Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda/ Identity and Access Management/ Descripción general del servicio/ Conceptos básicos
Actualización más reciente 2024-07-30 GMT+08:00
Ver PDF
Compartir

Conceptos básicos

Los siguientes son conceptos básicos que debe comprender antes de comenzar con el servicio IAM.

Cuenta

Se crea una cuenta después de registrarse con éxito en Huawei Cloud. Su cuenta tiene permisos de acceso completos para sus recursos en la nube y realiza pagos por el uso de estos recursos. Puede utilizar la cuenta para restablecer las contraseñas de usuario y asignar permisos.

No puede modificar o eliminar su cuenta en IAM, pero puede hacerlo en My Account.

Usuario de IAM

Puede usar su cuenta para crear usuarios de IAM y asignar permisos para recursos específicos. Cada usuario de IAM tiene sus propias credenciales de identidad (contraseñas o claves de acceso) y utiliza recursos en la nube basados en los permisos asignados. Los usuarios de IAM no pueden realizar pagos por sí mismos. Puede usar su cuenta para pagar sus facturas.

Si un usuario de IAM olvida su contraseña, puede restablecerla consultando ¿Cómo puedo restablecer mi contraseña?

Figura 1 Inicio de sesión de usuario de IAM

Relación entre una cuenta y sus usuarios de IAM

Una cuenta y sus usuarios de IAM tienen una relación padre-hijo. La cuenta es propietaria de los recursos y realiza pagos por los recursos utilizados por los usuarios de IAM. Tiene permisos completos para estos recursos. Los usuarios de IAM son creados por una cuenta, y solo tienen los permisos otorgados por la cuenta. La cuenta puede modificar o revocar los permisos de los usuarios de IAM en cualquier momento.

Figura 2 Usuarios de cuenta e IAM

Autorización

La autorización es el proceso de concesión de permisos necesarios para que un usuario realice tareas específicas.

Grupo de usuario

Un grupo de usuarios de IAM es una colección de usuarios de IAM. Los grupos de usuarios permiten especificar permisos para varios usuarios, lo que puede facilitar la gestión de los permisos para esos usuarios. Los usuarios de IAM agregados a un grupo de usuarios obtienen automáticamente los permisos asignados al grupo. Si se agrega un usuario a varios grupos de usuarios, el usuario heredará los permisos de todos estos grupos.

Hay un grupo de usuarios predeterminado admin. Tiene todos los permisos necesarios para usar todos los recursos de la nube. Los usuarios de IAM de este grupo pueden realizar operaciones en todos los recursos, incluidas, entre otras, la creación de grupos de usuarios y usuarios, la asignación de permisos y la gestión de recursos.

Figura 3 Grupo de usuarios y usuarios

Permisos

Puede conceder permisos a los usuarios mediante roles y políticas.
  • Roles: Una estrategia de autorización de grano grueso proporcionada por IAM para asignar permisos en función de las responsabilidades del trabajo de los usuarios. Solo un número limitado de roles de nivel de servicio están disponibles para autorización.
  • Políticas: Una estrategia de autorización detallada que define los permisos necesarios para realizar operaciones en recursos específicos en la nube bajo ciertas condiciones. Este tipo de autorización es más flexible y es ideal para el acceso de privilegios mínimos. Por ejemplo, puede conceder a los usuarios solo permiso para gestionar ECS de un tipo determinado. IAM admite políticas personalizadas y definidas por el sistema.
    • Una system-defined policy define las acciones comunes de un servicio en la nube. Las políticas definidas por el sistema se pueden utilizar para asignar permisos a grupos de usuarios y no se pueden modificar. Si necesita asignar permisos para un servicio específico a un grupo de usuarios o delegación en la consola de IAM pero no puede encontrar las políticas correspondientes, indica que el servicio no admite la gestión de permisos a través de IAM. Puede enviar un ticket de servicio para solicitar que los permisos para el servicio estén disponibles en IAM.
    • Las políticas personalizadas funcionan como complemento de las políticas definidas por el sistema. Puede crear políticas personalizadas utilizando las acciones admitidas por los servicios en la nube para un control de acceso más refinado. Puede crear políticas personalizadas en el editor visual o en la vista JSON.
Figura 4 Permisos de ejemplo

Credenciales

Las credenciales confirman la identidad de un usuario cuando el usuario accede a Huawei Cloud a través de la consola o las API. Las credenciales pueden ser una contraseña o claves de acceso. Puede gestionar sus propias credenciales y las credenciales de los usuarios de IAM.
  • Contraseña: Una credencial común para iniciar sesión en la consola de gestión o invocar a las API.
  • Clave de acceso: Un par ID de clave de acceso/clave de acceso secreta (AK/SK), que solo se puede usar para invocar a las API. Cada clave de acceso proporciona una firma para la autenticación criptográfica para garantizar que las solicitudes de acceso sean secretas, completas y correctas.

Dispositivo MFA virtual

Un dispositivo MFA virtual es una aplicación que genera códigos de verificación de 6 dígitos de acuerdo con el estándar de Algoritmo de contraseña única basada en el tiempo (TOTP). Los dispositivos MFA pueden estar basados en hardware o software. Huawei Cloud solo admite dispositivos MFA virtuales basados en software, que son programas de aplicación que se ejecutan en dispositivos inteligentes como celulares. Para obtener más información acerca de cómo usar dispositivos MFA virtuales, consulte Dispositivo MFA virtual.

Proyecto

Una región corresponde a un proyecto. Los proyectos predeterminados se definen para agrupar y aislar físicamente recursos (incluidos recursos informáticos, de almacenamiento y de red) entre regiones. Puede conceder permisos a los usuarios en un proyecto predeterminado para acceder a todos los recursos de la región asociada al proyecto. Si necesita un control de acceso más refinado, puede crear subproyectos con un proyecto predeterminado y comprar recursos en subproyectos. A continuación, puede asignar los permisos necesarios para que los usuarios accedan solo a recursos en subproyectos específicos.

Figura 5 Proyectos

Proyecto empresarial

Los proyectos empresariales le permiten agrupar y gestionar recursos entre regiones. Los recursos de los proyectos empresariales están lógicamente aislados entre sí. Un proyecto de empresa puede contener recursos de varias regiones y puede agregar recursos a proyectos de empresa o quitarlos fácilmente.

Para obtener más información acerca de cómo obtener los ID y características de proyecto empresarial, consulte la Guía del usuario de Enterprise Management.

Delegación

Una relación de confianza que puede establecer entre su cuenta y otra cuenta o un servicio en la nube para delegar el acceso a recursos.

  • Delegación de cuentas: puede delegar otra cuenta para implementar O&M en sus recursos en función de los permisos asignados.
  • Delegación de servicios en la nube: Servicios de Huawei Cloud se interactúan entre sí, y algunos servicios en la nube dependen de otros servicios. Puede crear una agencia para delegar un servicio en la nube para acceder a otros servicios.