Permisos
Si necesita asignar diferentes permisos al personal de su empresa para acceder a sus recursos de ELB, IAM es una buena opción para la gestión de permisos detallada. IAM proporciona autenticación de identidad, gestión de permisos y control de acceso, lo que le ayuda a acceder de forma segura a sus recursos en la nube.
Con IAM, puede crear usuarios de IAM y asignar permisos para controlar su acceso a recursos específicos. Por ejemplo, si desea que algunos desarrolladores de software de su empresa utilicen recursos de ELB pero no desea que eliminen estos recursos ni realicen otras operaciones de alto riesgo, puede conceder permiso para usar recursos de ELB pero no permiso para eliminarlos.
Omita esta sección si su cuenta de Huawei Cloud no requiere usuarios individuales de IAM para la gestión de permisos.
IAM es un servicio gratuito. Solo paga por los recursos de su cuenta. Para obtener más información acerca de IAM, consulte Descripción del servicio de IAM.
Permisos de ELB
Los nuevos usuarios de IAM no tienen ningún permiso asignado de forma predeterminada. Primero debe agregarlos a uno o más grupos y adjuntar políticas o roles a estos grupos. A continuación, los usuarios heredan los permisos de los grupos y pueden realizar operaciones específicas en servicios en la nube en función de los permisos que se les han asignado.
ELB es un servicio a nivel de proyecto desplegado para regiones específicas. Para asignar permisos ELB a un grupo de usuarios, especifique el ámbito como proyectos específicos de la región y seleccione los proyectos para los que desea que los permisos surtan efecto. Si selecciona All projects, los permisos surtirán efecto para el grupo de usuarios en todos los proyectos específicos de la región. Al acceder a ELB, los usuarios deben cambiar a la región autorizada.
Puede conceder permisos a los usuarios mediante roles y políticas.
- Roles: Una estrategia de autorización de grano grueso proporcionada por IAM para asignar permisos en función de las responsabilidades del trabajo de los usuarios. Solo un número limitado de roles de nivel de servicio están disponibles para autorización. Cuando concede permisos mediante roles, también debe adjuntar las dependencias de roles existentes. Los roles no son ideales para la autorización detallada y el acceso con privilegios mínimos.
- Políticas: Una estrategia de autorización detallada proporcionada por IAM para asignar los permisos necesarios para realizar operaciones en recursos específicos en la nube bajo ciertas condiciones. Este tipo de autorización es más flexible y es ideal para el acceso de privilegios mínimos. Por ejemplo, puede conceder a los usuarios de ELB solo permisos para gestionar un determinado tipo de recursos. La mayoría de las políticas detalladas contienen permisos para API específicas, y los permisos se definen mediante acciones de API. Para ver las acciones de API admitidas por ELB, consulta Políticas de permisos y acciones admitidas.
|
Nombre de rol/política |
Descripción |
Tipo |
|---|---|---|
|
ELB FullAccess |
Permisos: todos los permisos en los recursos ELB Alcance: servicio a nivel de proyecto |
Política definida por el sistema |
|
ELB ReadOnlyAccess |
Permisos: permisos de solo lectura en recursos ELB Alcance: servicio a nivel de proyecto |
Política definida por el sistema |
|
ELB Administrator |
Permisos: todos los permisos en los recursos ELB. Para obtener este permiso, los usuarios también deben tener los permisos Tenant Administrator, VPC Administrator, CES Administrator, Server Administrator y Tenant Guest. Alcance: servicio a nivel de proyecto
NOTA:
Si su cuenta ha solicitado permisos detallados, configure políticas detalladas para los permisos del sistema de ELB, en lugar de las políticas de administrador de ELB. |
Rol definido por el sistema |
Tabla 2 describe las operaciones comunes soportadas por cada política de sistema de ELB.
|
Operación |
ELB FullAccess |
ELB ReadOnlyAccess |
Administrador de ELB |
|---|---|---|---|
|
Crear un balanceador de carga |
Se admite |
No se admite |
Se admite |
|
Consultar un balanceador de carga |
Se admite |
Se admite |
Se admite |
|
Consultar un balanceador de carga y recursos asociados |
Se admite |
Se admite |
Se admite |
|
Consultar los balanceadores de carga |
Se admite |
Se admite |
Se admite |
|
Modificación de un balanceador de carga |
Se admite |
No se admite |
Se admite |
|
Eliminar un balanceador de carga |
Se admite |
No se admite |
Se admite |
|
Agregar un oyente |
Se admite |
No se admite |
Se admite |
|
Consultar un oyente |
Se admite |
Se admite |
Se admite |
|
Modificar un oyente |
Se admite |
No se admite |
Se admite |
|
Eliminar un oyente |
Se admite |
No se admite |
Se admite |
|
Agregar un grupo de servidores de backend |
Se admite |
No se admite |
Se admite |
|
Consultar un grupo de servidores backend |
Se admite |
Se admite |
Se admite |
|
Modificar un grupo de servidores backend |
Se admite |
No se admite |
Se admite |
|
Eliminar un grupo de servidores backend |
Se admite |
No se admite |
Se admite |
|
Agregar un servidor de backend |
Se admite |
No se admite |
Se admite |
|
Consultar un servidor de backend |
Se admite |
Se admite |
Se admite |
|
Modificar un servidor de backend |
Se admite |
No se admite |
Se admite |
|
Eliminar un servidor de backend |
Se admite |
No se admite |
Se admite |
|
Configurar una comprobación de estado |
Se admite |
No se admite |
Se admite |
|
Consultar una comprobación de estado |
Se admite |
Se admite |
Se admite |
|
Modificar una comprobación de estado |
Se admite |
No se admite |
Se admite |
|
Deshabilitar una comprobación de estado |
Se admite |
No se admite |
Se admite |
|
Asignar un EIP |
No se admite |
No se admite |
Se admite |
|
Vincular un EIP a un balanceador de carga |
No se admite |
No se admite |
Se admite |
|
Consultar un EIP |
Se admite |
Se admite |
Se admite |
|
Desvincular un EIP de un balanceador de carga |
No se admite |
No se admite |
Se admite |
|
Consultar Métricas |
No se admite |
No se admite |
Se admite |
|
Consultar logs de acceso |
No se admite |
No se admite |
Se admite |
- Para desvincular un EIP, también necesita configurar los permisos vpc:bandwidths:update y vpc:publicIps:update del servicio VPC. Para obtener más información, consulta la Referencia de la API de Virtual Private Cloud.
- Para ver las métricas de supervisión, también debe configurar el permiso CES ReadOnlyAccess. Para obtener más información, consulta la Referencia de la API de Cloud Eye.
- Para ver los registros de acceso, también necesita configurar el permiso LTS ReadOnlyAccess. Para obtener más información, consulta la Referencia de la API del Log Tank Service.
