Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Actualización más reciente 2022-11-07 GMT+08:00

Introducción

En este capítulo se describe la gestión detallada de permisos para su DDS. Si su cuenta no necesita usuarios individuales de IAM, puede omitir este capítulo.

De forma predeterminada, los nuevos usuarios de IAM no tienen permisos asignados. Debe agregar un usuario a uno o más grupos y adjuntar directivas o roles de permisos a estos grupos. Los usuarios heredan permisos de los grupos a los que se agregan y pueden realizar operaciones específicas a servicios en la nube según los permisos.

Puede conceder permisos a los usuarios mediante roles y políticas. Los roles son un tipo de mecanismo de autorización de grano grueso que define permisos relacionados con las responsabilidades del usuario. Las políticas definen permisos basados en API para operaciones en recursos específicos bajo ciertas condiciones, lo que permite un control de acceso más detallado y seguro de los recursos en la nube.

La autorización basada en políticas es útil si desea permitir o denegar el acceso a una API.

Una cuenta tiene todos los permisos necesarios para llamar a todas las API, pero los usuarios de IAM deben tener los permisos requeridos específicamente asignados. Los permisos necesarios para llamar a una API están determinados por las acciones admitidas por la API. Solo los usuarios a los que se les han concedido permisos para permitir las acciones pueden llamar a la API con éxito. Por ejemplo, si un usuario de IAM consulta instancias de base de datos DDS mediante una API, se deben haber concedido permisos al usuario que permitan la acción dds:instance:list.

Acciones soportadas

DDS proporciona políticas definidas por el sistema que se pueden usar directamente en IAM. También puede crear directivas personalizadas y utilizarlas para complementar las directivas definidas por el sistema, implementando un control de acceso más refinado. Las operaciones admitidas por las políticas son específicas de las API. Los siguientes son conceptos comunes relacionados con las políticas:

  • Permiso: Sentencia de una política que permite o niega ciertas operaciones.
  • APIs: REST APIs que se pueden llamar en una política personalizada.
  • Acciones: Agregó a una política personalizada para controlar los permisos para operaciones específicas.
  • Proyectos de IAM o proyectos de empresa: Tipo de proyectos en los que se pueden utilizar políticas para conceder permisos. Una política se puede aplicar a proyectos de IAM, proyectos de empresa o ambos. Las políticas que contienen acciones que admiten proyectos de IAM y de empresa se pueden asignar a grupos de usuarios y tener efecto tanto en IAM como en Enterprise Management. Las políticas que solo contienen acciones que admiten proyectos de IAM se pueden asignar a grupos de usuarios y solo tienen efecto para IAM. Estas directivas no tendrán efecto si se asignan a grupos de usuarios en Enterprise Management. Para más detalles sobre las diferencias entre IAM y proyectos empresariales, consulte Diferencias entre proyectos IAM y proyectos empresariales

Para obtener más información sobre las acciones personalizadas admitidas por DDS, consulte Acciones DDS.