须在用户明确同意后才能执行。 ### 2.1 初始化工作流（必须严格按顺序执行） **第一步：运行环境检测** ```bash python3 {baseDir}/check_env.py ``` 脚本会依次执行以下检测： 1. 检查 Python 版本（需要 3.7+） 2. 检查 Skill 版本更新（读取本地 `_meta.json` 版本，与远端最新版本对比） 3. 检查 AK/SK 配置 4. 验证 AK/SK 有效性 5. 检查免密登录角色配置 6. 验证角色扮演 根据返回码判断状态： - `0` = 环境就绪，可以正常使用所有功能 - `1` = Python 版本不满足要求 → 提示用户升级 Python - `2` = AK/SK 未配置或无效 → 提示用户配置密钥 - `3` = 角色未配置 → 执行第二步 - `4` = Skill 版本过旧 → 提示用户更新 Skill **版本检查说明**：脚本首次运行时会自动对比本地版本与远端版本。若远端有新版本，脚本会输出当前版本和最新版本号，并以返回码 `4` 退出。网络不可用或远端接口异常时，版本检查会被跳过，不影响后续检测。可通过 `--skip-update` 参数主动跳过版本检查。 **第二步：向用户展示角色创建方案**（仅当返回码为 3 时） 向用户说明即将执行的 IAM 操作，**等待用户明确同意**： > 免密登录功能需要创建一个 CAM 角色，以下是创建方案： > - **角色名称**：`advisor` > - **关联策略**：`QcloudTAGFullAccess`（标签全读写权限）、`QcloudAdvisorFullAccess`（智能顾问全读写权限） > - **信任策略**：仅允许当前账号扮演此角色 > - **用途**：仅用于生成控制台免密登录链接，不影响其他云资源 > - 您可随时在 [CAM 控制台](https://console.cloud.tencent.com/cam/role) 删除此角色 > > 是否同意创建？ **第三步：执行角色创建**（仅在用户同意后） ```bash python3 {baseDir}/scripts/create_role.py ``` 脚本输出 JSON 格式结果，`success: true` 表示创建成功。 **第四步：再次运行环境检测，确认环境就绪** ```bash python3 {baseDir}/check_env.py ``` 返回码 `0` 表示初始化完成，所有功能可用。 ### 2.2 静默模式（供脚本内部调用） ```bash python3 {baseDir}/check_env.py --quiet ``` 静默模式下仅输出错误信息，适合其他脚本调用获取环境状态。角色未配置时返回码 `3`，**不会自动创建角色**。 ### 2.3 跳过版本检查 ```bash python3 {baseDir}/check_env.py --skip-update ``` 跳过远端版本对比，直接进行后续环境检测。适用于离线环境或已知无需更新的场景。可与 `--quiet` 组合使用。 --- ## 三、API 调用方式 所有接口通过统一的签名脚本调用，服务固定参数： - **service**: `advisor` - **host**: `advisor.tencentcloudapi.com` - **version**: `2020-07-21` ```bash python3 {baseDir}/scripts/tcloud_api.py advisor advisor.tencentcloudapi.com <Action> 2020-07-21 '<payload>' [region] ``` --- ## 四、可用接口（共 7 个） 所有接口频率限制均为 **20 次/秒**。使用某个接口前，**必须先加载对应的接口文档**获取参数、返回值和展示规则等详细信息。 | 接口 | 说明 | 必填参数 | 触发词 | 文档 | |------|------|----------|--------|------| | `DescribeArch` | 获取云架构详情 | `ArchId`、`Username` | 架构详情、查看架构图 | `{baseDir}/references/api/DescribeArch.md` | | `DescribeArchList` | 分页获取云架构列表 | `PageNumber`、`PageSize` | 架构列表、所有架构图 | `{baseDir}/references/api/DescribeArchList.md` | | `ListDirectoryV2` | 查询架构目录树 | 无 | 查询目录、目录列表 | `{baseDir}/references/api/ListDirectoryV2.md` | | `ListUnorganizedDirectory` | 查询待整理目录 | 无 | 待整理目录、未归类架构 | `{baseDir}/references/api/ListUnorganizedDirectory.md` | | `DescribeStrategies` | 获取智能顾问支持的风险评估项列表 | 无 | 风险评估、巡检项、云资源风险 | `{baseDir}/references/api/DescribeStrategies.md` | | `DescribeLastEvaluation` | 获取架构评估结果 | `ArchId` | 架构评估、评估结果、Well-Architected | `{baseDir}/references/api/DescribeLastEvaluation.md` | | `CreateAdvisorAuthorization` | 开启智能顾问授权 | 无 | 开通智能顾问、授权智能顾问 | `{baseDir}/references/api/CreateAdvisorAuthorization.md` | 调用示例： ```bash python3 {baseDir}/scripts/tcloud_api.py advisor advisor.tencentcloudapi.com DescribeArchList 2020-07-21 '{"PageNumber":1,"PageSize":10}' ``` --- ## 五、数据范围说明与空结果处理 ### 5.1 数据范围 所有查询接口返回的数据**仅限当前 AK/SK 对应账号**下的智能顾问数据。向用户展示查询结果时，**必须**明确告知： > 以下结果为当前 AK/SK（SecretId/SecretKey）对应账号下的智能顾问数据。如需查询其他账号的数据，请切换对应的 AK/SK。 ### 5.2 跨账号查询拦截 TSA **不支持查询其他账号（UIN）的数据**。当用户请求查询指定 UIN 的数据时，**不执行任何 API 调用**，直接返回提示。 **判断方式**：通过前置检查阶段 `check_env.py` 输出的账号信息，或调用 `GetCallerIdentity` 接口获取当前 AK/SK 对应的 UIN。 **拦截规则**： 1. 用户请求中**指定了 UIN**，且该 UIN **与当前 AK/SK 对应的 UIN 不一致** → 直接拦截，返回提示 2. 用户请求中**指定了 UIN**，且该 UIN **与当前 AK/SK 对应的 UIN 一致** → 正常执行查询 3. 用户请求中**未指定 UIN** → 正常执行查询（默认查询当前账号） **拦截时向用户返回**： > ⚠️ 智能顾问仅支持查询当前 AK/SK 对应账号的数据。当前账号 UIN 为 `{当前UIN}`，无法查询 UIN `{用户指定的UIN}` 的数据。 > > 如需查询其他账号的数据，请切换到该账号的 AK/SK。 ### 5.3 空结果处理 当查询接口返回空结果（如架构列表为空、评估项为空、目录为空等）时，向用户说明可能的原因： 1. **当前架构图没有对应的数据**：该账号下确实没有相关的架构图、评估项或目录数据 2. **未开通智能顾问服务**：当前账号可能尚未开通智能顾问，需要先开通才能使用 向用户展示： > 查询结果为空，可能原因： > 1. 当前 AK/SK 对应账号下没有相关数据 > 2. 当前账号可能尚未开通智能顾问服务 > > 如需开通智能顾问，请告知我，我将协助您完成开通（需要您的确认）。 ### 5.4 开通智能顾问服务 当用户确认需要开通智能顾问时，调用 `CreateAdvisorAuthorization` 接口。**此接口为写入操作，必须经过用户明确同意后才能执行。** **开通流程（严格按顺序执行）**： **第一步：向用户说明开通内容，等待用户明确同意** > 开通智能顾问服务将会： > - 为当前 AK/SK 对应的账号开通智能顾问服务 > - 同步开启**报告解读**和**云架构协作**权限 > - 开通后可使用架构图管理、风险评估等全部功能 > > 是否同意开通？ **第二步：用户同意后执行开通**（用户拒绝则不执行） 使用前**必须先加载接口文档**：`{baseDir}/references/api/CreateAdvisorAuthorization.md` ```bash python3 {baseDir}/scripts/tcloud_api.py advisor advisor.tencentcloudapi.com CreateAdvisorAuthorization 2020-07-21 '{}' ``` **第三步：告知用户结果并引导下一步操作** - **成功**： 1. 告知用户开通成功 2. 调用免密登录脚本生成智能顾问控制台链接： ```bash python3 {baseDir}/scripts/login_url.py "https://console.cloud.tencent.com/advisor" ``` 3. 向用户展示如下引导信息： > ✅ 智能顾问服务已成功开通！ > > 👉 [点击进入智能顾问控制台]({免密登录链接}) > > 接下来你可以： > - **手动画架构图**：在控制台中新建架构图，拖拽云产品组件绘制你的架构 > - **网络扫描自动生图**：通过网络拓扑扫描，自动生成当前账号下的云架构图 > > 架构图创建完成后，可以使用智能顾问进行架构治理和风险评估。 - **失败**：展示错误信息，建议用户检查账号权限或联系管理员 --- ## 六、免密登录链接生成 当接口返回结果中包含架构图（含 `ArchId` 字段）时，**必须**调用免密登录脚本为用户生成腾讯云控制台直达链接。架构图列表场景下，只需为**第一张架构图**生成免密链接。 > **⚠️ 重要**：免密登录链接**每次都必须重新生成**，不可缓存或复用之前生成的链接。 ### 6.1 调用方式 需先完成角色配置（见「二、前置检查」），然后调用： ```bash python3 {baseDir}/scripts/login_url.py "<目标页面URL>" ``` 架构图控制台 URL 格式：`https://console.cloud.tencent.com/advisor?archId={ArchId}` ### 6.2 返回示例 ```json { "success": true, "action": "GenerateLoginURL", "data": { "loginUrl": "https://cloud.tencent.com/login/roleAccessCallback?algorithm=sha256&secretId=...&token=...&signature=...&s_url=...", "targetUrl": "https://console.cloud.tencent.com/advisor?archId=arch-gvqocc25", "expireSeconds": 3600 }, "requestId": "xxx" } ``` | 字段 | 说明 | |------|------| | `loginUrl` | 免密登录完整 URL，用户点击可直接跳转控制台 | | `targetUrl` | 登录后跳转的目标页面 | | `expireSeconds` | 链接有效期（秒），默认 3600，可通过 `TENCENTCLOUD_STS_DURATION` 调整 | ### 6.3 展示规则 免密登录 URL 非常长，**严禁直接展示完整 URL**，必须以 Markdown 超链接格式展示： ``` 架构图名称：生产环境架构 架构图 ID：arch-gvqocc25 [跳转控制台](免密登录URL) ``` 列表场景（仅第一张架构图附带免密链接）： ``` 1. 生产环境架构（arch-abc123）— [跳转控制台](免密登录URL) 2. 测试环境架构（arch-def456） 3. 预发布环境架构（arch-ghi789） ``` --- ## 七、插件扩展 TSA 支持通过插件机制扩展功能。所有插件 Skill 统一存放在 `{baseDir}/references/plugins/` 目录下。 ### 7.1 插件目录结构 ``` references/ ├── api/ # API 接口文档 │ ├── DescribeArch.md │ └── ... └── plugins/ # 插件 Skill 目录 └── <plugin-name>/ # 每个插件一个子目录 ├── SKILL.md # 插件的 Skill 指令文档 └── ... # 插件所需的其他文件 ``` ### 7.2 插件加载机制 插件 Skill 按需加载。当用户请求涉及某个插件的能力时，AI 助手会自动加载 `{baseDir}/references/plugins/<plugin-name>/SKILL.md` 获取插件的详细指令。 ### 7.3 插件开发规范 - 每个插件在 `references/plugins/` 下创建独立的子目录 - 插件必须包含 `SKILL.md` 文件，描述插件的功能、调用方式和输出格式 - 插件可复用主 Skill 的脚本（如 `scripts/tcloud_api.py`），也可包含自己的脚本 - 插件的输出格式应与主 Skill 保持一致（统一 JSON 格式） --- ## 八、统一输出格式 所有接口调用的输出均为统一的 JSON 格式，通过 `success` 字段区分成功与失败。 ### 成功响应 ```json { "success": true, "action": "DescribeArchList", "data": { ... }, "requestId": "9cbe807c-..." } ``` | 字段 | 类型 | 说明 | |------|------|------| | `success` | Boolean | 固定为 `true` | | `action` | String | 调用的接口名称 | | `data` | Object | 接口返回的业务数据（已去除 RequestId） | | `requestId` | String | 腾讯云请求 ID，用于问题排查 | ### 失败响应 ```json { "success": false, "action": "DescribeArchList", "error": { "code": "AuthFailure.SecretIdNotFound", "message": "The SecretId is not found, please ensure that your SecretId is correct." }, "requestId": "ed93f3cb-..." } ``` | 字段 | 类型 | 说明 | |------|------|------| | `success` | Boolean | 固定为 `false` | | `action` | String | 调用的接口名称 | | `error.code` | String | 错误码 | | `error.message` | String | 错误描述 | | `requestId` | String | 腾讯云请求 ID（网络错误时为空） | ### 特殊错误码（脚本层面） | 错误码 | 含义 | |--------|------| | `MissingParameter` | 脚本调用缺少必要参数 | | `MissingCredentials` | 未配置 AK/SK 环境变量 | | `NetworkError` | 网络请求失败，无法连接 API | | `ParseError` | 响应不是有效的 JSON | ### 常见 API 错误码 | 错误码 | 含义 | 解决方案 | |--------|------|----------| | `AuthFailure.SecretIdNotFound` | SecretId 不存在 | 检查 TENCENTCLOUD_SECRET_ID | | `AuthFailure.SignatureFailure` | 签名错误 | 检查 TENCENTCLOUD_SECRET_KEY | | `AuthFailure.SignatureExpire` | 签名过期 | 检查本地时间是否准确 | | `AuthFailure.TokenFailure` | Token 错误 | 检查 TENCENTCLOUD_TOKEN | | `AuthFailure.UnauthorizedOperation` | 未授权 | 检查 CAM 策略 | | `ResourceNotFound` | 资源不存在 | 检查 ArchId 等参数是否正确 | | `InvalidParameter` | 参数错误 | 检查请求参数格式和类型 | | `InvalidParameterValue` | 参数取值错误 | 检查参数值范围 | | `RequestLimitExceeded` | 频率限制 | 降低调用频率（限 20 次/秒） | --- ## 九、注意事项 1. **密钥安全**：严禁将 AK/SK 硬编码在代码中，必须通过环境变量传入 2. **权限控制**：建议使用子账号密钥，角色关联 `QcloudTAGFullAccess` 和 `QcloudAdvisorFullAccess` 策略 3. **临时密钥**：生产环境推荐使用 STS 临时密钥，设置 `TENCENTCLOUD_TOKEN` 4. **频率限制**：所有接口限制 20 次/秒（维度：API + 接入地域 + 子账号） 5. **地域选择**：默认 `ap-guangzhou`，Region 为可选参数 6. **跨平台支持**：所有脚本均使用纯 Python 实现，支持 Windows / Linux / macOS，无需 curl、openssl、jq 等外部依赖 7. **免密链接有效期**：默认 1 小时（3600 秒），可通过 `TENCENTCLOUD_STS_DURATION` 调整（最大 43200 秒，即 12 小时） 8. **架构图免密链接**：当返回结果包含架构图时，只需为**第一张架构图**生成免密登录控制台链接，并以 `[跳转控制台](免密登录URL)` 超链接形式展示，严禁直接展示完整 URL。**每次展示都必须重新调用 `login_url.py` 生成新链接，不可缓存或复用之前生成的链接** 9. **评估项控制台链接**：评估项不需要免密登录链接，直接展示控制台 URL：`https://console.cloud.tencent.com/advisor/assess?strategyName={URL编码后的Name}` 10. **按需加载接口文档**：使用某个接口前，必须先通过 `read_file` 加载 `{baseDir}/references/api/<Action>.md` 获取完整的参数说明、返回字段、展示格式等详细信息 11. **数据范围提示**：所有查询结果仅限当前 AK/SK 对应账号的数据，展示结果时**必须**告知用户数据范围 12. **空结果引导**：查询返回空结果时，提示用户可能原因（无数据或未开通智能顾问），并询问是否需要开通 13. **开通智能顾问须用户同意**：调用 `CreateAdvisorAuthorization` 接口属于写入操作，**必须**经用户明确同意后才能执行，严禁自动调用 14. **跨账号查询拦截**：用户指定其他 UIN 查询时，**不执行 API 调用**，直接告知仅支持查询当前 AK/SK 对应的 UIN（需标明具体 UIN），并提示切换 AK/SK --- ## 十、安全与权限声明 ### 10.1 所需凭证 本 Skill 需要以下环境变量才能正常运行： | 环境变量 | 必填 | 说明 | |---------|------|------| | `TENCENTCLOUD_SECRET_ID` | **是** | 腾讯云 API SecretId | | `TENCENTCLOUD_SECRET_KEY` | **是** | 腾讯云 API SecretKey | 密钥仅通过环境变量读取，**不会**被写入文件、日志或网络传输中。 ### 10.2 IAM 操作声明 本 Skill 包含以下 CAM（访问管理）操作。**写入类操作仅由独立脚本 `scripts/create_role.py` 执行，且必须在用户明确同意后才会运行**。`check_env.py` 仅执行只读检测操作。 | API 操作 | 类型 | 所在脚本 | 说明 | |---------|------|---------|------| | `sts:GetCallerIdentity` | 只读 | `check_env.py` / `create_role.py` | 获取当前账号 UIN | | `cam:GetRole` | 只读 | `check_env.py` / `create_role.py` | 检查角色是否存在 | | `cam:DescribeRoleList` | 只读 | `setup_role.py` | 列出可用角色供用户选择 | | `cam:CreateRole` | **写入** | `scripts/create_role.py` | 创建 `advisor` 角色（需用户明确同意后执行） | | `cam:AttachRolePolicy` | **写入** | `scripts/create_role.py` | 关联 `QcloudAdvisorFullAccess` 策略（随角色创建执行） | | `sts:AssumeRole` | 敏感 | `login_url.py` | 扮演角色获取临时凭证（用于生成免密登录链接） | | `cam:DeleteRole` | **写入** | `scripts/cleanup.py` | 删除 `advisor` 角色（仅 `--cloud` 模式，需用户明确确认） | | `advisor:CreateAdvisorAuthorization` | **写入** | `scripts/tcloud_api.py` | 开通智能顾问服务（需用户明确同意后执行） | ### 10.3 数据安全 - **临时凭证**：STS AssumeRole 获取的临时凭证仅在内存中使用，不持久化存储 - **配置文件**：`~/.tencent-cloudq/config.json` 仅保存角色 ARN 和账号 UIN，**不保存任何密钥** - **文件权限**：配置目录设为 `700`，配置文件设为 `600`，仅当前用户可读写 - **SSL 验证**：所有 HTTPS 请求均启用完整的 SSL 证书验证，不支持跳过验证 - **网络访问**：仅连接腾讯云官方 API 域名（`*.tencentcloudapi.com`）和登录域名（`cloud.tencent.com`） ### 10.4 配置清理 用户可随时运行清理脚本删除本机上的所有配置和缓存： ```bash # 交互式清理（逐项确认） python3 {baseDir}/scripts/cleanup.py # 一键清理所有本地配置 python3 {baseDir}/scripts/cleanup.py --all # 一键清理所有本地配置 + 云端 advisor 角色 python3 {baseDir}/scripts/cleanup.py --all --cloud ``` 清理范围： - 配置目录 `~/.tencent-cloudq/`（含 `config.json`） - 临时缓存 `{系统临时目录}/.tcloud_advisor_uin_cache` - 环境变量 `TENCENTCLOUD_*` 系列（`SECRET_ID`、`SECRET_KEY`、`TOKEN`、`ROLE_ARN`、`ROLE_NAME`、`ROLE_SESSION`、`STS_DURATION`），脚本会自动检测已设置的变量并生成对应平台的清理命令（`source` 脚本 / PowerShell 脚本） - 云端 CAM 角色 `advisor`（仅 `--cloud` 模式，需配置 AK/SK） <!-- Unique ID: cloud-architecture-holistic-view-1774324150911 -->