Introducción
Esta sección describe la gestión de permisos detallados para sus gateways de NAT. Si su cuenta de Huawei Cloud no necesita usuarios individuales de IAM, puede omitir esta sección.
De forma predeterminada, los nuevos usuarios de IAM no tienen permisos asignados. Debe agregar un usuario a uno o más grupos y adjuntar políticas o roles de permisos a estos grupos. Los usuarios heredan permisos de los grupos a los que se agregan y pueden realizar operaciones específicas a servicios en la nube según los permisos.
Puede conceder permisos a los usuarios mediante roles y políticas. Los roles son un tipo de mecanismo de autorización de grano grueso que define permisos relacionados con las responsabilidades del usuario. Las políticas definen permisos basados en API para operaciones en recursos específicos bajo ciertas condiciones, lo que permite un control de acceso más detallado y seguro de los recursos en la nube.
La autorización basada en políticas es útil si desea permitir o denegar el acceso a una API.
Una cuenta tiene todos los permisos necesarios para llamar a todas las API, pero a los usuarios de IAM se les deben asignar los permisos necesarios. Los permisos necesarios para llamar a una API están determinados por las acciones admitidas por la API. Solo los usuarios a los que se les han concedido permisos para permitir las acciones pueden llamar a la API correctamente. Por ejemplo, si un usuario de IAM desea consultar las puertas de enlace NAT mediante una API, se deben haber concedido permisos al usuario que permitan la acción nat:natGateways:list.
Acciones admitidas
NAT Gateway proporciona políticas definidas por el sistema, que se pueden usar directamente en IAM. El administrador de la cuenta también puede crear políticas personalizadas para complementar las políticas definidas por el sistema para un control de acceso más refinado. Las operaciones admitidas por las políticas son específicas de las API. Los siguientes son conceptos comunes relacionados con las políticas:
- Permisos: Instrucciones de una política que permiten o niegan ciertas operaciones.
- APIs: APIs REST que pueden ser llamadas por un usuario al que se le han concedido permisos específicos.
- Acciones: Operaciones específicas que están permitidas o denegadas.
- IAM o proyectos de empresa: Tipo de proyectos para los que una acción tendrá efecto. Las políticas que contienen acciones tanto para IAM como para proyectos empresariales pueden utilizarse y surtir efecto tanto para IAM como para Enterprise Management. Las políticas que solo contienen acciones para proyectos de IAM se pueden usar y solo tienen efecto para IAM. El administrador de la cuenta puede comprobar si una acción admite proyectos de IAM o proyectos de empresa en la lista de acciones. La marca de verificación (√) indica que la acción es compatible con el proyecto y el símbolo de cruz (×) indica que la acción no es compatible con el proyecto. Para obtener más información sobre las diferencias entre IAM y proyectos empresariales, consulte ¿Cuáles son las diferencias entre IAM y Enterprise Management?
NAT Gateway admite las siguientes acciones que se pueden definir en políticas personalizadas:
- NAT Gateway v2: incluidas las acciones admitidas por todas las API v2 de los gateway de NAT, como la creación, actualización y eliminación de los gateway de NAT.
- Regla de SNAT v2: incluidas las acciones admitidas por todas las API v2 de la regla SNAT, como la creación y consulta de reglas SNAT.
- Regla de DNAT v2: acciones compatibles con todas las API v2 de la regla de DNAT, como crear y consultar reglas de DNAT.