Introducción
En esta sección se describe la gestión detallada de permisos para los recursos de AS. Si su cuenta no necesita usuarios individuales de IAM, puede omitir esta sección.
De forma predeterminada, los nuevos usuarios de IAM no tienen permisos concedidos. Debe agregar un usuario a uno o más grupos y asignar políticas o roles a estos grupos. A continuación, el usuario hereda los permisos de los grupos a los que pertenece. Este proceso se llama autorización. Después de la autorización, el usuario puede realizar operaciones especificadas en AS basadas en los permisos.
Puede conceder permisos a los usuarios mediante roles y políticas. Roles: Tipo de mecanismo de autorización de grano grueso que define permisos relacionados con las responsabilidades del usuario. Las políticas definen permisos basados en API para operaciones en recursos específicos bajo ciertas condiciones, lo que permite un control de acceso más detallado y seguro de los recursos en la nube.
La autorización basada en políticas es útil si desea permitir o denegar el acceso a una API.
Una cuenta tiene todos los permisos necesarios para llamar a todas las API, pero los usuarios de IAM deben tener los permisos requeridos específicamente asignados. Los permisos necesarios para llamar a una API están determinados por las acciones admitidas por la API. Solo los usuarios a los que se les han concedido permisos para permitir las acciones pueden llamar a la API correctamente. Por ejemplo, si un usuario de IAM desea consultar grupos AS mediante una API, se deben tener permisos que permitan la acción as:groups:list.
Acciones admitidas
Las operaciones admitidas por una política detallada son específicas de las API. A continuación se describen los encabezados de las tablas de acciones proporcionadas en este capítulo:
- Permisos: Definido por acciones en una política personalizada.
- API: APIs REST que se pueden llamar en una política personalizada.
- Acciones: agregadas a una política personalizada para controlar los permisos para operaciones específicas.
- Acciones relacionadas: acciones de las que depende una acción específica para que surtan efecto. Al asignar permisos para la acción a un usuario, también debe asignar permisos para las acciones dependientes.
- Proyectos IAM o proyectos de empresa: alcance de los usuarios a los que se concede permiso. Las políticas que contienen acciones que admiten proyectos de IAM y de empresa se pueden asignar a grupos de usuarios y tener efecto tanto en IAM como en Enterprise Management. Las políticas que solo contienen acciones que admiten proyectos de IAM se pueden asignar a grupos de usuarios y solo tienen efecto para IAM. Estas políticas no tendrán efecto si se asignan a grupos de usuarios en Enterprise Project. Los administradores pueden comprobar si una acción admite proyectos de IAM o proyectos de empresa en la lista de acciones. "√" indica que la acción apoya el proyecto y "×" indica que la acción no apoya el proyecto. Para obtener más información sobre las diferencias entre IAM y la gestión empresarial, véase ¿Cuáles son las diferencias entre IAM y Enterprise Management?
AS admite las siguientes acciones que se pueden definir en políticas personalizadas:
- Acciones de grupo de AS, incluidas las acciones admitidas por todas las API de grupo AS, como las API para crear, modificar y consultar un grupo AS.
- Acciones de configuración de AS, incluidas las acciones admitidas por todas las API de configuración de AS, como las API para crear, eliminar y consultar configuraciones de AS.
- Acciones de instancia, incluidas las acciones admitidas por todas las API de instancia, como las API para consultar las instancias de un grupo AS y eliminar instancias de un grupo AS.
- Acciones de políticas de AS, incluidas las acciones admitidas por todas las API de políticas AS, como las API para crear y modificar una política AS.
- Acciones de log de ejecución de políticas AS, incluida la acción admitida por la API para consultar logs de ejecución de políticas AS.
- Acciones de log de acciones de ajuste, incluidas las acciones admitidas por las API para consultar logs de acciones de ajuste.
- Acciones de cuota, incluidas las acciones admitidas por todas las API de cuota de AS, como la API para consultar cuotas de AS.
- Acciones de notificación, incluidas las acciones admitidas por todas las API de notificación de AS, como la API para consultar notificaciones de un grupo de AS.
- Acciones de gancho del ciclo de vida, incluidas las acciones admitidas por todas las API de gancho del ciclo de vida, como la API para crear un gancho del ciclo de vida.
- Acciones de gestión de etiquetas, incluidas las acciones admitidas por todas las API de etiquetas AS, como la API para consultar etiquetas.