Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Actualización más reciente 2022-11-07 GMT+08:00

Introducción

En esta sección se describe la gestión detallada de permisos para su IMS. Si su cuenta de Huawei Cloud no necesita usuarios individuales de IAM, puede omitir esta sección.

De forma predeterminada, los nuevos usuarios de IAM no tienen ningún permiso asignado. Debe agregar un usuario a uno o más grupos y asignar políticas o roles a estos grupos. A continuación, el usuario hereda los permisos de los grupos de los que es miembro. Este proceso se llama autorización. Después de la autorización, el usuario puede realizar operaciones específicas en los servicios en la nube en función de los permisos.

Puede conceder permisos de usuario mediante roles y políticas.

  • Roles: Un tipo de mecanismo de autorización de grano grueso que define permisos relacionados con las responsabilidades del usuario. Este mecanismo proporciona solo un número limitado de roles de nivel de servicio para la autorización.
  • Políticas: Un tipo de mecanismo de autorización detallado que define los permisos necesarios para realizar operaciones en recursos de nube específicos bajo ciertas condiciones. Este mecanismo permite políticas a nivel de API para la autorización, cumpliendo con los requisitos para el control de acceso seguro.

Policy-based authorization is useful if you want to allow or deny the access to an API.

Una cuenta tiene todos los permisos necesarios para llamar a todas las API, pero los usuarios de IAM deben tener los permisos requeridos específicamente asignados. Los permisos necesarios para llamar a una API están determinados por las acciones admitidas por la API. Solo los usuarios a los que se les han concedido permisos para permitir las acciones pueden llamar a la API con éxito. Por ejemplo, si un usuario de IAM consulta imágenes mediante una API, se deben haber concedido permisos que permitan la acción ims:images:list.

Acciones soportadas

IMS proporciona políticas definidas por el sistema. También puede crear directivas personalizadas para un control de acceso más específico. Los siguientes son conceptos relacionados:

  • Permisos: Permitir o denegar ciertas operaciones.
  • APIs: APIs que serán llamadas para realizar ciertas operaciones.
  • Acciones: Operaciones que serán permitidas o denegadas.
  • Acciones dependientes: Al asignar permisos para una acción, también debe asignar permisos para las acciones dependientes.
  • Proyectos IAM o proyectos empresariales: Ámbito aplicable de las políticas personalizadas. Por ejemplo, si una acción admite proyectos de IAM y de empresa, la política que contiene esta acción tendrá efecto para los grupos de usuarios asignados en IAM y Enterprise Management. Si una acción solo admite proyectos de IAM, la política solo tendrá efecto para los grupos de usuarios asignados en IAM. Para obtener más información sobre las diferencias entre IAM y proyectos empresariales, consulte ¿Cuáles son las diferencias entre IAM y Enterprise Management?

√: supported; x: not supported.

IMS admite las siguientes acciones que se pueden definir en directivas personalizadas:

  • Gestión de imágenes, incluidas acciones compatibles con las API de gestión de imágenes de IMS, como las API para consultar imágenes, actualizar información de imágenes, crear imágenes, registrar imágenes y exportar imágenes.
  • Etiquetado de imagen, incluidas las acciones compatibles con las API de gestión de etiquetas de IMS, como las API para agregar etiquetas, eliminar etiquetas y consultar imágenes.
  • Esquema de imagen, incluidas acciones soportadas por las API de gestión de esquemas de imagen de IMS, tales como las API para consultar un esquema de imagen, consultar un esquema de lista de imágenes, consultar un esquema de miembro de imagen y consultar un esquema de lista de miembros de imagen.
  • Compartir imágenes, incluidas acciones soportadas por las API de imágenes compartidas de IMS, como las API para agregar un miembro de imagen, actualizar el estado de los miembros de imagen, consultar detalles de miembros de imagen y eliminar un miembro de imagen.
  • Replicación de imágenes, incluidas las acciones admitidas por las API de replicación de imágenes de IMS, como la API para replicar una imagen dentro de una región.
  • Cuota de imagen, incluidas las acciones admitidas por las API de cuota de imágenes de IMS, como la API para consultar cuotas de imágenes.

Los mensajes de error devueltos para las API de native OpenStack están en formato XML. No se admite el formato JSON de la política de grano fino.