Permisos
Si necesita controlar el acceso a sus recursos ELB de una manera por usuario, IAM es una buena opción para la gestión de permisos detallada. IAM proporciona autenticación de identidad, gestión de permisos y control de acceso, ellos le ayudan a asegurar el acceso a sus recursos en la nube.
Con IAM, puede usar su cuenta de Huawei Cloud para crear usuarios de IAM para sus empleados y asignar permisos a los usuarios para controlar su acceso a recursos específicos de varios tipos. Por ejemplo, algunos desarrolladores de software de su empresa necesitan usar recursos ELB pero no deben eliminarlos ni realizar operaciones de alto riesgo. Para lograr esto, puede crear usuarios de IAM para estos desarrolladores de software y concederles los permisos necesarios para usar los recursos ELB.
Omita esta sección si su cuenta de Huawei Cloud no necesita usuarios individuales de IAM para la gestión de permisos.
IAM es gratuito. Solo paga por los recursos de su cuenta. Para obtener más información acerca de IAM, consulte Descripción general del servicio IAM .
Permisos de ELB
De forma predeterminada, los nuevos usuarios de IAM no tienen permisos asignados. Para conceder permisos a un usuario, agregue el usuario a uno o más grupos y adjunte políticas o roles de permisos a estos grupos. Los usuarios heredan permisos de los grupos a los que se agregan y pueden realizar operaciones específicas a servicios en la nube según los permisos.
ELB es un servicio a nivel de proyecto implementado y accedido en regiones físicas específicas. Para asignar permisos ELB a un grupo de usuarios, especifique el ámbito como proyectos específicos de la región y seleccione los proyectos para los que desea que los permisos surtan efecto. Si selecciona All projects, los permisos surtirán efecto para el grupo de usuarios en todos los proyectos específicos de la región. Al acceder a ELB, los usuarios deben cambiar a una región en la que se les haya autorizado a usar ELB.
Puede conceder permisos a los usuarios mediante roles y políticas.
- Roles: Tipo de mecanismo de autorización de grano grueso que define permisos relacionados con las responsabilidades del usuario. Este mecanismo proporciona solo un número limitado de roles de nivel de servicio para la autorización. Al usar roles para conceder permisos, también debe asignar otros roles de los que dependen los permisos para que surtan efecto. Sin embargo, los roles no son la opción ideal para la autorización detallada y el control de acceso seguro.
- Políticas: Un tipo de mecanismo de autorización detallado que define los permisos necesarios para realizar operaciones en recursos de nube específicos bajo ciertas condiciones. Este mecanismo permite una autorización más flexible basada en políticas, cumpliendo los requisitos para un control de acceso seguro. Por ejemplo, puede conceder a los usuarios de ELB los permisos para gestionar solo un determinado tipo de recursos. La mayoría de las políticas definen permisos basados en API. Para ver las acciones de API admitidas por ELB, consulte Políticas de permisos y acciones admitidas.
Nombre de rol/política |
Descripción |
Tipo |
|---|---|---|
ELB FullAccess |
Permisos: todos los permisos en los recursos ELB Alcance: servicio a nivel de proyecto |
Política definida por el sistema |
ELB ReadOnlyAccess |
Permisos: permisos de solo lectura en recursos ELB Alcance: servicio a nivel de proyecto |
Política definida por el sistema |
ELB Administrator |
Permisos: todos los permisos en los recursos ELB. Para obtener este permiso, los usuarios también deben tener los permisos Tenant Administrator, VPC Administrator, CES Administrator, Server Administrator y Tenant Guest. Alcance: servicio a nivel de proyecto
NOTA:
|
Rol definido por el sistema |
Tabla 2 describe las operaciones comunes soportadas por cada política de sistema de ELB.
Operación |
ELB FullAccess |
ELB ReadOnlyAccess |
ELB Administrator |
|---|---|---|---|
Crear un balanceador de carga |
√ |
× |
√ |
Consultar un balanceador de carga |
√ |
√ |
√ |
Consultar un balanceador de carga y recursos asociados |
√ |
√ |
√ |
Consultar los balanceadores de carga |
√ |
√ |
√ |
Modificación de un balanceador de carga |
√ |
× |
√ |
Eliminar un balanceador de carga |
√ |
× |
√ |
Agregar un oyente |
√ |
× |
√ |
Consultar un oyente |
√ |
√ |
√ |
Modificar un oyente |
√ |
× |
√ |
Eliminar un oyente |
√ |
× |
√ |
Agregar un grupo de servidores de backend |
√ |
× |
√ |
Consultar un grupo de servidores backend |
√ |
√ |
√ |
Modificar un grupo de servidores backend |
√ |
× |
√ |
Eliminar un grupo de servidores backend |
√ |
× |
√ |
Agregar un servidor de backend |
√ |
× |
√ |
Consultar un servidor de backend |
√ |
√ |
√ |
Modificar un servidor de backend |
√ |
× |
√ |
Eliminar un servidor de backend |
√ |
× |
√ |
Configurar una comprobación de estado |
√ |
× |
√ |
Consultar una comprobación de estado |
√ |
√ |
√ |
Modificar una comprobación de estado |
√ |
× |
√ |
Deshabilitar una comprobación de estado |
√ |
× |
√ |
Asignar un EIP |
× |
× |
√ |
Vincular un EIP a un balanceador de carga |
× |
× |
√ |
Consultar un EIP |
√ |
√ |
√ |
Desvincular un EIP de un balanceador de carga |
× |
× |
√ |
Consultar Métricas |
× |
× |
√ |
Consultar logs de acceso |
× |
× |
√ |
- Para desvincular un EIP, también necesita configurar los permisos vpc:bandwidths:update y vpc:publicIps:update del servicio VPC. Para obtener más información, consulta la Referencia de la API de Virtual Private Cloud.
- Para ver las métricas de supervisión, también debe configurar el permiso CES ReadOnlyAccess. Para obtener más información, consulta la Referencia de la API de Cloud Eye.
- Para ver los registros de acceso, también necesita configurar el permiso LTS ReadOnlyAccess. Para obtener más información, consulta la Referencia de la API del Log Tank Service.
