Acciones admitidas por la autorización basada en políticas de identidad
IAM proporciona políticas de identidad definidas por el sistema para definir acciones comunes admitidas por los servicios en la nube. También puede crear políticas de identidad personalizadas utilizando las acciones admitidas por los servicios en la nube para un control de acceso más refinado.
Además de IAM, el servicio Organizations también proporciona Políticas de control de servicios (SCP) para establecer políticas de control de acceso.
Las SCP no otorgan ningún permiso a un principal. Solo establecen el límite de permisos para el principal. Cuando las SCP se adjuntan a una cuenta miembro o a una unidad organizativa (OU), no otorgan permisos directamente a esa cuenta miembro o a esa OU. En cambio, las SCP solo determinan qué permisos están disponibles para esa cuenta miembro o las cuentas miembro de esa OU. Los permisos otorgados solo se pueden aplicar si las SCP los permiten.
Para obtener más información sobre cómo IAM es diferente de Organizaciones para el control de acceso, consulte ¿Cuáles son las diferencias en el control de acceso entre IAM y Organizations?
Esta sección describe los elementos utilizados por las políticas de identidad personalizadas de IAM y las SCP de Organizations. Los elementos incluyen acciones, recursos y condiciones.
- Para obtener más información sobre cómo utilizar estos elementos para editar una política de identidad personalizada de IAM, consulte Creación de una política de identidad personalizada.
- Para obtener más información sobre cómo utilizar estos elementos para crear una SCP personalizada, consulte Creación de una SCP.
Acciones
Las acciones son operaciones específicas que se permiten o deniegan en una política de identidad.
- La columna Access Level describe cómo se clasifica la acción (como list, read, o write). Esta clasificación le ayuda a comprender el nivel de acceso que otorga una acción cuando la utiliza en una política de identidad.
- La columna Resource Type indica si la acción admite permisos a nivel de recurso.
- Puede utilizar un carácter comodín (*) para indicar todos los tipos de recursos. Si esta columna está vacía (-), la acción no admite permisos a nivel de recurso y debe especificar todos los recursos ("*") en las declaraciones de su política de identidad.
- Si esta columna incluye un tipo de recurso, debe especificar el URN en el elemento Recurso de sus declaraciones.
- Los recursos requeridos se marcan con asteriscos (*) en la tabla. Si especifica un recurso en una sentencia mediante esta acción, este debe ser de este tipo.
Para obtener más información sobre los tipos de recursos definidos por EVS, consulte Recursos.
- La columna Condition Key contiene claves que puede especificar en el elemento Condición de una sentencia de política de identidad.
- Si la columna Resource Type tiene valores para una acción, la clave de condición solo tiene efecto para los tipos de recursos enumerados.
- Si la columna Resource Type está vacía (-) para una acción, la clave de condición tiene efecto para todos los recursos que admite esa acción.
- Si la columna Condition Key está vacía (-) para una acción, la acción no admite ninguna clave de condición.
Para obtener más información sobre las claves de condición definidas por EVS, consulte Condiciones.
- La columna Alias enumera las acciones de política que se configuran en las políticas de identidad. Con estas acciones, puede utilizar las API para la autorización basada en políticas. Para obtener más información, consulte Políticas y políticas de identidad.
La siguiente tabla enumera las acciones que puede definir en las sentencias de política de identidad para EVS.
| Acción | Descripción | Nivel de acceso | Tipo de recurso (*: obligatorio) | Clave de condición | Alias |
|---|---|---|---|---|---|
| evs:volumes:create | Otorga permiso para crear discos. | write | volume * | - | - |
| - |
| ||||
| evs:volumes:list | Otorga permiso para enumerar discos. | list | - | g:EnterpriseProjectId | - |
| evs:volumes:get | Otorga permiso para consultar discos. | read | volume * |
| - |
| evs:volumes:delete | Otorga permiso para eliminar discos. | write | volume * |
| - |
| evs:volumes:update | Otorga permiso para actualizar discos. | write | volume * |
| - |
| evs:volumes:resize | Otorga permiso para expandir capacidades de disco. | write | volume * |
| evs:volumes:extend |
| evs:volumes:modifyQos | Otorga permiso para modificar configuraciones de QoS de disco. | write | volume * |
| evs:volumes:extend |
| evs:volumes:revert | Otorga permiso para recuperar discos de la papelera de reciclaje. | write | volume * |
| - |
| evs:recycle_policy:get | Otorga permiso para consultar la política de la papelera de reciclaje. | read | - | - | - |
| evs:recycle_policy:update | Otorga permisos para actualizar la política de la papelera de reciclaje. | write | - | - | - |
| evs:volumes:changeChargeMode | Otorga permiso para cambiar el modo de facturación de los discos. | write | volume * |
| - |
| evs:snapshots:create | Otorga permiso para crear instantáneas para discos. | write | snapshot * | - | - |
| volume * |
| ||||
| - |
| ||||
| evs:snapshots:list | Otorga permiso para enumerar instantáneas. | list | - | g:EnterpriseProjectId | - |
| evs:snapshots:get | Otorga permiso para consultar instantáneas. | read | - | g:EnterpriseProjectId | - |
| evs:snapshots:delete | Otorga permiso para eliminar instantáneas. | write | - | g:EnterpriseProjectId | - |
| evs:snapshots:update | Otorga permiso para actualizar instantáneas. | write | - | g:EnterpriseProjectId | - |
| evs:snapshots:rollback | Otorga permisos para revertir datos de instantáneas. | write | - | g:EnterpriseProjectId | - |
| evs:types:get | Otorga permisos para consultar tipos de disco. | read | - | - | - |
| evs:quotas:get | Otorga permisos para consultar cuotas de EVS. | read | - | - | - |
| evs:volumes:tagResource | Otorga permisos para agregar etiquetas a un disco. | write | volume * |
| evs:volumeTags:create |
| - |
| ||||
| evs:volumes:unTagResource | Otorga permisos para eliminar etiquetas de un disco. | write | volume * |
| evs:volumeTags:delete |
| - | g:TagKeys | ||||
| evs:volumes:listTags | Otorga permisos para consultar todas las etiquetas de disco de un proyecto. | list | - | - | evs:volumeTags:list |
| evs:volumes:listTagsForResource | Otorga permisos para consultar las etiquetas de disco. | read | volume * |
| evs:volumeTags:getById |
| evs:volumes:listResourcesByTag | Otorga permisos para enumerar discos por etiqueta. | list | - | g:TagKeys | evs:volumeTags:get |
| evs:volumes:use | Otorga permisos para permitir que los ECS y los BMS utilicen discos de EVS. | write | - | g:EnterpriseProjectId | - |
| - |
|
Cada API de EVS generalmente admite una o más acciones. Tabla 2 enumera las acciones y dependencias admitidas.
| API | Acción | Dependencias |
|---|---|---|
| evs:volumes:create | billing:order:pay | |
| evs:volumes:create | - | |
| evs:volumes:create | - | |
| evs:volumes:list | - | |
| evs:volumes:get | - | |
| evs:volumes:delete | - | |
| evs:volumes:update | - | |
| evs:volumes:resize | billing:order:pay | |
| evs:volumes:resize | billing:order:pay | |
| evs:volumes:resize | - | |
| evs:volumes:modifyQos | - | |
| evs:volumes:delete | billing:subscription:unsubscribe | |
| evs:snapshots:create | - | |
| evs:snapshots:list | - | |
| evs:snapshots:get | - | |
| evs:snapshots:delete | - | |
| evs:snapshots:update | - | |
| evs:snapshots:rollback | - | |
| evs:volumes:tagResource | - | |
| POST 01 /v2/{project_id}/cloudvolumes/{volume_id}/tags/action | evs:volumes:unTagResource | - |
| evs:volumes:listTags | - | |
| evs:volumes:listTagsForResource | - | |
| POST /v2/{project_id}/cloudvolumes/resource_instances/action | evs:volumes:listResourcesByTag | - |
Recursos
Un tipo de recurso indica los recursos a los que se aplica una política de identidad. Si especifica un tipo de recurso para cualquier acción en Tabla 3, el URN del recurso debe especificarse en las declaraciones de la política de identidad que utilicen esa acción, y la política de identidad solo se aplica a los recursos de este tipo. Si no se especifica ningún tipo de recurso, el elemento Recurso se marca con un asterisco (*) y la política se aplica a todos los recursos. También puede establecer claves de condición en una política de identidad para definir tipos de recursos.
La siguiente tabla enumera los tipos de recursos que puede definir en las declaraciones de la política de identidad para EVS.
Condiciones
Un elemento Condición le permite especificar condiciones para cuando una política de identidad está en vigor. Contiene claves de condición y operadores.
- La clave de condición que especifique puede ser una clave de condición global o una clave de condición específica del servicio.
- Las claves de condición globales (con el prefijo g:) se aplican a todas las acciones. Los servicios en la nube no necesitan proporcionar información de identidad del usuario. En su lugar, el sistema obtiene automáticamente dicha información y autentica a los usuarios. Para obtener más información, consulte Claves de condición globales.
- Las claves de condición específicas del servicio (con la abreviatura de un nombre de servicio más dos puntos como prefijo, por ejemplo, evs:) se aplican solo a las operaciones de EVS. Para obtener más información, consulte Tabla 4.
- El número de valores asociados a una clave de condición en el contexto de solicitud de una invocación de la API hace que la clave de condición sea de un solo valor o de varios valores. Las claves de condición de un solo valor tienen como máximo un valor en el contexto de solicitud de una invocación de la API. Las claves de condición de varios valores pueden tener varios valores en el contexto de solicitud de una invocación de la API. Por ejemplo, una solicitud puede originarse en un punto de conexión de VPC como máximo, por lo que g:SourceVpce es una clave de condición de un solo valor. Puede etiquetar recursos e incluir varios pares de clave-valor de etiquetas en una solicitud, por lo que g:TagKeys es una clave de condición de varios valores.
- Un operador de condición, una clave de condición y un valor de condición constituyen juntos una sentencia de condición completa. Una política de identidad solo se puede aplicar cuando se cumplen sus condiciones de solicitud. Para obtener más información sobre los operadores de condición admitidos, consulte Operadores de condición.
La siguiente tabla enumera las claves de condición que puede definir en políticas de identidad personalizadas para EVS. Puede incluir estas claves de condición para especificar las condiciones para cuando su política de identidad esté en vigor.
| Clave de condición específica del servicio | Tipo | Valor único/Valores múltiples | Descripción |
|---|---|---|---|
| evs:Encrypted | boolean | Valor único | Filtra el acceso en función de si el disco está encriptado. |
| evs:KmsKeyId | string | Valor único | Filtra el acceso en función del ID de clave utilizado por el disco. |
| evs:ImageId | string | Valor único | Filtra el acceso por ID de imagen. |
| evs:BackupId | string | Valor único | Filtra el acceso por ID de copia de respaldo. |
| evs:SnapshotId | string | Valor único | Filtra el acceso por ID de instantánea. |
| evs:AvailabilityZone | string | Valor único | Filtra el acceso en función de la AZ del disco. |
| evs:SourceAvailabilityZone | string | Valor único | Filtra el acceso por AZ de origen. |
| evs:VolumeType | string | Valor único | Filtra el acceso en función del tipo de disco. |
| evs:VolumeSize | numeric | Valor único | Filtra el acceso en función de la capacidad del disco. |
| evs:VolumeIops | numeric | Valor único | Filtra el acceso en función de las IOPS del disco. |
| evs:VolumeThroughput | numeric | Valor único | Filtra el acceso en función del throughput del disco. |
| evs:ChargingMode | string | Valor único | Filtra el acceso en función del modo de facturación del disco. |
| evs:ServerServiceType | string | Valor único | Filtra el acceso en función del tipo de servicio del servidor en la nube. |
| evs:VolumeId | string | Valor único | Filtra el acceso en función del ID del disco. |
