Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.

Centro de ayuda> Identity and Access Management> Descripción general del servicio> Conceptos Básicos

Actualización más reciente 2022-11-08 GMT+08:00

Ver PDF

Conceptos Básicos

Los siguientes son conceptos básicos que debe comprender antes de comenzar con el servicio IAM.

Cuenta

Se crea una cuenta después de registrarse con éxito en Huawei Cloud. Su cuenta tiene permisos de acceso completos para sus recursos en la nube y realiza pagos por el uso de estos recursos. Puede utilizar la cuenta para restablecer las contraseñas de usuario y asignar permisos.

No puede modificar o eliminar su cuenta en IAM, pero puede hacerlo en My Account.

Usuario de IAM

Puede usar su cuenta para crear usuarios de IAM y asignar permisos para recursos específicos. Cada usuario de IAM tiene sus propias credenciales de identidad (contraseña y claves de acceso) y utiliza recursos en la nube basados en los permisos asignados. Los usuarios de IAM no pueden realizar pagos por sí mismos. Puede usar su cuenta para pagar sus facturas.

Si un usuario de IAM olvida su contraseña, el usuario puede restablecer la contraseña consultando ¿Qué puedo hacer si se olvida mi contraseña?

Figura 1 Inicio de sesión de usuario de IAM

Relación entre una cuenta y sus usuarios de IAM

Una cuenta y sus usuarios de IAM comparten una relación padre-hijo. La cuenta es propietaria de los recursos y realiza pagos por los recursos utilizados por los usuarios de IAM. Tiene permisos completos para estos recursos. Los usuarios de IAM se crean mediante una cuenta y solo tienen los permisos otorgados por la cuenta. El administrador de la cuenta puede modificar o cancelar los permisos de los usuarios de IAM en cualquier momento.

Figura 2 Usuarios de cuenta e IAM

Autorización

La autorización es el proceso de concesión de permisos necesarios para que un usuario realice una tarea.

Grupo de usuarios

Puede utilizar grupos de usuarios para asignar permisos a los usuarios de IAM. Los usuarios de IAM agregados a un grupo de usuarios obtienen automáticamente los permisos asignados al grupo. Si se agrega un usuario a varios grupos de usuarios, el usuario heredará los permisos asignados a todos estos grupos.

El admin de grupo de usuarios predeterminado tiene todos los permisos necesarios para usar todos los recursos de la nube. Los usuarios de este grupo pueden realizar operaciones en todos los recursos, incluidas, entre otras, la creación de grupos de usuarios y usuarios, la asignación de permisos y la gestión de recursos.

Figura 3 Grupo de usuarios y usuarios

Permiso

Puede conceder permisos a los usuarios mediante roles y políticas.

Roles: Un tipo de mecanismo de autorización de grano grueso que define permisos de nivel de servicio en función de las responsabilidades del usuario. Solo hay un número limitado de roles para conceder permisos a los usuarios.
Políticas: Un tipo de mecanismo de autorización detallado que define los permisos necesarios para realizar operaciones en recursos de nube específicos bajo ciertas condiciones. Este mecanismo permite una autorización basada en políticas más flexible y un control de acceso seguro. Por ejemplo, puede conceder a los usuarios de ECS solo los permisos necesarios para gestionar un determinado tipo de recursos de ECS. IAM admite políticas personalizadas y definidas por el sistema.
- A system-defined policy defines the common actions of a cloud service. Las políticas definidas por el sistema se pueden utilizar para asignar permisos a grupos de usuarios y no se pueden modificar. Si necesita asignar permisos para un servicio específico a un grupo de usuarios o agencia en la consola de IAM pero no puede encontrar las políticas correspondientes, indica que el servicio no admite la gestión de permisos a través de IAM. Envíe un ticket de servicio y solicite que los permisos para el servicio estén disponibles en IAM.
- Puede crear custom policies mediante las acciones admitidas por los servicios en la nube y utilizar políticas personalizadas para complementar las políticas definidas por el sistema para un control de acceso más refinado. Puede crear políticas personalizadas en el editor visual o en la vista JSON.

Figura 4 Ejemplo de permisos

Credenciales

Las credenciales confirman la identidad de un usuario cuando el usuario accede a Huawei Cloud a través de la consola o las API. Las credenciales incluyen una contraseña y claves de acceso. Puede gestionar sus credenciales y las credenciales de los usuarios de IAM que haya creado.

Contraseña: Una credencial común para iniciar sesión en la consola de gestión o llamar a las API.
Clave de acceso: Un par ID de clave de acceso/clave de acceso secreta (AK/SK), que solo se puede usar para llamar a las API. Cada clave de acceso proporciona una firma para la autenticación criptográfica para garantizar que las solicitudes de acceso sean secretas, completas y correctas.

Dispositivo MFA virtual

Un dispositivo MFA virtual es una aplicación que genera códigos de verificación de 6 dígitos de acuerdo con el estándar de Time-based One-time Password Algorithm. Los dispositivos MFA pueden estar basados en hardware o software. Actualmente, Huawei Cloud admite dispositivos MFA virtuales basados en software, que son programas de aplicación que se ejecutan en dispositivos inteligentes como teléfonos móviles. Para obtener más información sobre cómo usar dispositivos MFA virtuales, consulte Dispositivo MFA virtual.

Proyecto

Una región corresponde a un proyecto. Los proyectos predeterminados se definen para agrupar y aislar físicamente recursos (incluidos recursos informáticos, de almacenamiento y de red) entre regiones. Puede conceder permisos a los usuarios en un proyecto predeterminado para acceder a todos los recursos de la región asociada al proyecto. Si necesita un control de acceso más preciso, puede crear subproyectos en un proyecto predeterminado y comprar recursos en subproyectos. A continuación, puede asignar los permisos necesarios para que los usuarios accedan solo a recursos en subproyectos específicos.

Figura 5 Proyecto

Proyecto empresarial

Los proyectos empresariales le permiten agrupar y gestionar recursos entre regiones. Los recursos de los proyectos empresariales están lógicamente aislados entre sí. Un proyecto de empresa puede contener recursos de varias regiones y puede agregar recursos a proyectos de empresa o quitarlos fácilmente.

Para obtener más información acerca de cómo obtener identificadores y características de proyecto empresarial, consulte la Guía del usuario de gestión de empresa.

Agencia

Una relación de confianza que puede establecer entre su cuenta y otra cuenta o un servicio en la nube para delegar el acceso a recursos.

Delegación de cuentas: puede delegar otra cuenta para implementar O&M en sus recursos en función de los permisos asignados.

Delegación de servicios en la nube: servicios de Huawei Cloud interactúan entre sí, y algunos servicios en la nube dependen de otros servicios. Puede crear una agencia para delegar un servicio en la nube para acceder a otros servicios.

Tema anterior: ¿Qué es IAM?

Tema siguiente: Funciones