Gestión de permisos
Si necesita asignar diferentes permisos a los empleados de su empresa para acceder a sus recursos de CDN, IAM es una buena opción para la gestión de permisos detallada. IAM proporciona autenticación de identidad, gestión de permisos y control de acceso, lo que le ayuda a acceder de forma segura a sus recursos de Huawei Cloud .
Con IAM, puede usar su cuenta de Huawei Cloud para crear usuarios de IAM y asignar permisos a los usuarios para controlar su acceso a recursos específicos. Por ejemplo, algunos desarrolladores de software de su empresa necesitan usar recursos de CDN, pero no deben poder eliminarlos ni realizar ninguna otra operación de alto riesgo. En este escenario, puede crear usuarios de IAM para los desarrolladores de software y concederles solo los permisos necesarios para usar recursos de CDN.
Si su cuenta de Huawei Cloud no requiere usuarios individuales de IAM para la administración de permisos, omita esta sección.
IAM se puede utilizar de forma gratuita. Solo paga por los recursos de su cuenta. Para obtener más información acerca de IAM, consulte Descripción general de servicio IAM.
Permisos de CDN
De forma predeterminada, los nuevos usuarios de IAM no tienen ningún permiso asignado. Debe agregar un usuario a uno o más grupos y adjuntar políticas o roles de permisos a estos grupos. Los usuarios heredan permisos de los grupos a los que se agregan y pueden realizar operaciones específicas a servicios en la nube según los permisos.
CDN es un servicio global implementado y accedido sin especificar ninguna región física. Los permisos de CDN se asignan a los usuarios del proyecto global y los usuarios no necesitan cambiar de región al acceder a CDN.
Puede conceder permisos a los usuarios mediante roles y políticas.
- Roles: Un tipo de mecanismo de autorización de grano grueso que define permisos relacionados con las responsabilidades del usuario. Este mecanismo proporciona solo un número limitado de roles de nivel de servicio para la autorización. Al usar roles para conceder permisos, también debe asignar otros roles de los que dependen los permisos para que surtan efecto. Sin embargo, los roles no son una opción ideal para la autorización detallada y el control de acceso seguro.
- Políticas: Un tipo de mecanismo de autorización detallado que define los permisos necesarios para realizar operaciones en recursos de nube específicos bajo ciertas condiciones. Este mecanismo permite una autorización más flexible basada en políticas, cumpliendo los requisitos para un control de acceso seguro. Por ejemplo, puede conceder a los usuarios de ECS solo los permisos para administrar un determinado tipo de ECS. La mayoría de las políticas definen permisos basados en API. Para ver las acciones de la API admitidas por CDN, consulte Políticas de permisos y acciones admitidas.
Una política es un conjunto de permisos definidos en formato JSON. De forma predeterminada, los nuevos usuarios de IAM no tienen ningún permiso asignado. Debe agregar un usuario a uno o más grupos y asignar políticas de permisos a estos grupos. A continuación, el usuario hereda los permisos de los grupos de los que es miembro. Este proceso se llama autorización. Después de la autorización, el usuario puede realizar operaciones especificadas en CDN basadas en los permisos. IAM proporciona políticas de sistema que definen los permisos comunes para diferentes servicios, como los permisos de administrador y de solo lectura. Puede utilizar directamente estas políticas del sistema para asignar permisos.
CDN es un servicio global implementado y accedido sin especificar ninguna región física. Los permisos de CDN se asignan a los usuarios del proyecto global y los usuarios no necesitan cambiar de región al acceder a CDN.
Tabla 1 enumera todas las directivas definidas por el sistema admitidas por CDN.
|
Política |
Descripción |
Tipo |
|---|---|---|
|
CDN Administrator |
Todas las operaciones en CDN. Alcance: Servicio de nivel global |
Rol del sistema |
|
CDN DomainReadOnlyAccess |
Permisos de sólo lectura en nombres de dominio de aceleración de CDN. Alcance: Servicio de nivel global |
Política definida por el sistema |
|
CDN StatisticsReadOnlyAccess |
Read-only permissions on CDN statistics. Alcance: Servicio de nivel global |
Política definida por el sistema |
|
CDN LogsReadOnlyAccess |
Permisos de sólo lectura en registros de CDN. Alcance: Servicio de nivel global |
Política definida por el sistema |
|
CDN DomainConfiguration |
Permisos para configurar nombres de dominio de aceleración de CDN. Alcance: Servicio de nivel global |
Política definida por el sistema |
|
CDN RefreshAndPreheatAccess |
Permisos para configurar la actualización y el precalentamiento de la caché de CDN. Alcance: Servicio de nivel global |
Política definida por el sistema |
|
CDN FullAccess |
Todas las operaciones en CDN. Alcance: Servicio de nivel global |
Política definida por el sistema |
|
CDN ReadOnlyAccess |
Todas las operaciones de solo lectura en CDN. Alcance: Servicio de nivel global |
Política definida por el sistema |
Tabla 2 enumera las operaciones comunes soportadas por cada política o función definida por el sistema de CDN. Seleccione las directivas o roles según sea necesario.
|
Operación |
CDN Administrator |
CDN DomainReadOnlyAccess |
CDN StatisticsReadOnlyAccess |
CDN LogsReadOnlyAccess |
CDN DomainConfiguration |
CDN RefreshAndPreheatAccess |
CDN FullAccess |
CDN ReadOnlyAccess |
|---|---|---|---|---|---|---|---|---|
|
Consultar nombres de dominio |
Soportado |
Soportado |
No soportado |
No soportado |
No soportado |
No soportado |
Soportado |
Soportado |
|
Creación de nombres de dominio |
Soportado |
No soportado |
No soportado |
No soportado |
Soportado |
No soportado |
Soportado |
No soportado |
|
Eliminar nombres de dominio |
Soportado |
No soportado |
No soportado |
No soportado |
Soportado |
No soportado |
Soportado |
No soportado |
|
Consultar información de origen |
Soportado |
Soportado |
No soportado |
No soportado |
No soportado |
No soportado |
Soportado |
Soportado |
|
Consultar la configuración de HTTPS |
Soportado |
Soportado |
No soportado |
No soportado |
No soportado |
No soportado |
Soportado |
Soportado |
|
Consultar reglas de caché |
Soportado |
Soportado |
No soportado |
No soportado |
No soportado |
No soportado |
Soportado |
Soportado |
|
Consulta de listas negras de IP |
Soportado |
No soportado |
No soportado |
No soportado |
No soportado |
No soportado |
Soportado |
No soportado |
|
Modificación de los detalles del servidor de origen |
Soportado |
No soportado |
No soportado |
No soportado |
Soportado |
No soportado |
Soportado |
No soportado |
|
Configuración de HTTPS |
Soportado |
No soportado |
No soportado |
No soportado |
Soportado |
No soportado |
Soportado |
No soportado |
|
Configuración de reglas de caché |
Soportado |
No soportado |
No soportado |
No soportado |
No soportado |
No soportado |
Soportado |
No soportado |
|
Hbilitación de la función de actualización |
Soportado |
No soportado |
No soportado |
No soportado |
No soportado |
Soportado |
Soportado |
No soportado |
|
Habilitación de la función de precalentamiento |
Soportado |
No soportado |
No soportado |
No soportado |
No soportado |
Soportado |
Soportado |
No soportado |
|
Consultar el tráfico total de red |
Soportado |
No soportado |
Soportado |
No soportado |
No soportado |
No soportado |
Soportado |
Soportado |
|
Consultar detalles del tráfico de red |
Soportado |
No soportado |
Soportado |
No soportado |
No soportado |
No soportado |
Soportado |
Soportado |
|
Consultar detalles del ancho de banda de la red |
Soportado |
No soportado |
Soportado |
No soportado |
No soportado |
No soportado |
Soportado |
Soportado |
|
Consultar el resumen del consumo |
Soportado |
No soportado |
Soportado |
No soportado |
No soportado |
No soportado |
Soportado |
Soportado |
|
Consultar el consumo de operador |
Soportado |
No soportado |
Soportado |
No soportado |
No soportado |
No soportado |
Soportado |
Soportado |
|
Consulta de logs |
Soportado |
No soportado |
No soportado |
Soportado |
No soportado |
No soportado |
Soportado |
Soportado |
Los permisos DomainConfiguration de CDN y RefreshAndPreheatAccess de CDN no se pueden configurar por separado. Para configurar los dos permisos, también debe configurar el permiso DomainReadOnlyAccess de CDN. De lo contrario, todos los nombres de dominio son invisibles, y las configuraciones de dominio y las configuraciones de actualización y precalentamiento no se pueden realizar.
