Introducción
En este tema se describe la gestión detallada de permisos para los recursos de DNS. Omita este tema si su cuenta de Huawei Cloud no necesita usuarios individuales de IAM.
De forma predeterminada, los nuevos usuarios de IAM no tienen permisos concedidos. Debe agregar un usuario a uno o más grupos y asignar políticas o roles a estos grupos. A continuación, el usuario hereda los permisos de los grupos de los que es miembro. Este proceso se llama autorización. Después de la autorización, el usuario puede realizar operaciones específicas en los servicios en la nube en función de los permisos.
Puede conceder permisos a los usuarios mediante roles y políticas. Los roles son un tipo de mecanismo de autorización de grano grueso que define permisos relacionados con las responsabilidades del usuario. Las políticas definen permisos basados en API para operaciones en recursos específicos bajo ciertas condiciones, lo que permite un control de acceso más detallado y seguro de los recursos en la nube.
La autorización basada en políticas es útil si desea permitir o denegar el acceso a una API.
Una cuenta tiene permisos para invocar a todas las API, pero los usuarios de IAM deben tener los permisos requeridos específicamente asignados. Los permisos necesarios para invocar a una API están determinados por las acciones admitidas por la API. Solo los usuarios a los que se les han concedido permisos para permitir las acciones pueden invocar a la API con éxito. Por ejemplo, si un usuario de IAM consulta la lista de zonas públicas mediante una API, el usuario debe tener permisos que permitan la acción dns:zone:list.
Acciones admitidas
DNS proporciona políticas definidas por el sistema que se pueden utilizar directamente en IAM. También puede crear políticas personalizadas y utilizarlas para complementar las políticas definidas por el sistema, implementando un control de acceso más refinado. Las acciones admitidas por las políticas son específicas de las API. Los siguientes son conceptos comunes relacionados con las políticas:
- Permiso: Sentencia de una política que permite o niega ciertas operaciones.
- APIs: Las API de REST que se pueden invocar en una política personalizada.
- Acciones: Agregadas a una política personalizada para controlar los permisos para operaciones específicas.
- Acciones relacionadas: Acciones de las que depende una acción específica para que surtan efecto. Al asignar permisos para la acción a un usuario, también debe asignar permisos para las acciones dependientes.
- Proyectos de IAM o proyectos de empresa: Tipo de proyectos en los que se pueden utilizar políticas para conceder permisos. Una política se puede aplicar a proyectos de IAM, proyectos de empresa o ambos. Las políticas que contienen acciones que soportan proyectos de IAM y proyectos de empresa se pueden asignar a grupos de usuarios y tener efecto tanto en IAM como en Enterprise Management. Las políticas que solo contienen acciones que admiten proyectos de IAM se pueden asignar a grupos de usuarios y solo tienen efecto en IAM. Dichas políticas no entrarán en vigor si se asignan a grupos de usuarios en Enterprise Management. Para obtener más información sobre las diferencias entre IAM y la gestión empresarial, consulte ¿Cuáles son las diferencias entre IAM y la gestión empresarial?
La marca de verificación (√) indica que una acción tiene efecto. La marca de cruz (x) indica que una acción no tiene efecto.
DNS admite las siguientes acciones que se pueden definir en políticas personalizadas:
- Gestión de zonas: contiene acciones admitidas por todas las API de gestión de zonas, como la API para crear una zona.
- Gestión de conjuntos de registros: contiene acciones admitidas por todas las API de gestión de conjuntos de registros, como la API para crear un conjunto de registros.
- Gestión de registros de PTR: contiene acciones admitidas por todas las API de gestión de registros PTR, como la API para crear un registro de PTR.
- Gestión de etiquetas: contiene acciones admitidas por todas las API de gestión de etiquetas, como la API para agregar una etiqueta de recurso.
- Importación de conjuntos de registros: contiene acciones admitidas por todas las API de gestión de importación de conjuntos de registros, como la API para crear una tarea para importar conjuntos de registros de zona pública.
- Línea personalizada contiene acciones admitidas por todas las API de gestión de líneas personalizadas, como la API para crear una línea personalizada.
- Gestión de recursos públicos: contiene acciones compatibles con las API para consultar la lista de servidores de DNS y las cuotas de recursos de DNS.