Introducción
Puede utilizar Identity and Access Management (IAM) para una gestión detallada de permisos de los recursos de EVS. Si su cuenta de Huawei Cloud no necesita usuarios individuales de IAM, puede omitar esta sección.
Los nuevos usuarios de IAM no tienen ningún permiso asignado de forma predeterminada. Primero debe agregarlos a uno o más grupos y adjuntar políticas o roles a estos grupos. A continuación, los usuarios heredan los permisos de los grupos y pueden realizar operaciones específicas en servicios en la nube en función de los permisos que se les han asignado.
Puede otorgar a los permisos de usuario con roles y políticas. IAM proporciona los roles para definir permisos basados en servicios que coinciden con las responsabilidades del trabajo de los usuarios. Las políticas definen los permisos basados en API para operaciones en los recursos específicos bajo las ciertas condiciones, lo que permite un control de acceso más detallado y seguro de los recursos en la nube.
Si desea permitir o denegar el acceso a una API, utilice la autorización basada en políticas.
Cada cuenta tiene todos los permisos necesarios para invocar a todas las API, pero se debe otorgar a los usuarios de IAM los permisos necesarios. Los permisos necesarios para invocar a una API están determinados por las acciones admitidas por la API. Solo los usuarios a los que se les han concedido permisos para permitir las acciones pueden invocar a la API con éxito. Por ejemplo, si un usuario de IAM desea consultar discos de EVS por una API, debe haber otorgado permisos que permitan la acción evs:volumes:list.
Acciones admitidas
EVS proporciona políticas definidas por el sistema que se pueden usar directamente en IAM. También puede crear políticas personalizadas para complementar las políticas definidas por el sistema para un control de acceso más refinado. Las operaciones admitidas por las políticas son específicas de las API. Los siguientes son conceptos comunes relacionados con las políticas:
- Permisos: Instrucciones de una política que permiten o niegan ciertas operaciones
- APIs: Las API de REST que pueden ser invocadas por un usuario al que se le han concedido permisos específicos
- Acciones: las operaciones específicas que están permitidas o denegadas
- Dependencias: acciones de las que depende una acción específica. Al permitir una acción para un usuario, también debe permitir cualquier dependencia de acción existente para ese usuario.
- Proyectos de IAM/Proyectos Empresariales: el alcance de autorización de una política personalizada. Se puede aplicar una política personalizada a proyectos de IAM o de empresa, o a ambos. Las políticas que contienen acciones tanto para IAM como para proyectos empresariales se pueden usar y aplicar tanto para IAM como para Enterprise Management. Las políticas que contienen acciones solo para proyectos de IAM se pueden usar y aplicar a IAM únicamente. Para obtener más detalles sobre las diferencias entre IAM y gestión empresarial, consulte Diferencias entre IAM y gestión empresarial.
EVS admite las siguientes acciones que se pueden definir en políticas personalizadas:
- Acciones de consulta de versión de API (Consulta de versión de API), incluidas las acciones compatibles con las API de consulta de versión de EVS, como las API para consultar versiones de API.
- Acciones de disco (Disco), incluidas las acciones admitidas por las API de disco de EVS, como las API para crear un disco, consultar discos, eliminar un disco y actualizar un disco.
- Acciones de acciones de disco (Acción de disco), incluidas las acciones admitidas por acciones de disco EVS, como las API para ampliar la capacidad de un disco, exportar un disco como una imagen y establecer un indicador de solo lectura para un disco.
- Acciones de instantáneas (Instantánea), incluidas las acciones compatibles con las API de instantáneas de EVS, como las API para crear una instantánea, consultar instantáneas, actualizar una instantánea y eliminar una instantánea.
- Acciones de etiquetas (Etiqueta), incluidas las acciones compatibles con las API de etiquetas EVS, como las API para eliminar etiquetas por clave, agregar etiquetas por lotes, eliminar etiquetas por lotes y consultar etiquetas.
- Acciones de transferencia de disco (Transferencia de disco), incluidas las acciones admitidas por las API de transferencia de disco de EVS, como las API para crear una transferencia de disco, consultar transferencias de disco, aceptar una transferencia de disco y eliminar una transferencia de disco.