Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.

Centro de ayuda/ Identity and Access Management/ Descripción general del servicio/ Permisos

Actualización más reciente 2024-07-30 GMT+08:00

Ver PDF

Permisos

Si necesita asignar diferentes permisos para IAM a los empleados de su organización, IAM es una buena opción para la gestión de permisos detallada. IAM proporciona autenticación de identidad, gestión de permisos y control de acceso, lo que le ayuda a proteger el acceso a sus recursos de Huawei Cloud.

Con IAM, puede crear usuarios de IAM bajo su cuenta y asignar permisos a estos usuarios para controlar su acceso a recursos específicos. Por ejemplo, puede conceder permisos para permitir que determinados planificadores de proyectos de su empresa vean los datos de IAM, pero no permitirles realizar operaciones de alto riesgo, por ejemplo, eliminar usuarios y proyectos de IAM. Para ver todos los permisos de los servicios admitidos por IAM, consulte Permisos definidos por el sistema.

Permisos de IAM

Los nuevos usuarios de IAM no tienen ningún permiso asignado de forma predeterminada. Primero debe agregarlos a uno o más grupos y adjuntar políticas o roles a estos grupos. A continuación, los usuarios heredan los permisos de los grupos y pueden realizar operaciones específicas en servicios en la nube en función de los permisos que se les han asignado.

IAM es un servicio global desplegado para todas las regiones. Cuando establece el ámbito de autorización en Global services, los usuarios tienen permiso para acceder a IAM en todas las regiones.

Puede conceder permisos a los usuarios mediante roles y políticas.

Roles: Una estrategia de autorización de grano grueso proporcionada por IAM para asignar permisos en función de las responsabilidades del trabajo de los usuarios. Solo un número limitado de roles de nivel de servicio están disponibles para autorización. Los servicios en la nube dependen unos de otros. Cuando concede permisos mediante roles, también debe adjuntar las dependencias de roles existentes. Los roles no son ideales para la autorización detallada y el acceso con privilegios mínimos.
Políticas: Una estrategia de autorización detallada que define los permisos necesarios para realizar operaciones en recursos específicos en la nube bajo ciertas condiciones. Este tipo de autorización es más flexible y es ideal para el acceso de privilegios mínimos. Por ejemplo, puede conceder a los usuarios solo permiso para gestionar ECS de un tipo determinado. La mayoría de las políticas detalladas contienen permisos para API específicas, y los permisos se definen mediante acciones de API. Para ver las acciones de API admitidas por IAM, consulte Permisos y acciones admitidas.

Tabla 1 enumera todos los permisos definidos por el sistema para IAM.

**Tabla 1** Permisos definidos por el sistema para IAM
Nombre de rol/política	Descripción	Tipo	Contenido
FullAccess	Permisos completos para todos los servicios que admiten la autorización basada en políticas. Los usuarios con estos permisos pueden realizar operaciones en todos los servicios.	Política definida por el sistema	Contenido de la Política FullAccess
IAM ReadOnlyAccess	Permisos de sólo lectura para IAM. Los usuarios con estos permisos solo pueden ver los datos de IAM.	Política definida por el sistema	Contenido de la Política de ReadOnlyAccess de IAM
Security Administrator	Administrador de IAM con permisos completos, incluidos permisos para crear y eliminar usuarios de IAM.	Rol definido por el sistema	Contenido del rol de administrador de seguridad
Agent Operator	Operador IAM (parte delegada) con permisos para cambiar roles y acceder a recursos de una parte delegada.	Rol definido por el sistema	Contenido del rol de operador de agente
Tenant Guest	Permisos de sólo lectura para todos los servicios excepto IAM.	Política definida por el sistema	Contenido del rol de invitado del tenant
Tenant Administrator	Permisos de administrador para todos los servicios excepto IAM.	Política definida por el sistema	Contenido del rol de Administrador del tenant

Tabla 2 enumera las operaciones comunes admitidas por los permisos definidos por el sistema para IAM.

Tenant Guest y Tenant Administrator son roles básicos proporcionados por IAM y no contienen ningún permiso específico para IAM. Por lo tanto, los dos roles no se enumeran en la tabla siguiente.

**Tabla 2** Operaciones comunes admitidas por permisos definidos por el sistema
Operación	Administrador de seguridad	Agente Operador	FullAccess	IAM ReadOnlyAccess
Creación de usuarios de IAM	Admitido	No admitido	Admitido	No admitido
Consulta de los detalles del usuario de IAM	Admitido	No admitido	Admitido	Admitido
Modificación de la información de usuario de IAM	Admitido	No admitido	Admitido	No admitido
Consulta de la configuración de seguridad de los usuarios de IAM	Admitido	No admitido	Admitido	Admitido
Modificación de la configuración de seguridad de los usuarios de IAM	Admitido	No admitido	Admitido	No admitido
Eliminación de usuarios de IAM	Admitido	No admitido	Admitido	No admitido
Creación de grupos de usuarios	Admitido	No admitido	Admitido	No admitido
Consulta de detalles del grupo de usuarios	Admitido	No admitido	Admitido	Admitido
Modificación de la información del grupo de usuarios	Admitido	No admitido	Admitido	No admitido
Adición de usuarios a grupos de usuarios.	Admitido	No admitido	Admitido	No admitido
Eliminación de usuarios de grupos de usuarios	Admitido	No admitido	Admitido	No admitido
Eliminación de grupos de usuarios	Admitido	No admitido	Admitido	No admitido
Asignación de permisos a grupos de usuarios	Admitido	No admitido	Admitido	No admitido
Eliminación de permisos de grupos de usuarios	Admitido	No admitido	Admitido	No admitido
Creación de políticas personalizadas	Admitido	No admitido	Admitido	No admitido
Modificación de políticas personalizadas	Admitido	No admitido	Admitido	No admitido
Eliminación de políticas personalizadas	Admitido	No admitido	Admitido	No admitido
Consulta de detalles de permisos	Admitido	No admitido	Admitido	Admitido
Creación de delegaciones	Admitido	No admitido	Admitido	No admitido
Consulta de delegaciones	Admitido	No admitido	Admitido	Admitido
Modificación de delegaciones	Admitido	No admitido	Admitido	No admitido
Cambio de roles	No admitido	Admitido	Admitido	No admitido
Eliminación de delegaciones	Admitido	No admitido	Admitido	No admitido
Concesión de permisos a delegaciones	Admitido	No admitido	Admitido	No admitido
Eliminación de permisos de delegaciones	Admitido	No admitido	Admitido	No admitido
Creación de proyectos	Admitido	No admitido	Admitido	No admitido
Consulta de proyectos	Admitido	No admitido	Admitido	Admitido
Modificación de proyectos	Admitido	No admitido	Admitido	No admitido
Supresión de proyectos	Admitido	No admitido	Admitido	No admitido
Creación de proveedores de identidad	Admitido	No admitido	Admitido	No admitido
Importación de archivos de metadatos	Admitido	No admitido	Admitido	No admitido
Consulta de archivos de metadatos	Admitido	No admitido	Admitido	Admitido
Consulta de proveedores de identidad	Admitido	No admitido	Admitido	Admitido
Consulta de protocolos	Admitido	No admitido	Admitido	Admitido
Consulta de asignaciones	Admitido	No admitido	Admitido	Admitido
Actualización de proveedores de identidad	Admitido	No admitido	Admitido	No admitido
Actualización de protocolos	Admitido	No admitido	Admitido	No admitido
Actualización de asignaciones	Admitido	No admitido	Admitido	No admitido
Supresión de proveedores de identidad	Admitido	No admitido	Admitido	No admitido
Supresión de protocolos	Admitido	No admitido	Admitido	No admitido
Supresión de asignaciones	Admitido	No admitido	Admitido	No admitido
Consulta de cuotas	Admitido	No admitido	Admitido	No admitido

La gestión de claves de acceso está deshabilitada de forma predeterminada. Cuando se habilita la gestión de claves de acceso, solo los administradores pueden gestionar las claves de acceso. Si los usuarios de IAM necesitan crear, habilitar, deshabilitar o eliminar sus propias claves de acceso, deben pedir al administrador que deshabilite la gestión de claves de acceso.

Si un usuario de IAM desea gestionar las claves de acceso de otros usuarios de IAM, consulte la Tabla 3. Por ejemplo, si el usuario A de IAM desea crear una clave de acceso para el usuario B de IAM, el usuario A de IAM debe tener el permiso de Administrador de seguridad o FullAccess.

**Tabla 3** Acceder a las operaciones clave admitidas por las políticas o roles definidos por el sistema
Operación	Administrador de seguridad	Agente Operador	FullAccess	IAM ReadOnlyAccess
Creación de claves de acceso (para otros usuarios de IAM)	Admitido	No admitido	Admitido	No admitido
Consulta de claves de acceso (de otros usuarios de IAM)	Admitido	No admitido	Admitido	Admitido
Modificación de claves de acceso (para otros usuarios de IAM)	Admitido	No admitido	Admitido	No admitido
Eliminación de claves de acceso (para otros usuarios de IAM)	Admitido	No admitido	Admitido	No admitido

Contenido de la Política FullAccess

{
    "Version": "1.1",
    "Statement": [
        {
            "Action": [
                "*:*:*"
            ],
            "Effect": "Allow"
        }
    ]
}

Contenido de la Política de ReadOnlyAccess de IAM

{
    "Version": "1.1",
    "Statement": [
        {
            "Action": [
                "iam:*:get*",
                "iam:*:list*",
                "iam:*:check*"
            ],
            "Effect": "Allow"
        }
    ]
}

Contenido del rol de administrador de seguridad

{
    "Version": "1.0",
    "Statement": [
        {
            "Action": [
                "iam:agencies:*",
                "iam:credentials:*",
                "iam:groups:*",
                "iam:identityProviders:*",
                "iam:mfa:*",
                "iam:permissions:*",
                "iam:projects:*",
                "iam:quotas:*",
                "iam:roles:*",
                "iam:users:*",
                "iam:securitypolicies:*"
            ],
            "Effect": "Allow"
        }
    ]
}

Contenido del rol de operador de agente

{
    "Version": "1.0",
    "Statement": [
        {
            "Action": [
                "iam:tokens:assume"
            ],
            "Effect": "Allow"
        }
    ]
}

Contenido del rol de invitado del tenant

{
    "Version": "1.1",
    "Statement": [
        {
            "Action": [
                "obs:*:get*",
                "obs:*:list*",
                "obs:*:head*"
            ],
            "Effect": "Allow"
        },
        {
            "Condition": {
                "StringNotEqualsIgnoreCase": {
                    "g:ServiceName": [
                        "iam"
                    ]
                }
            },
            "Action": [
                "*:*:get*",
                "*:*:list*",
                "*:*:head*"
            ],
            "Effect": "Allow"
        }
    ]
}

Contenido del rol de Administrador del tenant

{
    "Version": "1.1",
    "Statement": [
        {
            "Action": [
                "obs:*:*"
            ],
            "Effect": "Allow"
        },
        {
            "Condition": {
                "StringNotEqualsIgnoreCase": {
                    "g:ServiceName": [
                        "iam"
                    ]
                }
            },
            "Action": [
                "*:*:*"
            ],
            "Effect": "Allow"
        }
    ]
}

Tema anterior: Servicios en la nube compatibles

Tema siguiente: Seguridad