Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda/ Direct Connect/ Referencia de la API/ Permisos y acciones admitidas/ Introducción
Actualización más reciente 2024-09-14 GMT+08:00
Ver PDF
Compartir

Introducción

Puede usar Identity and Access Management (IAM) para la gestión detallada de permisos de sus recursos de Direct Connect. Si su ID de HUAWEI no necesita usuarios individuales de IAM, puede omitir este tema.

Con IAM, puede controlar el acceso a recursos específicos en la nube. IAM admite la autorización basada en roles/políticas y la autorización basada en políticas de identidad.

En la siguiente tabla se describen las diferencias entre los dos modelos de autorización.

Tabla 1 Differences between role/policy-based and identity policy-based authorization

Name

Authorization Using

Permissions

Authorization Method

Scenario

Role/Policy

User-permission-authorization scope
  • System-defined roles
  • System-defined policies
  • Custom policies

Assigning roles or policies to principals

To authorize a user, you need to add it to a user group first and then specify the scope of authorization. It is hard to provide fine-grained permissions control using authorization by user groups and a limited number of condition keys. This method is suitable for small- and medium-sized enterprises.

Identity policy

Policies
  • System-defined identity policies
  • Custom policies
  • Assigning identity policies to principals
  • Attaching identity policies to principals

You can authorize a user by attaching an identity policy to it. User-specific authorization and a variety of key conditions allow for more fine-grained permissions control. However, this model can be hard to set up. It requires a certain amount of expertise and is suitable for medium- and large-sized enterprises.

Supongamos que desea conceder a los usuarios de IAM el permiso para crear los ECS en CN North-Beijing4 y buckets de OBS en CN South-Guangzhou. Con la autorización basada en roles/políticas, el administrador debe crear dos políticas personalizadas y adjuntar ambas a los usuarios de IAM. Con la autorización basada en políticas de identidad, el administrador solo necesita crear una política personalizada y configurar la clave de condición g:RequestedRegion para la política y, a continuación, adjuntar la política a los usuarios o conceder a los usuarios los permisos de acceso a las regiones especificadas. La autorización basada en políticas de identidad es más flexible que la autorización basada en roles/políticas.

Las políticas y acciones de los dos modelos de autorización no son interoperables. Se recomienda utilizar el modelo de autorización basado en políticas de identidad.

Si usa usuarios de IAM en su cuenta para invocar a una API, se deben conceder los permisos necesarios a los usuarios de IAM. Los permisos necesarios para invocar a una API están determinados por las acciones admitidas por la API. Solo los usuarios a los que se les han concedido permisos para permitir las acciones pueden invocar a la API con éxito.

Supongamos que un usuario de IAM desea invocar a una API para consultar conexiones. Con la autorización basada en roles/políticas, el usuario IAM debe disponer de los permisos que le permitan la acción dcaas:directConnect:list. Con la autorización basada en políticas de identidad, el usuario IAM debe disponer de los permisos que le permitan la acción dcaas:directConnect:list.