Introducción a las políticas y autorización
En este capítulo se describe la gestión de permisos detallada para sus recursos de VPN. Si su cuenta de Huawei Cloud no necesita los usuarios individuales de IAM, puede omitir este capítulo.
De forma predeterminada, los nuevos usuarios de IAM no tienen ningún permiso asignado. Debe agregar un usuario a uno o más grupos y asignar políticas o roles a estos grupos. A continuación, el usuario hereda los permisos de los grupos. Este proceso se conoce como autorización. Con los permisos, el usuario puede realizar las operaciones específicas en servicios en la nube.
Puede conceder permisos a los usuarios mediante roles o políticas. Los roles son un tipo de mecanismo de autorización basado en servicios y de grano grueso que define permisos relacionados con las responsabilidades del usuario. Las políticas son un tipo de mecanismo de autorización detallado que define los permisos necesarios para realizar operaciones en los recursos específicos en la nube bajo ciertas condiciones, lo que permite un control de acceso más flexible y seguro.
Puede usar políticas para permitir o denegar el acceso a las API específicas.
Una cuenta tiene permisos para invocar a todas las API. Un usuario de IAM con la cuenta puede invocar a las API específicas solo después de que se le asignen los permisos requeridos. Los permisos necesarios para invocar a una API están determinados por las acciones admitidas por la API. Solo los usuarios a los que se les han concedido permisos para permitir las acciones pueden invocar a la API con éxito. Por ejemplo, si un usuario de IAM desea consultar la lista de gateway VPN mediante una API, se deben conceder permisos al usuario que permitan la acción vpn:vpnGateways:list.
Acciones compatibles
Se proporcionan las políticas definidas por el sistema, que se pueden utilizarlas directamente. También puede crear las políticas personalizadas y asignarlas a grupos de usuarios, desplegando un control de acceso más refinado. Las acciones admitidas por las políticas son específicas de las API. Los conceptos comunes relacionados con las políticas incluyen:
- Los permisos que controlan las operaciones que los usuarios pueden realizar
- Las API invocadas por políticas
- Las acciones apoyadas por políticas. Son operaciones específicas que están permitidas o denegadas.
- IAM o proyectos empresariales en los que las acciones surtan efecto. Las políticas que contienen acciones que soportan proyectos tanto de IAM como de empresa pueden utilizarse y surtir efecto tanto en IAM como en Enterprise Management. Las políticas que contienen acciones que solo admiten proyectos de IAM se pueden asignar a grupos de usuarios y solo tienen efecto en IAM. Dichas políticas no entrarán en vigor si se asignan a grupos de usuarios en Enterprise Management. Para obtener más información sobre las diferencias entre IAM y proyectos empresariales, consulte las Diferencias entre IAM y Enterprise Management.
VPN admite las siguientes acciones que se pueden definir en las políticas personalizadas:
[Ejemplo] Gateway de VPN, incluidas las acciones admitidas por las API de gateway VPN, como las API para crear, consultar, actualizar y eliminar los gateway de VPN.