Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda> Cloud Container Engine> Referencia de la API> Políticas de permisos y acciones admitidas
Actualización más reciente 2023-08-14 GMT+08:00
Ver PDF

Políticas de permisos y acciones admitidas

En este capítulo se describe la gestión detallada de permisos para su CCE. Si su cuenta no necesita los usuarios individuales de IAM, puede omitir este capítulo.

De forma predeterminada, los nuevos usuarios de IAM no tienen permisos asignados. Debe agregar un usuario a uno o más grupos y adjuntar políticas o roles de permisos a estos grupos. Los usuarios heredan permisos de los grupos a los que se agregan y pueden realizar operaciones específicas a servicios en la nube según los permisos. Para obtener más información acerca de la sintaxis de políticas y los ejemplos de políticas, vea la Gestión de permisos.

Los permisos se clasifican en roles y políticas según la granularidad de la autorización. Los roles son un tipo de mecanismo de autorización basado en servicios y de grano grueso que define permisos relacionados con las responsabilidades del usuario. Las políticas definen los permisos basados en API para operaciones en los recursos específicos bajo las ciertas condiciones, lo que permite un control de acceso más detallado y seguro de los recursos en la nube.

Si desea permitir o denegar el acceso a una API, la autorización detallada es una buena opción.

Una cuenta tiene todos los permisos necesarios para invocar a todas las API, pero a los usuarios de IAM se les deben asignar los permisos para invocar a las API requeridas. Los permisos necesarios para invocar a una API están determinados por las acciones admitidas por la API. Solo los usuarios a los que se les han concedido permisos pueden invocar a la API correctamente. Por ejemplo, si un usuario de IAM desea consultar ECS mediante una API, se deben tener permisos que permitan la acción ecs:servers:list.

Acciones admitidas

Hay dos tipos de políticas: las definidas por el sistema y las personalizadas. Si los permisos preestablecidos en el sistema no cumplen con sus requisitos, puede crear las políticas personalizadas y aplicarlas a los grupos de usuarios para un control de acceso refinado. Las operaciones admitidas por las políticas son específicas de las API. Los siguientes son conceptos comunes relacionados con las políticas:

  • Permiso: una declaración en una política que permite o niega ciertas operaciones.
  • API: las API de REST que se pueden invocar en una política personalizada.
  • Acciones: agregadas a una política personalizada para controlar los permisos para operaciones específicas.
  • Acciones dependientes: acciones de las que depende una acción específica para tener efecto. Al asignar permisos para la acción a un usuario, también debe asignar permisos para las acciones dependientes.
  • Proyectos de IAM y proyectos de empresa: tipo de proyectos para los que una acción entrará en vigor. Las políticas que contienen las acciones que admiten los proyectos de IAM y de empresa se pueden asignar a los grupos de usuarios y tener efecto tanto en IAM como en Enterprise Management. Las políticas que solo contienen las acciones que admiten los proyectos de IAM se pueden asignar a los grupos de usuarios y solo tienen efecto para IAM. Dichas políticas no entrarán en vigor si se asignan a los grupos de usuarios en Enterprise Management. Para obtener más información, consulte ¿Cuáles son las diferencias entre IAM y Enterprise Management?

La marca de verificación (√) y el símbolo de cruz (x) indican respectivamente que una acción tiene efecto o no tiene efecto para el tipo correspondiente de proyectos.

CCE admite las siguientes acciones que se pueden definir en las políticas personalizadas:

Tabla 1 Cluster

Permiso

API

Acción

Proyectos de IAM

Proyecto empresarial

Listado de clústeres en un proyecto especificado

GET /api/v3/projects/{project_id}/clusters

cce:cluster:list

Obtención de información acerca de un clúster especificado

GET /api/v3/projects/{project_id}/clusters/{cluster_id}

cce:cluster:get

Creación de un clúster

POST /api/v3/projects/{project_id}/clusters

cce:cluster:create

Actualización de información acerca de un clúster especificado

PUT /api/v3/projects/{project_id}/clusters/{cluster_id}

cce:cluster:update

Eliminación de un clúster

DELETE /api/v3/projects/{project_id}/clusters/{cluster_id}

cce:cluster:delete

Despierta de un clúster

POST /api/v3/projects/{project_id}/clusters/{cluster_id}/operation/awake

cce:cluster:start

Hibernación de un clúster

POST /api/v3/projects/{project_id}/clusters/{cluster_id}/operation/hibernate

cce:cluster:stop

Obtención de un certificado de clúster

POST /api/v3/projects/{project_id}/clusters/{cluster_id}/clustercert

cce:cluster:get

Tabla 2 Node

Permiso

API

Acción

Proyectos de IAM

Proyecto empresarial

Obtención de información acerca de todos los nodos de un clúster

GET /api/v3/projects/{project_id}/clusters/{cluster_id}/nodes

cce:node:list

Obtención de información acerca de un nodo especificado

GET /api/v3/projects/{project_id}/clusters/{cluster_id}/nodes/{node_id}

cce:node:get

Creación de un nodo

POST /api/v3/projects/{project_id}/clusters/{cluster_id}/nodes

cce:node:create

Actualización de información acerca de un nodo especificado

PUT /api/v3/projects/{project_id}/clusters/{cluster_id}/nodes/{node_id}

cce:node:update

Eliminación de un nodo

DELETE /api/v3/projects/{project_id}/clusters/{cluster_id}/nodes/{node_id}

cce:node:delete

Tabla 3 Job

Permiso

API

Acción

Proyectos de IAM

Proyecto empresarial

Obtención de información sobre un trabajo

GET /api/v3/projects/{project_id}/jobs/{job_id}

cce:job:get

Tabla 4 Nodepool

Permiso

API

Acción

Proyectos de IAM

Proyecto empresarial

Obtención de información sobre todos los pools de nodos de un clúster especificado

GET /api/v3/projects/{project_id}/clusters/{cluster_id}/nodepools

cce:nodepool:list

Obtención de información sobre un pool de nodo

GET /api/v3/projects/{project_id}/clusters/{cluster_id}/nodepools/{nodepool_id}

cce:nodepool:get

Creación de un pool de nodos

POST /api/v3/projects/{project_id}/clusters/{cluster_id}/nodepools

cce:nodepool:create

Actualización de información sobre un pool de nodos

PUT /api/v3/projects/{project_id}/clusters/{cluster_id}/nodepools/{nodepool_id}

cce:nodepool:update

Eliminación de un pool de nodo

DELETE /api/v3/projects/{project_id}/clusters/{cluster_id}/nodepools/{nodepool_id}

cce:nodepool:delete

Tabla 5 Storage

Permiso

API

Acción

Proyectos de IAM

Proyecto empresarial

Creación de un PersistentVolumeClaim

POST /api/v1/namespaces/{namespace}/cloudpersistentvolumeclaims

cce:storage:create

Eliminación de un PersistentVolumeClaim

DELETE /api/v1/namespaces/{namespace}/cloudpersistentvolumeclaims/{name}

cce:storage:delete

Tabla 6 Addon

Permiso

API

Acción

Proyectos de IAM

Proyecto empresarial

Creación de una instancia de complemento

POST /api/v3/addons

cce:addonInstance:create

Obtención de información sobre una instancia de complemento

GET /api/v3/addons/{id}?cluster_id={cluster_id}

cce:addonInstance:get

Listado de todas las instancias de complementos

GET /api/v3/addons?cluster_id={cluster_id}

cce:addonInstance:list

Eliminación de una instancia de complemento

DELETE /api/v3/addons/{id}?cluster_id={cluster_id}

cce:addonInstance:delete

Actualización de una instancia de complemento

PUT /api/v3/addons/{id}

cce:addonInstance:update

Tabla 7 Quota

Permiso

API

Acción

Proyectos de IAM

Proyecto empresarial

Consulta de detalles de cuota

GET /api/v3/projects/{project_id}/quotas

cce:quota:get