Gestión de permisos
Si necesita asignar diferentes permisos a los empleados de su empresa para acceder a sus recursos de CBR en Huawei Cloud, Identity and Access Management (IAM) es una buena opción para la gestión de permisos detallada. IAM proporciona autenticación de identidad, gestión de permisos y control de acceso, lo que le ayuda a proteger el acceso a sus recursos de Huawei Cloud.
Con IAM, puede usar su cuenta de Huawei Cloud para crear usuarios de IAM para sus empleados y asignar permisos a los usuarios para controlar su acceso a tipos de recursos específicos. Por ejemplo, algunos desarrolladores de software de su empresa necesitan usar recursos CBR, pero no deben poder eliminarlos ni realizar ninguna otra operación de alto riesgo. En este escenario, puede crear usuarios de IAM para los desarrolladores de software y concederles solo los permisos necesarios para usar los recursos de CBR.
Si su cuenta de Huawei Cloud no requiere usuarios individuales de IAM para la gestión de permisos, omita esta sección.
IAM se puede utilizar de forma gratuita. Solo paga por los recursos de su cuenta. Para obtener más información acerca de IAM, consulte Descripción general de servicio IAM.
Permisos de CBR
De forma predeterminada, los nuevos usuarios de IAM no tienen permisos asignados. Debe agregar un usuario a uno o más grupos y adjuntar directivas o roles de permisos a estos grupos. Los usuarios heredan permisos de los grupos a los que se agregan y pueden realizar operaciones específicas a servicios en la nube según los permisos.
CBR es un servicio a nivel de proyecto implementado y accedido en regiones físicas específicas. Para asignar permisos CBR a un grupo de usuarios, especifique el ámbito como proyectos específicos de la región y seleccione proyectos para que los permisos surtan efecto. Si se selecciona All projects, los permisos surtirán efecto para el grupo de usuarios en todos los proyectos específicos de la región. Al acceder a CBR, los usuarios necesitan cambiar a una región en la que han sido autorizados para usar este servicio.
Puede conceder permisos a los usuarios mediante roles y políticas.
- Roles: Un tipo de mecanismo de autorización de grano grueso que define permisos relacionados con las responsabilidades de los usuarios. Solo hay disponible un número limitado de funciones de nivel de servicio para la autorización. Al usar roles para conceder permisos, también debe asignar otros roles de los que dependen los permisos para que surtan efecto. Sin embargo, los roles no son una opción ideal para la autorización detallada y el control de acceso seguro.
- Políticas: Un tipo de mecanismo de autorización detallado que define los permisos necesarios para realizar operaciones en recursos de nube específicos bajo ciertas condiciones. Este mecanismo permite una autorización más flexible basada en políticas, cumpliendo los requisitos para un control de acceso seguro. Por ejemplo, puede conceder a los usuarios de ECS solo los permisos para administrar un determinado tipo de ECS. La mayoría de las políticas definen permisos basados en API. Para ver las acciones de API admitidas por CBR, consulte Políticas de permisos y acciones admitidas.
Nombre de la política |
Descripción |
Tipo |
---|---|---|
CBR FullAccess |
Permisos de administrador para CBR. Los usuarios a los que se conceden estos permisos pueden operar y usar todas las bóvedas, copias de seguridad y políticas. |
System-defined policy |
CBR BackupsAndVaultsFullAccess |
Permisos de usuario comunes para CBR. Los usuarios a los que se conceden estos permisos pueden crear, ver y eliminar depósitos y copias de seguridad, pero no pueden crear, actualizar ni eliminar políticas. |
System-defined policy |
CBR ReadOnlyAccess |
Permisos de sólo lectura para CBR. Los usuarios a los que se han concedido estos permisos solo pueden ver los datos CBR. |
System-defined policy |
Tabla 2 enumera las operaciones comunes soportadas por cada política o función definida por el sistema de CBR. Seleccione las políticas según sea necesario.
Operación |
CBR FullAccess |
CBR BackupsAndVaultsFullAccess |
CBR ReadOnlyAccess |
---|---|---|---|
Consulta de almacenes |
√ |
√ |
√ |
Creación de almacenes |
√ |
√ |
× |
Listado de almacenes |
√ |
√ |
√ |
Actualización de almacenes |
√ |
√ |
× |
Supresión de almacenes |
√ |
√ |
× |
Asociación de recursos |
√ |
√ |
× |
Disociación de recursos |
√ |
√ |
× |
Creación de políticas |
√ |
× |
× |
Actualización de políticas |
√ |
× |
× |
Aplicación de políticas a un almacén |
√ |
√ |
× |
Eliminación de políticas de un almacén |
√ |
√ |
× |
Eliminación de políticas |
√ |
× |
× |
Sincronización de copias de respaldo |
√ |
√ |
× |
Replicación de almacenes |
√ |
√ |
× |
Realización de copias de seguridad |
√ |
√ |
× |
Actualización de suscripciones |
√ |
√ |
× |
Consulta del estado del agente |
√ |
√ |
× |
Eliminación de copias de seguridad |
√ |
√ |
× |
Restauración de datos mediante copias de seguridad |
√ |
√ |
× |
Replicación de copias de respaldo |
√ |
√ |
× |
Asociación de almacenes |
√ |
√ |
× |
Agregar o eliminar etiquetas de almacén por lotes |
√ |
√ |
× |
Adición de etiquetas de almacén |
√ |
√ |
× |
Edición de etiquetas |
√ |
√ |
× |