Permisos
Si necesita asignar diferentes permisos para IAM a los empleados de su organización, IAM es una buena opción para la gestión de permisos detallada. IAM proporciona autenticación de identidad, gestión de permisos y control de acceso, lo que le ayuda a proteger el acceso a sus recursos de Huawei Cloud.
Con IAM, puede crear usuarios de IAM bajo su cuenta y asignar permisos a estos usuarios para controlar su acceso a recursos específicos. Por ejemplo, puede conceder permisos para permitir que determinados planificadores de proyectos de su empresa vean los datos de IAM, pero no permitirles realizar operaciones de alto riesgo, por ejemplo, eliminar usuarios y proyectos de IAM. Para ver todos los permisos de los servicios admitidos por IAM, consulte Permisos definidos por el sistema.
Permisos de IAM
Los nuevos usuarios de IAM no tienen ningún permiso asignado de forma predeterminada. Primero debe agregarlos a uno o más grupos y adjuntar políticas o roles a estos grupos. A continuación, los usuarios heredan los permisos de los grupos y pueden realizar operaciones específicas en servicios en la nube en función de los permisos que se les han asignado.
IAM es un servicio global desplegado para todas las regiones. Cuando establece el ámbito de autorización en Global services, los usuarios tienen permiso para acceder a IAM en todas las regiones.
Puede conceder permisos a los usuarios mediante roles y políticas.
- Roles: Una estrategia de autorización de grano grueso proporcionada por IAM para asignar permisos en función de las responsabilidades del trabajo de los usuarios. Solo un número limitado de roles de nivel de servicio están disponibles para autorización. Los servicios en la nube dependen unos de otros. Cuando concede permisos mediante roles, también debe adjuntar las dependencias de roles existentes. Los roles no son ideales para la autorización detallada y el acceso con privilegios mínimos.
- Políticas: Una estrategia de autorización detallada que define los permisos necesarios para realizar operaciones en recursos específicos en la nube bajo ciertas condiciones. Este tipo de autorización es más flexible y es ideal para el acceso de privilegios mínimos. Por ejemplo, puede conceder a los usuarios solo permiso para gestionar ECS de un tipo determinado. La mayoría de las políticas detalladas contienen permisos para API específicas, y los permisos se definen mediante acciones de API. Para ver las acciones de API admitidas por IAM, consulte Permisos y acciones admitidas.
Tabla 1 enumera todos los permisos definidos por el sistema para IAM.
Nombre de rol/política |
Descripción |
Tipo |
Contenido |
---|---|---|---|
FullAccess |
Permisos completos para todos los servicios que admiten la autorización basada en políticas. Los usuarios con estos permisos pueden realizar operaciones en todos los servicios. |
Política definida por el sistema |
|
IAM ReadOnlyAccess |
Permisos de sólo lectura para IAM. Los usuarios con estos permisos solo pueden ver los datos de IAM. |
Política definida por el sistema |
|
Security Administrator |
Administrador de IAM con permisos completos, incluidos permisos para crear y eliminar usuarios de IAM. |
Rol definido por el sistema |
|
Agent Operator |
Operador IAM (parte delegada) con permisos para cambiar roles y acceder a recursos de una parte delegada. |
Rol definido por el sistema |
|
Tenant Guest |
Permisos de sólo lectura para todos los servicios excepto IAM. |
Política definida por el sistema |
|
Tenant Administrator |
Permisos de administrador para todos los servicios excepto IAM. |
Política definida por el sistema |
Tabla 2 enumera las operaciones comunes admitidas por los permisos definidos por el sistema para IAM.
Tenant Guest y Tenant Administrator son roles básicos proporcionados por IAM y no contienen ningún permiso específico para IAM. Por lo tanto, los dos roles no se enumeran en la tabla siguiente.
Operación |
Administrador de seguridad |
Agente Operador |
FullAccess |
IAM ReadOnlyAccess |
---|---|---|---|---|
Creación de usuarios de IAM |
Admitido |
No admitido |
Admitido |
No admitido |
Consulta de los detalles del usuario de IAM |
Admitido |
No admitido |
Admitido |
Admitido |
Modificación de la información de usuario de IAM |
Admitido |
No admitido |
Admitido |
No admitido |
Consulta de la configuración de seguridad de los usuarios de IAM |
Admitido |
No admitido |
Admitido |
Admitido |
Modificación de la configuración de seguridad de los usuarios de IAM |
Admitido |
No admitido |
Admitido |
No admitido |
Eliminación de usuarios de IAM |
Admitido |
No admitido |
Admitido |
No admitido |
Creación de grupos de usuarios |
Admitido |
No admitido |
Admitido |
No admitido |
Consulta de detalles del grupo de usuarios |
Admitido |
No admitido |
Admitido |
Admitido |
Modificación de la información del grupo de usuarios |
Admitido |
No admitido |
Admitido |
No admitido |
Adición de usuarios a grupos de usuarios. |
Admitido |
No admitido |
Admitido |
No admitido |
Eliminación de usuarios de grupos de usuarios |
Admitido |
No admitido |
Admitido |
No admitido |
Eliminación de grupos de usuarios |
Admitido |
No admitido |
Admitido |
No admitido |
Asignación de permisos a grupos de usuarios |
Admitido |
No admitido |
Admitido |
No admitido |
Eliminación de permisos de grupos de usuarios |
Admitido |
No admitido |
Admitido |
No admitido |
Creación de políticas personalizadas |
Admitido |
No admitido |
Admitido |
No admitido |
Modificación de políticas personalizadas |
Admitido |
No admitido |
Admitido |
No admitido |
Eliminación de políticas personalizadas |
Admitido |
No admitido |
Admitido |
No admitido |
Consulta de detalles de permisos |
Admitido |
No admitido |
Admitido |
Admitido |
Creación de delegaciones |
Admitido |
No admitido |
Admitido |
No admitido |
Consulta de delegaciones |
Admitido |
No admitido |
Admitido |
Admitido |
Modificación de delegaciones |
Admitido |
No admitido |
Admitido |
No admitido |
Cambio de roles |
No admitido |
Admitido |
Admitido |
No admitido |
Eliminación de delegaciones |
Admitido |
No admitido |
Admitido |
No admitido |
Concesión de permisos a delegaciones |
Admitido |
No admitido |
Admitido |
No admitido |
Eliminación de permisos de delegaciones |
Admitido |
No admitido |
Admitido |
No admitido |
Creación de proyectos |
Admitido |
No admitido |
Admitido |
No admitido |
Consulta de proyectos |
Admitido |
No admitido |
Admitido |
Admitido |
Modificación de proyectos |
Admitido |
No admitido |
Admitido |
No admitido |
Supresión de proyectos |
Admitido |
No admitido |
Admitido |
No admitido |
Creación de proveedores de identidad |
Admitido |
No admitido |
Admitido |
No admitido |
Importación de archivos de metadatos |
Admitido |
No admitido |
Admitido |
No admitido |
Consulta de archivos de metadatos |
Admitido |
No admitido |
Admitido |
Admitido |
Consulta de proveedores de identidad |
Admitido |
No admitido |
Admitido |
Admitido |
Consulta de protocolos |
Admitido |
No admitido |
Admitido |
Admitido |
Consulta de asignaciones |
Admitido |
No admitido |
Admitido |
Admitido |
Actualización de proveedores de identidad |
Admitido |
No admitido |
Admitido |
No admitido |
Actualización de protocolos |
Admitido |
No admitido |
Admitido |
No admitido |
Actualización de asignaciones |
Admitido |
No admitido |
Admitido |
No admitido |
Supresión de proveedores de identidad |
Admitido |
No admitido |
Admitido |
No admitido |
Supresión de protocolos |
Admitido |
No admitido |
Admitido |
No admitido |
Supresión de asignaciones |
Admitido |
No admitido |
Admitido |
No admitido |
Consulta de cuotas |
Admitido |
No admitido |
Admitido |
No admitido |
La gestión de claves de acceso está deshabilitada de forma predeterminada. Cuando se habilita la gestión de claves de acceso, solo los administradores pueden gestionar las claves de acceso. Si los usuarios de IAM necesitan crear, habilitar, deshabilitar o eliminar sus propias claves de acceso, deben pedir al administrador que deshabilite la gestión de claves de acceso.
Si un usuario de IAM desea gestionar las claves de acceso de otros usuarios de IAM, consulte la Tabla 3. Por ejemplo, si el usuario A de IAM desea crear una clave de acceso para el usuario B de IAM, el usuario A de IAM debe tener el permiso de Administrador de seguridad o FullAccess.
Operación |
Administrador de seguridad |
Agente Operador |
FullAccess |
IAM ReadOnlyAccess |
---|---|---|---|---|
Creación de claves de acceso (para otros usuarios de IAM) |
Admitido |
No admitido |
Admitido |
No admitido |
Consulta de claves de acceso (de otros usuarios de IAM) |
Admitido |
No admitido |
Admitido |
Admitido |
Modificación de claves de acceso (para otros usuarios de IAM) |
Admitido |
No admitido |
Admitido |
No admitido |
Eliminación de claves de acceso (para otros usuarios de IAM) |
Admitido |
No admitido |
Admitido |
No admitido |
Contenido de la Política FullAccess
{ "Version": "1.1", "Statement": [ { "Action": [ "*:*:*" ], "Effect": "Allow" } ] }
Contenido de la Política de ReadOnlyAccess de IAM
{ "Version": "1.1", "Statement": [ { "Action": [ "iam:*:get*", "iam:*:list*", "iam:*:check*" ], "Effect": "Allow" } ] }
Contenido del rol de administrador de seguridad
{ "Version": "1.0", "Statement": [ { "Action": [ "iam:agencies:*", "iam:credentials:*", "iam:groups:*", "iam:identityProviders:*", "iam:mfa:*", "iam:permissions:*", "iam:projects:*", "iam:quotas:*", "iam:roles:*", "iam:users:*", "iam:securitypolicies:*" ], "Effect": "Allow" } ] }
Contenido del rol de operador de agente
{ "Version": "1.0", "Statement": [ { "Action": [ "iam:tokens:assume" ], "Effect": "Allow" } ] }
Contenido del rol de invitado del tenant
{ "Version": "1.1", "Statement": [ { "Action": [ "obs:*:get*", "obs:*:list*", "obs:*:head*" ], "Effect": "Allow" }, { "Condition": { "StringNotEqualsIgnoreCase": { "g:ServiceName": [ "iam" ] } }, "Action": [ "*:*:get*", "*:*:list*", "*:*:head*" ], "Effect": "Allow" } ] }