Introducción
Puede utilizar Identity and Access Management (IAM) para la gestión detallada de permisos de su RDS. Si su cuenta de Huawei no necesita usuarios individuales de IAM, puede omitir esta sección.
Los nuevos usuarios de IAM no tienen ningún permiso asignado de forma predeterminada. Primero debe agregarlos a uno o más grupos y adjuntar políticas o roles a estos grupos. A continuación, los usuarios heredan los permisos de los grupos y pueden realizar operaciones específicas en servicios en la nube en función de los permisos que se les han asignado.
Puede conceder permisos a los usuarios mediante roles y políticas. IAM proporciona roles para definir permisos basados en servicios que coinciden con las responsabilidades del trabajo de los usuarios. Las políticas definen permisos basados en API para operaciones en recursos específicos bajo ciertas condiciones, lo que permite un control de acceso más detallado y seguro de los recursos en la nube.
Si desea permitir o denegar el acceso a una API, utilice la autorización basada en políticas.
Cada cuenta tiene todos los permisos necesarios para invocar a todas las API, pero a los usuarios de IAM se les deben asignar los permisos necesarios. Los permisos necesarios para invocar a una API están determinados por las acciones admitidas por la API. Solo los usuarios a los que se les han concedido permisos para permitir las acciones pueden invocar a la API con éxito. Por ejemplo, si un usuario de IAM desea consultar instancias de base de datos de RDS mediante una API, se deben tener permisos que permitan la acción rds:instance:list.
Acciones admitidas
RDS proporciona políticas definidas por el sistema que se pueden usar directamente en IAM. También puede crear políticas personalizadas para complementar las políticas definidas por el sistema para un control de acceso más refinado. Las operaciones admitidas por las políticas son específicas de las API. Los siguientes son conceptos comunes relacionados con las políticas:
- Permisos: sentencias de una política que permiten o niegan ciertas operaciones
- APIs: Las API de REST que pueden ser invocadas por un usuario al que se le han concedido permisos específicos
- Acciones: operaciones específicas que están permitidas o denegadas
- Dependencias: acciones de las que depende una acción específica. Al permitir una acción para un usuario, también debe permitir cualquier dependencia de acción existente para ese usuario.
- Proyectos IAM/Proyectos Empresariales: el alcance de autorización de una política personalizada. Se puede aplicar una política personalizada a proyectos de IAM o de empresa, o a ambos. Las políticas que contienen acciones tanto para IAM como para proyectos empresariales se pueden usar y aplicar tanto para IAM como para Enterprise Management. Las políticas que contienen acciones sólo para proyectos de IAM se pueden usar y aplicar a IAM únicamente. Para obtener más información sobre las diferencias entre IAM y la gestión empresarial, consulte Diferencias entre IAM y la gestión empresarial.
La marca de verificación (√) indica que una acción tiene efecto. La marca de cruz (x) indica que una acción no tiene efecto.
