Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda/ Cloud Search Service/ Descripción general del servicio/ Gestión de permisos
Actualización más reciente 2025-12-30 GMT+08:00
Ver PDF
Compartir

Gestión de permisos

Si necesita asignar diferentes permisos a los empleados de su organización para que accedan a sus recursos de CSS, IAM es una buena opción para la gestión detallada de permisos. IAM proporciona autenticación de identidad, gestión de permisos y control de acceso.

Si la cuenta actual cumple con sus requisitos, no es necesario crear un usuario independiente de IAM para la gestión de permisos. A continuación, puede omitir esta sección. Esto no afectará a otras funciones de CSS.

Con IAM, puede utilizar su cuenta para crear usuarios de IAM para sus empleados y asignarles permisos para controlar su acceso a sus recursos. IAM es gratuito. Solo paga por los recursos que adquiere. Para obtener más información sobre IAM, consulte Descripción del servicio IAM.

Permisos de CSS

Los nuevos usuarios de IAM no tienen ningún permiso asignado de forma predeterminada. Primero debe agregarlos a uno o más grupos y adjuntar políticas o roles a estos grupos. Los usuarios heredan los permisos de los grupos y pueden realizar operaciones específicas en los servicios en la nube en función de los permisos que se les hayan asignado.

CSS es un servicio a nivel de proyecto desplegado en regiones físicas específicas. Por lo tanto, los permisos de CSS se asignan a proyectos en regiones específicas y solo tienen efecto en estas regiones. Si desea que los permisos surtan efecto en todas las regiones, debe asignar los permisos a los proyectos de cada región. Al acceder a CSS, los usuarios deben cambiar a una región donde se les haya autorizado a utilizar servicios en la nube.

Puede utilizar roles y políticas para otorgar permisos a los usuarios.

  • Roles: un tipo de mecanismo de autorización de grano grueso que define los permisos relacionados con las responsabilidades del usuario. Este mecanismo proporciona solo un número limitado de roles de nivel de servicio para la autorización. Al utilizar roles para otorgar permisos, también debe asignar roles de dependencia. Los roles no son ideales para la autorización detallada y el control de acceso seguro.
  • Políticas: un tipo de mecanismo de autorización detallada que define los permisos para realizar operaciones en recursos en la nube específicos bajo ciertas condiciones. Este mecanismo permite una autorización más flexible. Las políticas le permiten cumplir con los requisitos para un control de acceso más seguro. Por ejemplo, los administradores de CSS solo pueden otorgar a los usuarios de CSS los permisos necesarios para gestionar un tipo particular de recursos de CSS. La mayoría de las políticas definen permisos basados en API. Para las acciones de API admitidas por CSS, consulte Políticas de permisos y acciones admitidas.

Tabla 1 enumera todos los roles y las políticas definidos por el sistema que admite CSS.

  • CSS Administrator depende de los roles de otros servicios para ejecutar sus permisos. Por lo tanto, si asigna el rol Elasticsearch Administrator a un usuario, asigne sus roles de dependencia al mismo tiempo.
  • CSS FullAccess y CSS ReadOnlyAccess se pueden utilizar para controlar los recursos a los que pueden acceder los usuarios. Por ejemplo, si desea que sus desarrolladores de software utilicen recursos de CSS, pero no los eliminen ni realicen operaciones de alto riesgo, puede crear usuarios de IAM para estos desarrolladores de software y asignarles solo los permisos necesarios para utilizar recursos de CSS.
Tabla 1 Permisos del sistema de CSS

Nombre del rol/política

Tipo

Descripción

Dependencia

CSS Administrator

Rol definido por el sistema

Permisos completos para CSS.

Este rol depende de los roles Tenant Guest, Server Administrator e IAM ReadOnlyAccess en el mismo proyecto.

El rol del sistema VPCEndpoint Administrator es necesario para acceder a un clúster a través de un punto de conexión de VPC.

El rol del sistema CES Administrator es necesario para utilizar el servicio de monitoreo de Cloud Eye.

Algunas operaciones dependen de los siguientes permisos:

  • Ver la lista de delegaciones:

    iam:agencies:listAgencies

    iam:permissions:listRolesForAgency

    iam:permissions:listRolesForAgencyOnProject

  • Crear una delegación automáticamente:

    iam:agencies:listAgencies

    iam:agencies:createAgency

    iam:permissions:grantRoleToAgency

  • Mostrar proyectos empresariales y etiquetas predefinidas en la consola:

    eps:enterpriseProjects:list

    tms:predefineTags:list

  • Usar las funciones de gestión de instantáneas, diccionarios de palabras y registros:

    obs:bucket:Get*

    obs:bucket:List*

    obs:object:List*

    obs:object:Get*

    obs:bucket:HeadBucket

    obs:object:PutObject

    obs:object:DeleteObject

  • bss:order:update

    bss:order:pay

CSS FullAccess

Política definida por el sistema

Permisos completos de CSS otorgados a través de políticas. Los usuarios con estos permisos pueden realizar todas las operaciones en CSS.

Algunas funciones dependen de los permisos correspondientes. Para utilizar ciertas funciones, debe habilitar los permisos dependientes en el mismo proyecto.

CSS ReadOnlyAccess

Política definida por el sistema

Permisos de solo lectura para CSS. Los usuarios con estos permisos solo pueden ver los datos de CSS.

Algunas funciones dependen de los permisos correspondientes. Para utilizar ciertas funciones, debe habilitar los permisos dependientes en los servicios globales.

Algunas operaciones dependen de los siguientes permisos:

  • Ver la lista de delegaciones:

    iam:agencies:listAgencies

    iam:permissions:listRolesForAgency

    iam:permissions:listRolesForAgencyOnProject

  • Mostrar proyectos empresariales y etiquetas predefinidas en la consola:

    eps:enterpriseProjects:list

    tms:predefineTags:list

  • Usar las funciones de gestión de instantáneas, diccionarios de palabras y registros:

    obs:bucket:Get*

    obs:bucket:List*

    obs:object:List*

    obs:object:Get*

    obs:bucket:HeadBucket

Tabla 2 enumera las operaciones comunes admitidas por cada permiso del sistema de CSS. Seleccione los permisos del sistema adecuados de acuerdo con esta tabla.

Tabla 2 Operaciones comunes admitidas por cada política definida por el sistema

Operación

CSS FullAccess

CSS ReadOnlyAccess

CSS Administrator

Remarks

Creación de un clúster

x

-

Consulta de la lista de clústeres

-

Consulta de los detalles del clúster

-

Eliminación de un clúster

x

-

Reinicio de un clúster

x

-

Escalamiento horizontal/vertical de un clúster

x

-

Adición de instancias y expansión de la capacidad de almacenamiento de instancias

x

-

Consulta de etiquetas de un clúster especificado

-

Consulta de todas las etiquetas

-

Carga de un diccionario de palabras personalizado

x

Depende de los permisos de OBS e IAM

Consulta del estado de un diccionario de palabras personalizado

-

Eliminación de un diccionario de palabras personalizado

x

-

Configuración automática de las configuraciones básicas de una instantánea de clúster

x

Depende de los permisos de OBS e IAM

Modificación de las configuraciones básicas de una instantánea de clúster

x

Depende de los permisos de OBS e IAM

Configuración de la política de creación automática de instantáneas

x

-

Consulta de la política de creación automática de instantáneas

-

Creación manual de una instantánea

x

-

Consulta de la lista de instantáneas

-

Restauración de una instantánea

x

-

Eliminación de una instantánea

x

-

Deshabilitación de la función de instantáneas

x

-

Modificación de especificaciones

x

-

Escalamiento en un clúster

x

-

Enlaces útiles