Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda> Object Storage Service> Referencia de la API> Permisos y acciones soportadas> Introducción
Actualización más reciente 2023-07-11 GMT+08:00
Ver PDF

Introducción

En este capítulo se describe la gestión detallada de permisos para su OBS mediante la gestión de identidades y accesos (IAM). Si su cuenta de Huawei Cloud no requiere usuarios individuales de IAM, omita este capítulo.

De forma predeterminada, los nuevos usuarios de IAM no tienen ningún permiso asignado. Debe agregar un usuario a uno o más grupos y adjuntar políticas o roles de permisos a estos grupos. Los usuarios heredan permisos de los grupos a los que se agregan y pueden realizar operaciones específicas a servicios en la nube según los permisos.

Para obtener más información sobre las políticas y los roles relacionados con OBS en IAM, consulte Gestión de permisos. Para obtener más información acerca de la estructura de sintaxis y ejemplos de permisos de IAM, véase Permisos de IAM.

Puede conceder permisos a los usuarios mediante roles y políticas. Los roles son un tipo de mecanismo de autorización de grano grueso que define permisos relacionados con las responsabilidades del usuario. Las políticas definen permisos basados en API para operaciones en recursos específicos bajo ciertas condiciones, lo que permite un control de acceso más detallado y seguro de los recursos en la nube.

  • La autorización basada en políticas es útil si desea permitir o denegar el acceso a una API.
  • Debido a la caché, la función OBS tarda unos 13 minutos en surtir efecto después de concederse a los usuarios, proyectos de empresa y grupos de usuarios. Después de que se concede una política de OBS, se tarda unos 5 minutos para que la póliza entre en vigor.

Una cuenta tiene todos los permisos necesarios para llamar a todas las API, pero los usuarios de IAM deben tener los permisos requeridos específicamente asignados. Los permisos necesarios para llamar a una API están determinados por las acciones admitidas por la API. Solo los usuarios a los que se les han concedido permisos para permitir las acciones pueden llamar a la API con éxito. Por ejemplo, si un usuario de IAM necesita crear bucket usando una API, se deben haber concedido permisos que permitan la acción obs:bucket:CreateBucket.

Acciones admitidas

Hay dos tipos de políticas: las definidas por el sistema y las personalizadas. Si los permisos preestablecidos en el sistema no cumplen con sus requisitos, puede crear políticas personalizadas y aplicar estas políticas a grupos de usuarios para un control de acceso refinado. Las operaciones admitidas por las políticas son específicas de las API. Los siguientes son conceptos comunes relacionados con las políticas:

  • Permisos: permitir o denegar operaciones en los recursos especificados bajo condiciones específicas.
  • Las API: APIs REST que se pueden llamar mediante una política personalizada.
  • Acciones: agregadas a una política personalizada para controlar los permisos para operaciones específicas.
  • Proyectos IAM o proyectos de empresa: tipo de proyectos para los que una acción tendrá efecto. Las políticas que contienen acciones que admiten proyectos de IAM y de empresa se pueden asignar a grupos de usuarios y tener efecto tanto en IAM como en Enterprise Management. Las políticas que solo contienen acciones que admiten proyectos de IAM se pueden asignar a grupos de usuarios y solo tienen efecto en IAM. Estas políticas no tendrán efecto si se asignan a grupos de usuarios en Enterprise Project. Para obtener más información sobre las diferencias entre IAM y proyectos empresariales, consulte ¿Cuáles son las diferencias entre IAM y Enterprise Management?

    La marca de verificación (√) indica que una acción tiene efecto. La marca de cruz (x) indica que una acción no tiene efecto.

OBS admite las siguientes acciones que se pueden definir en una política personalizada:

  • Las acciones relacionadas con el bucket incluyen acciones admitidas por todas las API relacionadas con el bucket de OBS, como las API para enumerar todos los bucket, crear y eliminar bucket, establecer políticas de bucket, establecer la notificación de eventos de bucket, configurar la replicación entre regiones y configurar el registro de bucket.
  • Las acciones relacionadas con objetos incluyen API para cargar, descargar y eliminar objetos.