Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Actualización más reciente 2022-11-17 GMT+08:00

Permisos

Si necesita controlar el acceso a sus recursos ELB de una manera por usuario, IAM es una buena opción para la gestión de permisos detallada. IAM proporciona autenticación de identidad, gestión de permisos y control de acceso, ellos le ayudan a asegurar el acceso a sus recursos en la nube.

Con IAM, puede usar su cuenta de Huawei Cloud para crear usuarios de IAM para sus empleados y asignar permisos a los usuarios para controlar su acceso a recursos específicos de varios tipos. Por ejemplo, algunos desarrolladores de software de su empresa necesitan usar recursos ELB pero no deben eliminarlos ni realizar operaciones de alto riesgo. Para lograr esto, puede crear usuarios de IAM para estos desarrolladores de software y concederles los permisos necesarios para usar los recursos ELB.

Omita esta sección si su cuenta de Huawei Cloud no necesita usuarios individuales de IAM para la gestión de permisos.

IAM es gratuito. Solo paga por los recursos de su cuenta. Para obtener más información acerca de IAM, consulte Descripción general del servicio IAM .

Permisos de ELB

De forma predeterminada, los nuevos usuarios de IAM no tienen permisos asignados. Para conceder permisos a un usuario, agregue el usuario a uno o más grupos y adjunte políticas o roles de permisos a estos grupos. Los usuarios heredan permisos de los grupos a los que se agregan y pueden realizar operaciones específicas a servicios en la nube según los permisos.

ELB es un servicio a nivel de proyecto implementado y accedido en regiones físicas específicas. Para asignar permisos ELB a un grupo de usuarios, especifique el ámbito como proyectos específicos de la región y seleccione los proyectos para los que desea que los permisos surtan efecto. Si selecciona All projects, los permisos surtirán efecto para el grupo de usuarios en todos los proyectos específicos de la región. Al acceder a ELB, los usuarios deben cambiar a una región en la que se les haya autorizado a usar ELB.

Puede conceder permisos a los usuarios mediante roles y políticas.

  • Roles: Tipo de mecanismo de autorización de grano grueso que define permisos relacionados con las responsabilidades del usuario. Este mecanismo proporciona solo un número limitado de roles de nivel de servicio para la autorización. Al usar roles para conceder permisos, también debe asignar otros roles de los que dependen los permisos para que surtan efecto. Sin embargo, los roles no son la opción ideal para la autorización detallada y el control de acceso seguro.
  • Políticas: Un tipo de mecanismo de autorización detallado que define los permisos necesarios para realizar operaciones en recursos de nube específicos bajo ciertas condiciones. Este mecanismo permite una autorización más flexible basada en políticas, cumpliendo los requisitos para un control de acceso seguro. Por ejemplo, puede conceder a los usuarios de ELB los permisos para gestionar solo un determinado tipo de recursos. La mayoría de las políticas definen permisos basados en API. Para ver las acciones de API admitidas por ELB, consulte Políticas de permisos y acciones admitidas.
Tabla 1 enumera todas las roles definidos por el sistema y políticas admitidas por ELB.
Tabla 1 Roles definidos por el sistema y políticas admitidas por ELB

Nombre de rol/política

Descripción

Tipo

ELB FullAccess

Permisos: todos los permisos en los recursos ELB

Alcance: servicio a nivel de proyecto

Política definida por el sistema

ELB ReadOnlyAccess

Permisos: permisos de solo lectura en recursos ELB

Alcance: servicio a nivel de proyecto

Política definida por el sistema

ELB Administrator

Permisos: todos los permisos en los recursos ELB. Para obtener este permiso, los usuarios también deben tener los permisos Tenant Administrator, VPC Administrator, CES Administrator, Server Administrator y Tenant Guest.

Alcance: servicio a nivel de proyecto

NOTA:
  • Si su cuenta ha solicitado permisos detallados, configure políticas detallados para los permisos del sistema ELB, en lugar de las políticas RBAC.

Rol definido por el sistema

Tabla 2 describe las operaciones comunes soportadas por cada política de sistema de ELB.

Tabla 2 Operaciones comunes apoyadas por cada política de sistema

Operación

ELB FullAccess

ELB ReadOnlyAccess

ELB Administrator

Crear un balanceador de carga

×

Consultar un balanceador de carga

Consultar un balanceador de carga y recursos asociados

Consultar los balanceadores de carga

Modificación de un balanceador de carga

×

Eliminar un balanceador de carga

×

Agregar un oyente

×

Consultar un oyente

Modificar un oyente

×

Eliminar un oyente

×

Agregar un grupo de servidores de backend

×

Consultar un grupo de servidores backend

Modificar un grupo de servidores backend

×

Eliminar un grupo de servidores backend

×

Agregar un servidor de backend

×

Consultar un servidor de backend

Modificar un servidor de backend

×

Eliminar un servidor de backend

×

Configurar una comprobación de estado

×

Consultar una comprobación de estado

Modificar una comprobación de estado

×

Deshabilitar una comprobación de estado

×

Asignar un EIP

×

×

Vincular un EIP a un balanceador de carga

×

×

Consultar un EIP

Desvincular un EIP de un balanceador de carga

×

×

Consultar Métricas

×

×

Consultar logs de acceso

×

×

  • Para desvincular un EIP, también necesita configurar los permisos vpc:bandwidths:update y vpc:publicIps:update del servicio VPC. Para obtener más información, consulta la Referencia de la API de Virtual Private Cloud.
  • Para ver las métricas de supervisión, también debe configurar el permiso CES ReadOnlyAccess. Para obtener más información, consulta la Referencia de la API de Cloud Eye.
  • Para ver los registros de acceso, también necesita configurar el permiso LTS ReadOnlyAccess. Para obtener más información, consulta la Referencia de la API del Log Tank Service.