Introducción
En este capítulo se describe la gestión detallada de permisos para su CDN. Si su cuenta de Huawei Cloud no necesita usuarios individuales de IAM, puede omitir este capítulo.
De forma predeterminada, los nuevos usuarios de IAM no tienen ningún permiso asignado. Debe agregar un usuario a uno o más grupos y asignar políticas de permisos a estos grupos. A continuación, el usuario hereda los permisos de los grupos de los que es miembro. Este proceso se llama autorización. Después de la autorización, el usuario puede realizar operaciones especificadas en CDN basadas en los permisos.
Puede conceder permisos a los usuarios mediante roles y políticas. Los roles son un tipo de mecanismo de autorización basado en servicios y de grano grueso que define permisos relacionados con las responsabilidades del usuario. Las políticas definen permisos basados en API para operaciones en recursos específicos bajo ciertas condiciones, lo que permite un control de acceso más detallado y seguro de los recursos en la nube.
Si desea permitir o denegar el acceso a una API, la autorización detallada es una buena opción.
Una cuenta tiene todos los permisos necesarios para llamar a todas las API, pero los usuarios de IAM deben tener los permisos requeridos específicamente asignados. Los permisos necesarios para llamar a una API están determinados por las acciones admitidas por la API. Solo los usuarios a los que se les han concedido permisos para permitir las acciones pueden llamar a la API con éxito. Por ejemplo, si un usuario de IAM consulta la lista de nombres de dominio acelerados de CDN mediante una API, se deben haber concedido permisos al usuario que permitan la acción cdn:configuration:queryDomains.
Acciones soportadas
CDN proporciona políticas definidas por el sistema que se pueden usar directamente en IAM. También puede crear políticas personalizadas y utilizarlas para complementar las políticas definidas por el sistema, implementando un control de acceso más refinado. Las operaciones admitidas por las políticas son específicas de las API. Los siguientes son conceptos comunes relacionados con las políticas:
- Permisos: Instrucciones de una política que permiten o niegan ciertas operaciones.
- APIs: REST APIs que se pueden llamar en una política personalizada.
- Acciones: Agregó a una política personalizada para controlar los permisos para operaciones específicas.
- IAM o proyectos de empresa: Tipo de proyectos para los que una acción tendrá efecto. Las políticas que contienen acciones que admiten proyectos de IAM y de empresa se pueden asignar a grupos de usuarios y tener efecto tanto en IAM como en Enterprise Management. Las políticas que solo contienen acciones que admiten proyectos de IAM se pueden asignar a grupos de usuarios y solo tienen efecto para IAM. Estas políticas no tendrán efecto si se asignan a grupos de usuarios en Enterprise Management. Para más detalles sobre las diferencias entre IAM y proyectos empresariales, consulte Diferencias entre proyectos IAM y proyectos empresariales.
La marca de verificación (√) indica que una acción tiene efecto. La marca de cruz (x) indica que una acción no tiene efecto.
CDN admite las siguientes acciones que se pueden definir en directivas personalizadas:
- [Ejemplo] Actuazlización y precalentamiento, incluyendo los elementos de autorización correspondientes a todas las interfaces de actualización y precalentamiento de la CDN, tal como consultar el historial de actualización y precalentamiento, habilitar la función de actualización y habilitar la función de precalentamiento.
- [Ejemplo] Operaciones de nombres de dominio, incluidos los elementos de autorización correspondientes a las interfaces de operación de nombres de dominio de CDN, como consultar nombres de dominio, crear un nombre de dominio, deshabilitar nombres de dominio, habilitar nombres de dominio y eliminar nombres de dominio.
