Gestión de permisos
Si desea asignar diferentes permisos de acceso a los empleados de una empresa para los recursos DEW adquiridos en Huawei Cloud, puede usar Identity and Access Management (IAM) para realizar una gestión de permisos perfeccionada. IAM proporciona autenticación de identidad, gestión de permisos y control de acceso, lo que le ayuda a proteger el acceso a sus recursos en la nube.
Con IAM, puede usar su cuenta de Huawei Cloud para crear usuarios de IAM para sus empleados y asignar permisos a los usuarios para controlar su acceso a tipos de recursos específicos. Por ejemplo, si tiene desarrolladores de software y desea asignarles el permiso para acceder a DEW pero no para eliminar DEW o sus recursos, puede crear una política de IAM para asignar a los desarrolladores el permiso para acceder a DEW pero evitar que eliminen datos relacionados con DEW.
Si la cuenta de Huawei Cloud cumple con sus requisitos y no necesita crear un usuario de IAM independiente para el control de permisos, puede omitir esta sección. Esto no afectará a otras funciones de DEW.
IAM se ofrece de forma gratuita, y usted paga solo por los recursos facturables en su cuenta. Para obtener más información, consulte Descripción general del servicio IAM.
Permisos de DEW
De forma predeterminada, los nuevos usuarios de IAM no tienen permisos asignados. Debe agregar un usuario a uno o más grupos y adjuntar directivas o roles de permisos a estos grupos. Los usuarios heredan permisos de sus grupos y pueden realizar operaciones específicas en servicios en la nube según los permisos.
DEW es un servicio a nivel de proyecto implementado y accedido en regiones físicas específicas. Para asignar permisos a un grupo de usuarios, especifique el ámbito como proyectos específicos de la región y seleccione proyectos para que los permisos surtan efecto. Si se selecciona All projects, los permisos surtirán efecto para el grupo de usuarios en todos los proyectos específicos de la región. Los usuarios deben cambiar a la región autorizada al acceder a DEW.
Puede conceder permisos a los usuarios mediante roles y políticas.
- Roles: Un tipo de mecanismo de autorización de grano grueso que define permisos relacionados con las responsabilidades del usuario. Este mecanismo proporciona solo un número limitado de roles de nivel de servicio para la autorización. Algunos roles dependen de otros roles para que surtan efecto. Cuando asigne dichos roles a los usuarios, recuerde asignar los roles de los que dependen. Sin embargo, los roles no son una opción ideal para la autorización detallada y el control de acceso seguro.
- Políticas: Un tipo de mecanismo de autorización detallado que define los permisos necesarios para realizar operaciones en recursos de nube específicos bajo ciertas condiciones. Este mecanismo permite una autorización más flexible basada en políticas, cumpliendo los requisitos para un control de acceso seguro. Por ejemplo, puede conceder a los usuarios de DEW solo los permisos para administrar un determinado tipo de servidores en la nube. La mayoría de las políticas contienen permisos para API específicas y los permisos se definen mediante acciones de API. Para ver las acciones de API admitidas por DEW, consulte Políticas de permisos y acciones admitidas.
Tabla 1 enumera todas las directivas del sistema de DEW.
Nombre de rol/política |
Descripción |
Tipo |
Dependencia |
|---|---|---|---|
KMS Administrator |
Permisos de administrador para KMS |
Rol del sistema |
Ninguno |
KMS CMKFullAccess |
Permisos completos para KMS. Los usuarios con estos permisos pueden realizar todas las operaciones permitidas por las políticas. |
Política del sistema |
Ninguno |
DEW KeypairFullAccess |
Permisos completos para KPS. Los usuarios con estos permisos pueden realizar todas las operaciones permitidas por las políticas. |
Política del sistema |
Ninguno |
DEW KeypairReadOnlyAccess |
Permisos de sólo lectura para KPS. Los usuarios con este permiso sólo pueden ver los datos de KPS. |
Política del sistema |
Ninguno |
Tabla 2 enumera las operaciones comunes soportadas por cada permiso definido por el sistema de DEW. Seleccione los permisos necesarios.
Operación |
Administrador de KMS |
KMS CMKFullAccess |
DEW KeypairFullAccess |
DEW KeypairReadOnlyAccess |
|---|---|---|---|---|
Crear una clave |
√ |
√ |
x |
x |
Habilitar una clave |
√ |
√ |
x |
x |
Deshabilitar una clave |
√ |
√ |
x |
x |
Programar eliminación de clave |
√ |
√ |
x |
x |
Cancelar la eliminación de clave programada |
√ |
√ |
x |
x |
Modificar un alias de clave |
√ |
√ |
x |
x |
Modificar descripción de clave |
√ |
√ |
x |
x |
Generar un número aleatorio |
√ |
√ |
x |
x |
Crear un DEK |
√ |
√ |
x |
x |
Crear un DEK sin texto sin formato |
√ |
√ |
x |
x |
Cifrar un DEK |
√ |
√ |
x |
x |
Descifrar un DEK |
√ |
√ |
x |
x |
Obtener parámetros para importar una clave |
√ |
√ |
x |
x |
Importar materiales de clave |
√ |
√ |
x |
x |
Eliminar materiales de clave |
√ |
√ |
x |
x |
Crear una autorización |
√ |
√ |
x |
x |
Revocar una autorización |
√ |
√ |
x |
x |
Retirar una autorización |
√ |
√ |
x |
x |
Consultar la lista de concesiones |
√ |
√ |
x |
x |
Consultar autorización retirable |
√ |
√ |
x |
x |
Cifrar datos |
√ |
√ |
x |
x |
Descifrar datos |
√ |
√ |
x |
x |
Enviar mensajes de firma |
√ |
√ |
x |
x |
Autenticación de firma |
√ |
√ |
x |
x |
Habilitar la rotación de clave |
√ |
√ |
x |
x |
Modificar intervalo de rotación de clave |
√ |
√ |
x |
x |
Deshabilitar la rotación de clave |
√ |
√ |
x |
x |
Consultar estado de rotación de clave |
√ |
√ |
x |
x |
Consultar instancias CMK |
√ |
√ |
x |
x |
Consultar etiquetas de clave |
√ |
√ |
x |
x |
Consultar etiquetas de proyecto |
√ |
√ |
x |
x |
Agregar o eliminar etiquetas de clave por lotes |
√ |
√ |
x |
x |
Agregar etiquetas a una clave |
√ |
√ |
x |
x |
Eliminar etiquetas de clave |
√ |
√ |
x |
x |
Consultar la lista de clave |
√ |
√ |
x |
x |
Consultar detalles de clave |
√ |
√ |
x |
x |
Consultar clave pública |
√ |
√ |
x |
x |
Cantidad de instancia de consulta |
√ |
√ |
x |
x |
Consultar cuotas |
√ |
√ |
x |
x |
Consultar la lista de pares de claves |
x |
x |
√ |
√ |
Crear o importar un par de claves |
x |
x |
√ |
x |
Consultar pares de claves |
x |
x |
√ |
√ |
Eliminar un par de claves |
x |
x |
√ |
x |
Actualizar descripción del par de claves |
x |
x |
√ |
x |
Vincular un par de claves |
x |
x |
√ |
x |
Desvincular un par de claves |
x |
x |
√ |
x |
Consultar una tarea de vinculación |
x |
x |
√ |
√ |
Consultar tareas fallidas |
x |
x |
√ |
√ |
Eliminar todas las tareas con error |
x |
x |
√ |
x |
Eliminar una tarea fallida |
x |
x |
√ |
x |
Consultar tareas en ejecución |
x |
x |
√ |
√ |
