GaussDB(DWS) Gestión de permisos
Si necesita asignar diferentes permisos a los empleados de su empresa para acceder a sus Huawei CloudRecursos de GaussDB(DWS), IAM es una buena opción para la gestión detallada de permisos. IAM proporciona autenticación de identidad, gestión de permisos y control de acceso, lo que le ayuda a proteger el acceso a sus Huawei Cloud recursos.
Con IAM, puede usar su Huawei Cloud cuenta para crear usuarios de IAM para sus empleados, y asignar permisos a los usuarios para controlar su acceso a variantes de recursos específicos. Por ejemplo, algunos desarrolladores de software de su empresa necesitan usar recursos de GaussDB(DWS), pero no deben eliminarlos ni realizar operaciones de alto riesgo. Con este fin, puede crear usuarios de IAM para los desarrolladores de software y concederles solo los permisos necesarios para usar los recursos de GaussDB(DWS).
Si su Huawei Cloud cuenta no necesita usuarios individuales de IAM para la gestión de permisos, puede omitir esta sección.
IAM se puede utilizar de forma gratuita. Solo paga por los recursos de tu cuenta. Para obtener más información acerca de IAM, consulte Descripción general del servicio.
Políticas de sistema compatibles
De forma predeterminada, los nuevos usuarios de IAM no tienen permisos asignados. Debe agregar un usuario a uno o más grupos, y adjuntar políticas o roles de permisos a estos grupos. Los usuarios heredan permisos de los grupos a los que se agregan y pueden realizar operaciones específicas en servicios en la nube.
GaussDB(DWS) es un servicio a nivel de proyecto implementado y accedido en regiones físicas específicas. Para asignar permisos de GaussDB(DWS) a un grupo de usuarios, especifique el ámbito como proyectos específicos de región y seleccione proyectos para que los permisos surtan efecto. Si se selecciona All projects, los permisos surtirán efecto para el grupo de usuarios en todos los proyectos específicos de la región. Al acceder a GaussDB(DWS), los usuarios necesitan cambiar a una región donde han sido autorizados para usar GaussDB(DWS).
- Función: IAM proporciona inicialmente un mecanismo de autorización de grano grueso para definir permisos basados en las responsabilidades del trabajo de los usuarios'. Este mecanismo proporciona solo un número limitado de roles de nivel de servicio para la autorización. Al utilizar roles para conceder permisos, también debe asignar otros roles de los que dependen los permisos para que surtan efecto. Sin embargo, los roles no son una opción ideal para la autorización detallada y el control de acceso seguro.
- Políticas: Un variante de mecanismo de autorización detallado que define los permisos necesarios para realizar operaciones en recursos de nube específicos bajo ciertas condiciones. Este mecanismo permite una autorización más flexible basada en políticas, cumpliendo los requisitos para un control de acceso seguro. Por ejemplo, puede conceder a los usuarios de GaussDB(DWS) solo los permisos para administrar un cierto variante de recursos de GaussDB(DWS).
La mayoría de las políticas definen permisos basados en APIs. Para ver las acciones de API admitidas por GaussDB(DWS), consulte Políticas de permisos y acciones admitidas.
Para obtener más información sobre cómo crear una política de permisos detallada, consulte Creación de una política personalizado de GaussDB(DWS)
|
Nombre de rol/política |
Descripción |
Categoría |
Dependencias |
|---|---|---|---|
|
DWS ReadOnlyAccess |
Permisos de sólo lectura para GaussDB(DWS). Los usuarios con estos permisos solo pueden ver los datos de GaussDB(DWS). |
Política definida por el sistema |
N/A |
|
DWS FullAccess |
Permisos de administrador para GaussDB(DWS). Los usuarios con estos permisos pueden realizar todas las operaciones en GaussDB(DWS). |
Política definida por el sistema |
N/A |
|
DWS Administrator |
Permisos de administrador para GaussDB(DWS). Los usuarios con estos permisos pueden realizar operaciones en todos los recursos de GaussDB(DWS).
|
Rol definido por el sistema |
Depende de las políticas del Tenant Guest y Server Administrator, que deben asignarse en el mismo proyecto que la política de DWS Administrator. |
|
DWS Database Access |
Permiso de acceso a la base de datos de GaussDB(DWS). Los usuarios con este permiso pueden generar las credenciales temporales de usuario de base de datos basadas en usuarios de IAM para conectarse a la base de datos en el clúster de almacén de datos. |
Rol definido por el sistema |
Depende de la política de DWS Administrator, que debe asignarse en el mismo proyecto que la política de DWS Database Access. |
Tabla 2 enumera las operaciones comunes admitidas por cada política o rol de GaussDB(DWS) definido por el sistema. Elija las políticas o roles adecuados según sea necesario.
- Si utiliza el EIP por primera vez para un proyecto en una región, el sistema le pedirá que cree la agencia de DWSAccessVPC para autorizar a GaussDB(DWS) a acceder a VPC. Después de que la autorización es exitosa, GaussDB(DWS) puede cambiar a una VM sana cuando la VM enlazada con el EIP es defectuosa.
- Solo las cuentas o usuarios de nube pública con permisos de Security Administrator pueden crear agencias de forma predeterminada. De forma predeterminada, los usuarios de IAM de esas cuentas no pueden crear agencias. Cuando los usuarios utilizan el EIP, el sistema muestra un mensaje indicando permisos insuficientes. Póngase en contacto con un usuario con los permisos de DWS FullAccess para autorizar a la agencia en la página actual.
|
Operación |
DWS FullAccess |
DWS ReadOnlyAccess |
DWS Administrator |
DWS Database Access |
|---|---|---|---|---|
|
Creación/restauración de clústeres |
√ |
x |
√ |
x |
|
Obtención de la lista de clústeres |
√ |
√ |
√ |
√ |
|
Obtención de los detalles de un clúster |
√ |
√ |
√ |
√ |
|
Configuración de la política de instantáneas automatizada |
√ |
x |
√ |
x |
|
Configuración de parámetros/grupos de parámetros de seguridad |
√ |
x |
√ |
x |
|
Reiniciar clústeres |
√ |
x |
√ |
x |
|
Escalado de clústeres |
√ |
x |
√ |
x |
|
Restablecer contraseñas |
√ |
x |
√ |
x |
|
Aplicación de plantillas de parámetros a clústeres |
√ |
x |
√ |
x |
|
Eliminación de clústeres |
√ |
x |
√ |
x |
|
Configuración de ventanas de mantenimiento |
√ |
x |
√ |
x |
|
Vinculación de EIPs |
√ |
x |
√ |
x |
|
Desvinculación de EIPs |
√ |
x |
√ |
X |
|
Creación de nombres de dominio de DNS |
√ |
x |
√ |
x |
|
Liberación de nombres de dominio de DNS |
√ |
x |
√ |
x |
|
Modificación de nombres de dominio de DNS |
√ |
x |
√ |
x |
|
Creación de conexiones de MRS |
√ |
x |
√ |
x |
|
Actualización de conexiones de MRS |
√ |
x |
√ |
x |
|
Eliminación de conexiones de MRS |
√ |
x |
√ |
x |
|
Adición/Eliminación de etiquetas |
√ |
x |
√ |
x |
|
Edición de etiquetas |
√ |
x |
√ |
x |
|
Creación de instantáneas |
√ |
x |
√ |
x |
|
Obtención de la lista de instantáneas |
√ |
√ |
√ |
√ |
|
Eliminación de instantáneas |
√ |
x |
√ |
x |
|
Copia de instantáneas |
√ |
x |
√ |
x |
|
Creación de plantillas de parámetros |
√ |
x |
√ |
x |
|
Eliminación de plantillas de parámetros |
√ |
x |
√ |
x |
|
Modificación de plantillas de parámetros |
√ |
x |
√ |
x |
