Permisos
Si necesita asignar diferentes permisos al personal de su empresa para acceder a sus recursos DNS, Identity and Access Management (IAM) es una buena opción para la gestión de permisos detallada. IAM proporciona autenticación de identidad, gestión de permisos y control de acceso, lo que le ayuda a acceder de forma segura a sus recursos de Huawei Cloud.
Con IAM, puede crear usuarios de IAM y asignar permisos para controlar su acceso a recursos específicos. Por ejemplo, si desea que algunos desarrolladores de software de su empresa usen recursos DNS pero no desea que eliminen recursos DNS ni realicen otras operaciones de alto riesgo, puede crear usuarios de IAM y conceder permiso para usar recursos DNS, pero no permiso para eliminarlos.
Si su cuenta de Huawei Cloud no requiere usuarios individuales de IAM para la gestión de permisos, puede omitir esta sección.
IAM es un servicio gratuito. Solo paga por los recursos de su cuenta.
Para obtener más información acerca de IAM, consulte Descripción de servicio IAM.
Permisos de DNS
Los nuevos usuarios de IAM no tienen ningún permiso asignado de forma predeterminada. Primero debe agregarlos a uno o más grupos y adjuntar políticas o roles a estos grupos. A continuación, los usuarios heredan los permisos de los grupos y pueden realizar operaciones específicas en servicios en la nube en función de los permisos que se les han asignado.
Los recursos DNS incluyen lo siguiente:
- Zona pública: recurso de nivel global
- Zona privada: recurso a nivel de proyecto
- Registro PTR: recurso a nivel de proyecto
Los permisos de DNS para los recursos de nivel global no se pueden establecer en el proyecto de servicio global y se deben conceder para cada proyecto.
Al establecer Scope en Region-specific projects y seleccionar los proyectos especificados (por ejemplo, ap-southeast-2) en las regiones especificadas (por ejemplo, AP-Bangkok), los usuarios solo tienen permisos para DNS en los proyectos seleccionados. Si establece Scope en All resources, los usuarios tienen permisos para DNS en todos los proyectos específicos de la región. Al acceder a DNS, los usuarios deben cambiar a la región autorizada.
Puede conceder permisos a los usuarios mediante roles y políticas.
- Roles: Una estrategia de autorización de grano grueso proporcionada por IAM para asignar permisos en función de las responsabilidades del trabajo de los usuarios. Solo un número limitado de roles de nivel de servicio están disponibles para autorización. Servicios de Huawei Cloud dependen unos de otros. Cuando concede permisos mediante roles, también debe adjuntar roles dependientes. Los roles no son ideales para la autorización detallada y el acceso con privilegios mínimos.
- Políticas: Una estrategia de autorización detallada que define los permisos necesarios para realizar operaciones en recursos específicos en la nube bajo ciertas condiciones. Este tipo de autorización es más flexible y es ideal para el acceso de privilegios mínimos. Por ejemplo, solo puede conceder a los usuarios permisos para gestionar recursos DNS de un tipo determinado. La mayoría de las políticas detalladas contienen permisos para API específicas, y los permisos se definen mediante acciones de API. Para ver las acciones de API compatibles con DNS, consulte Permisos y acciones admitidas.
|
Nombre de rol/política |
Descripción |
Tipo |
Dependencias |
|---|---|---|---|
|
DNS FullAccess |
Permisos completos para DNS |
Política definida por el sistema |
Ninguna |
|
DNS ReadOnlyAccess |
Permisos de solo lectura para DNS. Los usuarios a los que se conceden estos permisos solo pueden ver los recursos DNS. |
Política definida por el sistema |
Ninguna |
|
DNS Administrator |
Permisos completos para DNS |
Rol definido por el sistema |
Tenant Guest y VPC Administrator que se deben adjuntar en el mismo proyecto que el rol DNS Administrator |
Tabla 2 enumera las operaciones comunes admitidas por los permisos definidos por el sistema para DNS.
|
Operación |
DNS FullAccess |
DNS ReadOnlyAccess |
Administrador de DNS |
|---|---|---|---|
|
Creación de una zona pública |
Admitida |
No admitida |
Admitida |
|
Consulta de una zona pública |
Admitida |
Admitida |
Admitida |
|
Modificación de una zona pública |
Admitida |
No admitida |
Admitida |
|
Eliminación de una zona pública |
Admitida |
No admitida |
Admitida |
|
Eliminación de zonas públicas por lotes |
Admitida |
No admitida |
Admitida |
|
Deshabilitación o habilitación de una zona pública |
Admitida |
No admitida |
Admitida |
|
Creación de una zona privada |
Admitida |
No admitida |
Admitida |
|
Consulta de una zona privada |
Admitida |
Admitida |
Admitida |
|
Modificación de una zona privada |
Admitida |
No admitida |
Admitida |
|
Eliminación de una zona privada |
Admitida |
No admitida |
Admitida |
|
Eliminación de zonas privadas por lotes |
Admitida |
No admitida |
Admitida |
|
Asociación de una VPC con una zona privada |
Admitida |
No admitida |
Admitida |
|
Disociación de una VPC de una zona privada |
Admitida |
No admitida |
Admitida |
|
Adición de un conjunto de registros |
Admitida |
No admitida |
Admitida |
|
Consulta de un conjunto de registros |
Admitida |
Admitida |
Admitida |
|
Modificación de un conjunto de registros |
Admitida |
No admitida |
Admitida |
|
Eliminación de un conjunto de registros |
Admitida |
No admitida |
Admitida |
|
Eliminación de conjuntos de registros en lotes |
Admitida |
No admitida |
Admitida |
|
Deshabilitación o habilitación de un conjunto de registros |
Admitida |
No admitida |
Admitida |
|
Exportación de conjuntos de registros por lotes |
Admitida |
No admitida |
Admitida |
|
Importación de conjuntos de registros en lotes |
Admitida |
No admitida |
Admitida |
|
Creación de un registro de PTR |
Admitida |
No admitida |
Admitida |
|
Consulta de un registro PTR |
Admitida |
Admitida |
Admitida |
|
Modificación de un registro de PTR |
Admitida |
No admitida |
Admitida |
|
Eliminación de un registro PTR |
Admitida |
No admitida |
Admitida |
|
Eliminación de registros PTR en lotes |
Admitida |
No admitida |
Admitida |
