Políticas de permisos y acciones admitidas
Esta sección describe la gestión de permisos detallados para su servicio GaussDB(DWS) mediante IAM. Puede omitir esta sección si su cuenta de Huawei Cloud ya satisface sus necesidades.
De forma predeterminada, los nuevos usuarios de IAM no tienen permisos asignados. Debe agregar los usuarios a uno o más grupos y adjuntar políticas o roles de permisos a estos grupos. Los usuarios heredan permisos de los grupos a los que se agregan y pueden realizar operaciones específicas a servicios en la nube según los permisos. Los usuarios están autorizados mediante la creación de políticas personalizadas. Para obtener más información, consulte Creación de una política personalizada de GaussDB(DWS).
Puede conceder permisos a los usuarios mediante Roles y Políticas. Los roles son proporcionados por IAM para definir permisos basados en servicios dependiendo de las responsabilidades del trabajo de los usuarios. Las políticas definen permisos basados en API para operaciones en recursos específicos bajo ciertas condiciones, lo que permite un control de acceso más detallado y seguro de los recursos en la nube.

La autorización basada en políticas es útil si desea permitir o denegar el acceso a una API.
Una cuenta tiene todos los permisos necesarios para llamar a todas las API, pero los usuarios de IAM deben tener los permisos requeridos específicamente asignados. Los permisos necesarios para llamar a una API están determinados por las acciones admitidas por la API. Solo los usuarios a los que se les han concedido permisos para permitir las acciones pueden llamar a la API con éxito. Por ejemplo, si un usuario de IAM desea consultar la lista de clústeres de GaussDB(DWS) mediante una API, se deben haber concedido permisos al usuario que permitan la acción dws:openAPICluster:list.
Acciones soportadas
DWS proporciona políticas definidas por el sistema que se pueden utilizar directamente en IAM. También puede crear políticas personalizadas y utilizarlas para complementar las políticas definidas por el sistema, implementando un control de acceso más refinado. Las acciones admitidas por las políticas son específicas de las API. Los siguientes son conceptos comunes relacionados con las políticas:
- Permissions: permitir o denegar operaciones en recursos especificados bajo condiciones específicas.
- APIs: RESTful APIs que se pueden llamar en una política personalizada.
- Actions: Agregados a una política personalizada para controlar los permisos para operaciones específicas.
- IAM or enterprise projects: Tipo de proyectos para los que una acción tendrá efecto. Las políticas que contienen acciones que admiten proyectos de IAM y de empresa se pueden asignar a grupos de usuarios y tener efecto tanto en IAM como en Enterprise Management. Las políticas que solo contienen acciones que admiten proyectos de IAM se pueden asignar a grupos de usuarios y solo tienen efecto para IAM. Dichas políticas no entrarán en vigor si se asignan a grupos de usuarios en Enterprise Management. Para obtener más información sobre las diferencias entre IAM y proyectos de empresa, consulte ¿Cuáles son las diferencias entre IAM y Gestión empresarial?.
La marca de verificación (√) indica que una acción tiene efecto. La marca de cruz (x) indica que una acción no tiene efecto.
GaussDB(DWS) admite las siguientes acciones que se pueden definir en políticas personalizadas:
Administración de clústeres
Permissions |
APIs |
Actions |
IAM Project |
Enterprise Project |
---|---|---|---|---|
Creación de clústeres |
POST /v1.0/{project_id}/clusters |
dws:openAPICluster:create |
√ |
x |
Consulta de la lista de clústeres |
GET /v1.0/{project_id}/clusters |
dws:openAPICluster:list |
√ |
x |
Consulta de los detalles del clúster |
GET /v1.0/{project_id}/clusters/{cluster_id} |
dws:openAPICluster:getDetail |
√ |
x |
Consulta del tipo de nodo |
GET /v2/{project_id}/node-types |
dws:openAPIFlavors:get |
√ |
x |
Eliminación de clústeres |
DELETE /v1.0/{project_id}/clusters/{cluster_id} |
dws:openAPICluster:delete |
√ |
x |
Reinicio de clústeres |
POST /v1.0/{project_id}/clusters/{cluster_id}/restart |
dws:openAPICluster:restart |
√ |
x |
Escalamiento de un clúster. |
POST /v1.0/{project_id}/clusters/{cluster_id}/resize |
dws:cluster:scaleOutOrOpenAPIResize |
√ |
x |
Restablecimiento de la contraseña de administrador del clúster |
POST /v1.0/{project_id}/clusters/{cluster_id}/reset-password |
dws:openAPICluster:resetPassword |
√ |
x |
Gestión de instantáneas
Permissions |
APIs |
Actions |
IAM Project |
Enterprise Project |
---|---|---|---|---|
Creación de instantáneas |
POST /v1.0/{project_id}/snapshots |
dws:openAPISnapshot:create |
√ |
x |
Consulta de la lista de instantáneas |
GET /v1.0/{project_id}/snapshots |
dws:openAPISnapshot:list |
√ |
x |
Consulta de detalles de instantáneas |
GET /v1.0/{project_id}/snapshots/{snapshot_id} |
dws:openAPISnapshot:detail |
√ |
x |
Eliminación de instantáneas |
DELETE /v1.0/{project_id}/snapshots/{snapshot_id} |
dws:openAPISnapshot:delete |
√ |
x |
Restauración de clústeres |
POST /v1.0/{project_id}/snapshots/{snapshot_id}/actions |
dws:openAPISnapshot:restore |
√ |
x |