Introducción
En esta sección se describe la gestión detallada de permisos para su BMS. Si su cuenta de Huawei Cloud no necesita los usuarios individuales de IAM, puede omitir esta sección.
De forma predeterminada, los nuevos usuarios de IAM no tienen permisos concedidos. Debe agregar un usuario a uno o más grupos y asignar políticas o roles a estos grupos. A continuación, el usuario hereda los permisos de los grupos a los que pertenece. Este proceso se llama autorización. Después de la autorización, el usuario puede realizar operaciones especificadas en BMS basadas en los permisos.
Puede conceder permisos a los usuarios mediante roles y políticas. Los roles son proporcionados por IAM para definir los permisos basados en servicios dependiendo de las responsabilidades del trabajo de los usuarios. Las políticas definen permisos basados en API para operaciones en recursos específicos bajo ciertas condiciones, lo que permite un control de acceso más detallado y seguro de los recursos en la nube.
La autorización basada en políticas es útil si desea permitir o denegar el acceso a una API.
Una cuenta tiene todos los permisos necesarios para invocar a todas las API, pero los usuarios de IAM deben tener los permisos requeridos específicamente asignados. Los permisos necesarios para invocar a una API están determinados por las acciones admitidas por la API. Solo los usuarios que tienen los permisos que permiten las acciones pueden invocar a la API. Por ejemplo, si un usuario de IAM consulta BMS mediante una API, se deben haber concedido los permisos que permitan la acción bms:servers:list.
Acciones admitidas
BMS proporciona las políticas definidas por el sistema que se pueden usar directamente en IAM. También puede crear las políticas personalizadas y utilizarlas para complementar las definidas por el sistema, implementando un control de acceso más refinado. Las acciones admitidas por las políticas son específicas de las API. Los siguientes son conceptos comunes relacionados con las políticas:
- Permiso: una declaración en una política que permite o niega ciertas operaciones.
- API: las API de REST que se pueden invocar en una política personalizada.
- Acciones: agregadas a una política personalizada para controlar los permisos para operaciones específicas.
- Acciones dependientes: al asignar una acción a los usuarios, también debe asignar permisos dependientes para que esa acción tenga efecto.
- IAM project/Enterprise project: Se puede aplicar una política personalizada a proyectos de IAM o de empresa, o a ambos. Las políticas que contienen las acciones que admiten los proyectos de IAM y de empresa se pueden asignar a grupos de usuarios y tener efecto tanto en IAM como en Enterprise Management. Las políticas que solo contienen las acciones que admiten los proyectos de IAM se pueden asignar a grupos de usuarios y solo tienen efecto para IAM. Dichas políticas no entrarán en vigor si se asignan a grupos de usuarios en Enterprise Management.
√: soportado; x: no soportado
BMS admite las siguientes acciones que se pueden definir en las políticas personalizadas:
- Acciones de gestión del ciclo de vida, incluidas las acciones admitidas por las API de gestión del ciclo de vida de BMS, como las API para crear BMS y consultar detalles de BMS.
- Acciones de gestión de estado, incluidas las acciones admitidas por las API de gestión de estado de BMS, como las API para detener, reiniciar e iniciar BMS por lotes.
- Acciones de gestión de contraseñas, incluidas las acciones compatibles con las API relacionadas con contraseñas de BMS, como las API para consultar si las contraseñas de BMS se pueden restablecer y para restablecer la contraseña de BMS.
- Acciones de consulta de variante, incluidas las acciones admitidas por las API relacionadas con las variantes de BMS, como las API para consultar detalles sobre variantes y la información extendida sobre variantes.
- Acciones de gestión de NIC, incluidas las acciones admitidas por las API relacionadas con NIC de BMS, como las API para consultar NIC de BMS.
- Acciones de gestión de discos, incluidas las acciones admitidas por las API relacionadas con los discos de BMS, como las API para adjuntar los discos a un BMS y separar discos de un BMS.
- Acciones de gestión de metadatos, incluidas las acciones compatibles con las API relacionadas con metadatos de BMS, como la API para actualizar los metadatos de BMS.
- Acciones de gestión de cuotas de tenants, incluidas las acciones admitidas por las API relacionadas con las cuotas de BMS, como la API para consultar cuotas de tenants.
Descripciones de acciones
- Las acciones y alcances de las API nativas de OpenStack de BMS son los mismos que los de ECS. Para obtener más información, consulta Políticas de permisos y acciones admitidas en la Referencia de las API de Elastic Cloud Server.
- Cuando personalice una política de usuario de BMS en IAM, agregue los permisos ecs:*:get y ecs:*:list. De lo contrario, las funciones de algunas páginas no pueden funcionar correctamente.
- Las redes de alta velocidad y las redes definidas por el usuario no admiten proyectos empresariales. Para utilizar las dos funciones, utilice la cuenta principal.
- El permiso vpc:ports:get debe asignarse a la subcuenta de un proyecto de empresa. De lo contrario, la EIP y el grupo de seguridad no se pueden mostrar correctamente en la página de detalles del BMS.