Políticas de permisos y acciones admitidas
En este capítulo se describe la gestión detallada de permisos para su DCS. Si su cuenta no necesita usuarios individuales de IAM, puede omitir las configuraciones descritas en este capítulo.
De forma predeterminada, los nuevos usuarios de IAM no tienen ningún permiso asignado. Debe agregar un usuario a uno o más grupos y asignar políticas de permisos a estos grupos. A continuación, el usuario hereda los permisos de los grupos de los que es miembro. Este proceso se llama autorización. Después de la autorización, el usuario puede realizar operaciones específicas en los servicios en la nube en función de los permisos.
Puede conceder permisos a los usuarios mediante roles y políticas. Los roles son un tipo de mecanismo de autorización de grano grueso que define permisos relacionados con las responsabilidades del usuario. Las políticas definen permisos basados en API para operaciones en recursos específicos bajo ciertas condiciones, lo que permite un control de acceso más detallado y seguro de los recursos en la nube.
Se recomienda la autorización basada en políticas si desea permitir o denegar el acceso a una API.
Una cuenta tiene todos los permisos necesarios para llamar a todas las API, y a los usuarios de IAM se les deben asignar los permisos necesarios. Los permisos necesarios para llamar a una API están determinados por las acciones admitidas por la API. Solo los usuarios a los que se les han concedido permisos para permitir las acciones pueden llamar a la API con éxito. Por ejemplo, si un usuario de IAM desea consultar ECS mediante una API, se deben tener permisos que permitan la acción dcs:servers:list.
Acciones admitidas
DCS proporciona políticas definidas por el sistema, que se pueden usar directamente en IAM. También puede crear directivas personalizadas para complementar las directivas definidas por el sistema para un control de acceso más refinado. Las acciones admitidas por las políticas son específicas de las API. Los conceptos comunes relacionados con las políticas incluyen:
- Permisos: Permitir o denegar ciertas operaciones.
- APIs: APIs que serán llamadas para realizar ciertas operaciones.
- Acciones: Agregó a una política personalizada para controlar los permisos para operaciones específicas.
- Acciones dependientes: Al asignar permisos para una acción, también debe asignar permisos para las acciones dependientes.
- Proyectos IAM y proyectos de empresa: tipo de proyectos para los que una acción tendrá efecto. Las políticas que contienen acciones que admiten proyectos de IAM y de empresa se pueden asignar a grupos de usuarios y tener efecto tanto en IAM como en Enterprise Management. Si una acción solo admite proyectos de IAM, la política solo tendrá efecto para los grupos de usuarios asignados en IAM. Los administradores pueden comprobar si una acción admite proyectos de IAM o proyectos de empresa en la lista de acciones. "√" indica que la acción apoya el proyecto y "×" indica que la acción no apoya el proyecto. Para obtener más información sobre las diferencias entre IAM y la gestión empresarial, consulte ¿Cuáles son las diferencias entre IAM y Enterprise Management?
Tabla 1 enumera las acciones de la API admitidas por DCS.
Permiso |
Acción |
API |
Proyectos IAM |
Proyecto empresarial |
|---|---|---|---|---|
Creación de una instancia DCS |
dcs:instance:create |
POST /v1.0/{project_id}/instances |
√ |
√ |
Consultar una instancia |
dcs:instance:get |
GET /v1.0/{project_id}/instances/{instance_id} |
√ |
√ |
Modificación de la información sobre una instancia |
dcs:instance:modify |
PUT /v1.0/{project_id}/instances/{instance_id} |
√ |
√ |
Eliminación de una instancia |
dcs:instance:delete |
DELETE /v1.0/{project_id}/instances/{instance_id} |
√ |
√ |
Escalamiento de una instancia |
dcs:instance:scale |
POST /v1.0/{project_id}/instances/{instance_id}/extend |
√ |
√ |
Consultar todas las instancias |
dcs:instance:list |
GET /v1.0/{project_id}/instances |
√ |
√ |
Consultar parámetros de configuración de instancia |
dcs:instance:getConfiguration |
GET /v1.0/{project_id}/instances/{instance_id}/configs |
√ |
√ |
Modificación de parámetros de configuración de instancia |
dcs:instance:modifyConfigureation |
PUT /v1.0/{project_id}/instances/{instance_id}/configs |
√ |
√ |
Reiniciar una instancia o borrar datos de instancia |
dcs:instance:modifyStatus |
PUT /v1.0/{project_id}/instances/status |
√ |
√ |
Cambio de la contraseña de instancia |
dcs:instance:modifyAuthInfo |
PUT /v1.0/{project_id}/instances/{instance_id}/password |
√ |
√ |
Copia de respaldo de una instancia |
dcs:instance:backupData |
POST /v1.0/{project_id}/instances/{instance_id}/backups |
√ |
√ |
Restauración de una instancia |
dcs:instance:restoreData |
POST /v1.0/{project_id}/instances/{instance_id}/restores |
√ |
√ |
Consulta de registros de copia de respaldo |
dcs:instance:getDataBackupLog |
GET /v1.0/{project_id}/instances/{instance_id}/backups |
√ |
√ |
Consultar registros de restauración |
dcs:instance:getDataRestoreLog |
GET /v1.0/{project_id}/instances/{instance_id}/restores |
√ |
√ |
Eliminación de archivos de copia de respaldo |
dcs:instance:deleteDataBackupFile |
DELETE /v1.0/{project_id}/instances/{instance_id}/backups/{backup_id} |
√ |
√ |
Consultar tareas en segundo plano |
dcs:instance:getBackgroundTask |
GET /v1.0/{project_id}/instances/{instance_id}/tasks |
√ |
√ |
Eliminar tareas en segundo plano |
dcs:instance:deleteBackgroundTask |
DELETE /v1.0/{project_id}/instances/{instance_id}/tasks/{task_id} |
√ |
√ |
Restablecimiento de la contraseña de instancia |
dcs:instance:resetAuthInfo |
API not supported. |
√ |
√ |
Descargar archivos de copia de respaldo |
dcs:instance:downloadBackupData |
API not supported. |
√ |
√ |
Migración de datos |
dcs:instance:migrateData |
API not supported. |
√ |
√ |
Web CLI |
dcs:instance:webcli |
API not supported. |
√ |
√ |
Modificación de la lista blanca de una instancia |
dcs:whitelist:modify |
PUT /v2/{project_id}/instance/{instance_id}/whitelist |
√ |
√ |
Obtención de la lista blanca de una instancia |
dcs:whitelist:list |
GET /v2/{project_id}/instance/{instance_id}/whitelist |
√ |
√ |
Creación de un usuario para acceder a una instancia |
dcs:aclaccount:create |
POST /v2/{project_id}/instances/{instance_id}/accounts |
√ |
√ |
Eliminación de un usuario de instancia |
dcs:aclaccount:delete |
DELETE /v2/{project_id}/instances/{instance_id}/accounts/{account_id} |
√ |
√ |
Modifying the information about an instance user |
dcs:aclaccount:modify |
PUT /v2/{project_id}/instances/{instance_id}/accounts/{account_id} |
√ |
√ |
Obtención de la lista de usuarios de instancia |
dcs:aclaccount:list |
GET /v2/{project_id}/instances/{instance_id}/accounts |
√ |
√ |
