Gestión de permisos de DEW
Si desea asignar diferentes permisos de acceso a los empleados de una empresa para los recursos DEW adquiridos en Huawei Cloud, puede usar Identity and Access Management (IAM) para realizar una gestión de permisos perfeccionada. IAM proporciona autenticación de identidad, gestión de permisos y control de acceso, lo que le ayuda a proteger el acceso a sus recursos de Huawei Cloud.
Con IAM, puede usar su cuenta de Huawei para crear usuarios de IAM para sus empleados y conceder permisos a los usuarios para controlar su acceso a tipos de recursos específicos. Por ejemplo, si tiene desarrolladores de software y desea asignarles el permiso para acceder a DEW pero no para eliminar DEW o sus recursos, puede crear una política de IAM para asignar a los desarrolladores el permiso para acceder a DEW pero evitar que eliminen datos relacionados con DEW.
Si la cuenta de Huawei cumple con sus requisitos y no necesita crear un usuario IAM independiente para el control de permisos, puede omitir esta sección. Esto no afectará a otras funciones de DEW.
IAM se ofrece de forma gratuita, y usted paga solo por los recursos facturables en su cuenta. Para obtener más detalles, consulte Descripción de servicio.
Permisos de DEW
De forma predeterminada, los nuevos usuarios de IAM no tienen permisos asignados. Debe agregar un usuario a uno o más grupos y adjuntar políticas o roles de permisos a estos grupos. Los usuarios heredan permisos de sus grupos y pueden realizar operaciones específicas en servicios en la nube según los permisos.
DEW es un servicio a nivel de proyecto implementado y accedido en regiones físicas específicas. Para asignar permisos a un grupo de usuarios, especifique el ámbito como proyectos específicos de la región y seleccione proyectos para que los permisos surtan efecto. Si se selecciona All projects, los permisos surtirán efecto para el grupo de usuarios en todos los proyectos específicos de la región. Los usuarios deben cambiar a la región autorizada al acceder a DEW.
Puede conceder permisos a los usuarios mediante roles y políticas.
- Roles: Tipo de mecanismo de autorización de grano grueso que define permisos relacionados con las responsabilidades del usuario. Este mecanismo proporciona solo un número limitado de roles de nivel de servicio para la autorización. Algunos roles dependen de otros roles para que surtan efecto. Cuando asigne dichos roles a los usuarios, recuerde asignar los roles de los que dependen. Sin embargo, los roles no son una opción ideal para la autorización detallada y el control de acceso seguro.
- Políticas: Un tipo de mecanismo de autorización detallado que define los permisos necesarios para realizar operaciones en recursos de nube específicos bajo ciertas condiciones. Este mecanismo permite una autorización más flexible basada en políticas, cumpliendo los requisitos para un control de acceso seguro. Por ejemplo, puede conceder a los usuarios de DEW solo los permisos para gestionar un determinado tipo de servidores en la nube. La mayoría de las políticas contienen permisos para API específicas y los permisos se definen mediante acciones de API. Para ver las acciones de API compatibles con DEW, consulte Políticas de permiso y acciones admitidas.
En las tablas siguientes se enumeran todos los permisos del sistema DEW.
|
Rol/Política |
Descripción |
Tipo |
Dependencia |
|---|---|---|---|
|
KMS Administrator |
Todos los permisos de KMS |
Rol |
Ninguna |
|
KMS CMKFullAccess |
Todos los permisos para las claves de KMS. Los usuarios con estos permisos pueden realizar todas las operaciones permitidas por las políticas. |
Política |
Ninguna |
|
KMS CMKReadOnlyAccess |
Permisos de sólo lectura para las claves de KMS. Los usuarios con estos permisos pueden realizar todas las operaciones permitidas por las políticas. |
Política |
Ninguna |
|
Rol/Política |
Descripción |
Tipo |
Dependencia |
|---|---|---|---|
|
DEW KeypairFullAccess |
Todos los permisos para KPS. Los usuarios con estos permisos pueden realizar todas las operaciones permitidas por las políticas. |
Política del sistema |
Ninguna |
|
DEW KeypairReadOnlyAccess |
Permisos de solo lectura para el servicio de par de claves (KPS) en DEW. Los usuarios con este permiso sólo pueden ver los datos de KPS. |
Política del sistema |
Ninguna |
|
Rol/Política |
Descripción |
Tipo |
Dependencia |
|---|---|---|---|
|
CSMS FullAccess |
Todos los permisos para Cloud Secret Management Service (CSMS) en DEW. Los usuarios con estos permisos pueden realizar todas las operaciones permitidas por las políticas. |
Política del sistema |
Ninguna |
|
CSMS ReadOnlyAccess |
Permisos de solo lectura para Cloud Secret Management Service (CSMS) en DEW. Los usuarios con estos permisos pueden realizar todas las operaciones permitidas por las políticas. |
Política del sistema |
Ninguna |
Las políticas de DEW KeypairFullAccess y DEW KeypairReadOnlyAccess utilizadas para la autorización de proyectos de empresa no tienen efecto para usuarios individuales.
Si es un usuario individual y necesita utilizar la autorización de proyecto de empresa, asegúrese de que se ha agregado a un grupo de usuarios y autorice el grupo de usuarios.
Tabla 4 enumera las operaciones comunes soportadas por cada permiso definido por el sistema de DEW. Seleccione los permisos necesarios.
|
Operación |
KMS Administrator |
KMS CMKFullAccess |
|---|---|---|
|
Crear una clave |
√ |
√ |
|
Habilitar una clave |
√ |
√ |
|
Deshabilitar una clave |
√ |
√ |
|
Programar eliminación de clave |
√ |
√ |
|
Cancelar la eliminación de clave programada |
√ |
√ |
|
Modificar un alias de clave |
√ |
√ |
|
Modificar descripción de clave |
√ |
√ |
|
Generar un número aleatorio |
√ |
√ |
|
Crear un DEK |
√ |
√ |
|
Crear un DEK sin texto sin formato |
√ |
√ |
|
Cifrar un DEK |
√ |
√ |
|
Descifrar un DEK |
√ |
√ |
|
Obtener parámetros para importar una clave |
√ |
√ |
|
Importar materiales de clave |
√ |
√ |
|
Eliminar materiales de clave |
√ |
√ |
|
Crear una concesión |
√ |
√ |
|
Revocar una concesión |
√ |
√ |
|
Retirar una concesión |
√ |
√ |
|
Consultar la lista de concesiones |
√ |
√ |
|
Consultar concesiones retirables |
√ |
√ |
|
Cifrar datos |
√ |
√ |
|
Descifrar datos |
√ |
√ |
|
Enviar mensajes de firma |
√ |
√ |
|
Autenticar firma |
√ |
√ |
|
Habilitar la rotación de clave |
√ |
√ |
|
Modificar intervalo de rotación de clave |
√ |
√ |
|
Deshabilitar la rotación de clave |
√ |
√ |
|
Consultar estado de rotación de clave |
√ |
√ |
|
Consultar instancias de CMK |
√ |
√ |
|
Consultar etiquetas de clave |
√ |
√ |
|
Consultar etiquetas de proyecto |
√ |
√ |
|
Agregar o eliminar etiquetas de clave por lotes |
√ |
√ |
|
Agregar etiquetas a una clave |
√ |
√ |
|
Eliminar etiquetas de clave |
√ |
√ |
|
Consultar la lista de clave |
√ |
√ |
|
Consultar detalles de clave |
√ |
√ |
|
Consultar clave pública |
√ |
√ |
|
Cantidad de instancia de consulta |
√ |
√ |
|
Cuotas de consulta |
√ |
√ |
|
Consultar la lista de pares de claves |
x |
x |
|
Crear o importar un par de claves |
x |
x |
|
Consultar pares de claves |
x |
x |
|
Eliminar un par de claves |
x |
x |
|
Actualizar descripción del par de claves |
x |
x |
|
Vincular un par de claves |
x |
x |
|
Desvincular un par de claves |
x |
x |
|
Consultar una tarea de vinculación |
x |
x |
|
Consultar tareas fallidas |
x |
x |
|
Eliminar todas las tareas con error |
x |
x |
|
Eliminar una tarea fallida |
x |
x |
|
Consultar tareas en ejecución |
x |
x |
