Conceptos básicos
Los siguientes son conceptos básicos que debe comprender antes de comenzar con el servicio IAM.
Cuenta
Se crea una cuenta después de registrarse con éxito en Huawei Cloud. Su cuenta tiene permisos de acceso completos para sus recursos en la nube y realiza pagos por el uso de estos recursos. Puede utilizar la cuenta para restablecer las contraseñas de usuario y asignar permisos.
No puede modificar o eliminar su cuenta en IAM, pero puede hacerlo en My Account.
Usuario de IAM
Puede usar su cuenta para crear usuarios de IAM y asignar permisos para recursos específicos. Cada usuario de IAM tiene sus propias credenciales de identidad (contraseñas o claves de acceso) y utiliza recursos en la nube basados en los permisos asignados. Los usuarios de IAM no pueden realizar pagos por sí mismos. Puede usar su cuenta para pagar sus facturas.
Si un usuario de IAM olvida su contraseña, puede restablecerla consultando ¿Cómo puedo restablecer mi contraseña?
Relación entre una cuenta y sus usuarios de IAM
Una cuenta y sus usuarios de IAM tienen una relación padre-hijo. La cuenta es propietaria de los recursos y realiza pagos por los recursos utilizados por los usuarios de IAM. Tiene permisos completos para estos recursos. Los usuarios de IAM son creados por una cuenta, y solo tienen los permisos otorgados por la cuenta. La cuenta puede modificar o revocar los permisos de los usuarios de IAM en cualquier momento.
Autorización
La autorización es el proceso de concesión de permisos necesarios para que un usuario realice tareas específicas.
Grupo de usuario
Un grupo de usuarios de IAM es una colección de usuarios de IAM. Los grupos de usuarios permiten especificar permisos para varios usuarios, lo que puede facilitar la gestión de los permisos para esos usuarios. Los usuarios de IAM agregados a un grupo de usuarios obtienen automáticamente los permisos asignados al grupo. Si se agrega un usuario a varios grupos de usuarios, el usuario heredará los permisos de todos estos grupos.
Hay un grupo de usuarios predeterminado admin. Tiene todos los permisos necesarios para usar todos los recursos de la nube. Los usuarios de IAM de este grupo pueden realizar operaciones en todos los recursos, incluidas, entre otras, la creación de grupos de usuarios y usuarios, la asignación de permisos y la gestión de recursos.
Permisos
- Roles: Una estrategia de autorización de grano grueso proporcionada por IAM para asignar permisos en función de las responsabilidades del trabajo de los usuarios. Solo un número limitado de roles de nivel de servicio están disponibles para autorización.
- Políticas: Una estrategia de autorización detallada que define los permisos necesarios para realizar operaciones en recursos específicos en la nube bajo ciertas condiciones. Este tipo de autorización es más flexible y es ideal para el acceso de privilegios mínimos. Por ejemplo, puede conceder a los usuarios solo permiso para gestionar ECS de un tipo determinado. IAM admite políticas personalizadas y definidas por el sistema.
- Una system-defined policy define las acciones comunes de un servicio en la nube. Las políticas definidas por el sistema se pueden utilizar para asignar permisos a grupos de usuarios y no se pueden modificar. Si necesita asignar permisos para un servicio específico a un grupo de usuarios o delegación en la consola de IAM pero no puede encontrar las políticas correspondientes, indica que el servicio no admite la gestión de permisos a través de IAM. Puede enviar un ticket de servicio para solicitar que los permisos para el servicio estén disponibles en IAM.
- Las políticas personalizadas funcionan como complemento de las políticas definidas por el sistema. Puede crear políticas personalizadas utilizando las acciones admitidas por los servicios en la nube para un control de acceso más refinado. Puede crear políticas personalizadas en el editor visual o en la vista JSON.
Credenciales
- Contraseña: Una credencial común para iniciar sesión en la consola de gestión o invocar a las API.
- Clave de acceso: Un par ID de clave de acceso/clave de acceso secreta (AK/SK), que solo se puede usar para invocar a las API. Cada clave de acceso proporciona una firma para la autenticación criptográfica para garantizar que las solicitudes de acceso sean secretas, completas y correctas.
Dispositivo MFA virtual
Un dispositivo MFA virtual es una aplicación que genera códigos de verificación de 6 dígitos de acuerdo con el estándar de Algoritmo de contraseña única basada en el tiempo (TOTP). Los dispositivos MFA pueden estar basados en hardware o software. Huawei Cloud solo admite dispositivos MFA virtuales basados en software, que son programas de aplicación que se ejecutan en dispositivos inteligentes como celulares. Para obtener más información acerca de cómo usar dispositivos MFA virtuales, consulte Dispositivo MFA virtual.
Proyecto
Una región corresponde a un proyecto. Los proyectos predeterminados se definen para agrupar y aislar físicamente recursos (incluidos recursos informáticos, de almacenamiento y de red) entre regiones. Puede conceder permisos a los usuarios en un proyecto predeterminado para acceder a todos los recursos de la región asociada al proyecto. Si necesita un control de acceso más refinado, puede crear subproyectos con un proyecto predeterminado y comprar recursos en subproyectos. A continuación, puede asignar los permisos necesarios para que los usuarios accedan solo a recursos en subproyectos específicos.
Proyecto empresarial
Los proyectos empresariales le permiten agrupar y gestionar recursos entre regiones. Los recursos de los proyectos empresariales están lógicamente aislados entre sí. Un proyecto de empresa puede contener recursos de varias regiones y puede agregar recursos a proyectos de empresa o quitarlos fácilmente.
Para obtener más información acerca de cómo obtener los ID y características de proyecto empresarial, consulte la Guía del usuario de Enterprise Management.
Delegación
Una relación de confianza que puede establecer entre su cuenta y otra cuenta o un servicio en la nube para delegar el acceso a recursos.
- Delegación de cuentas: puede delegar otra cuenta para implementar O&M en sus recursos en función de los permisos asignados.
- Delegación de servicios en la nube: Servicios de Huawei Cloud se interactúan entre sí, y algunos servicios en la nube dependen de otros servicios. Puede crear una agencia para delegar un servicio en la nube para acceder a otros servicios.