Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Actualización más reciente 2024-07-30 GMT+08:00

Permisos

Si necesita asignar diferentes permisos para IAM a los empleados de su organización, IAM es una buena opción para la gestión de permisos detallada. IAM proporciona autenticación de identidad, gestión de permisos y control de acceso, lo que le ayuda a proteger el acceso a sus recursos de Huawei Cloud.

Con IAM, puede crear usuarios de IAM bajo su cuenta y asignar permisos a estos usuarios para controlar su acceso a recursos específicos. Por ejemplo, puede conceder permisos para permitir que determinados planificadores de proyectos de su empresa vean los datos de IAM, pero no permitirles realizar operaciones de alto riesgo, por ejemplo, eliminar usuarios y proyectos de IAM. Para ver todos los permisos de los servicios admitidos por IAM, consulte Permisos definidos por el sistema.

Permisos de IAM

Los nuevos usuarios de IAM no tienen ningún permiso asignado de forma predeterminada. Primero debe agregarlos a uno o más grupos y adjuntar políticas o roles a estos grupos. A continuación, los usuarios heredan los permisos de los grupos y pueden realizar operaciones específicas en servicios en la nube en función de los permisos que se les han asignado.

IAM es un servicio global desplegado para todas las regiones. Cuando establece el ámbito de autorización en Global services, los usuarios tienen permiso para acceder a IAM en todas las regiones.

Puede conceder permisos a los usuarios mediante roles y políticas.

  • Roles: Una estrategia de autorización de grano grueso proporcionada por IAM para asignar permisos en función de las responsabilidades del trabajo de los usuarios. Solo un número limitado de roles de nivel de servicio están disponibles para autorización. Los servicios en la nube dependen unos de otros. Cuando concede permisos mediante roles, también debe adjuntar las dependencias de roles existentes. Los roles no son ideales para la autorización detallada y el acceso con privilegios mínimos.
  • Políticas: Una estrategia de autorización detallada que define los permisos necesarios para realizar operaciones en recursos específicos en la nube bajo ciertas condiciones. Este tipo de autorización es más flexible y es ideal para el acceso de privilegios mínimos. Por ejemplo, puede conceder a los usuarios solo permiso para gestionar ECS de un tipo determinado. La mayoría de las políticas detalladas contienen permisos para API específicas, y los permisos se definen mediante acciones de API. Para ver las acciones de API admitidas por IAM, consulte Permisos y acciones admitidas.

Tabla 1 enumera todos los permisos definidos por el sistema para IAM.

Tabla 1 Permisos definidos por el sistema para IAM

Nombre de rol/política

Descripción

Tipo

Contenido

FullAccess

Permisos completos para todos los servicios que admiten la autorización basada en políticas. Los usuarios con estos permisos pueden realizar operaciones en todos los servicios.

Política definida por el sistema

Contenido de la Política FullAccess

IAM ReadOnlyAccess

Permisos de sólo lectura para IAM. Los usuarios con estos permisos solo pueden ver los datos de IAM.

Política definida por el sistema

Contenido de la Política de ReadOnlyAccess de IAM

Security Administrator

Administrador de IAM con permisos completos, incluidos permisos para crear y eliminar usuarios de IAM.

Rol definido por el sistema

Contenido del rol de administrador de seguridad

Agent Operator

Operador IAM (parte delegada) con permisos para cambiar roles y acceder a recursos de una parte delegada.

Rol definido por el sistema

Contenido del rol de operador de agente

Tenant Guest

Permisos de sólo lectura para todos los servicios excepto IAM.

Política definida por el sistema

Contenido del rol de invitado del tenant

Tenant Administrator

Permisos de administrador para todos los servicios excepto IAM.

Política definida por el sistema

Contenido del rol de Administrador del tenant

Tabla 2 enumera las operaciones comunes admitidas por los permisos definidos por el sistema para IAM.

Tenant Guest y Tenant Administrator son roles básicos proporcionados por IAM y no contienen ningún permiso específico para IAM. Por lo tanto, los dos roles no se enumeran en la tabla siguiente.

Tabla 2 Operaciones comunes admitidas por permisos definidos por el sistema

Operación

Administrador de seguridad

Agente Operador

FullAccess

IAM ReadOnlyAccess

Creación de usuarios de IAM

Admitido

No admitido

Admitido

No admitido

Consulta de los detalles del usuario de IAM

Admitido

No admitido

Admitido

Admitido

Modificación de la información de usuario de IAM

Admitido

No admitido

Admitido

No admitido

Consulta de la configuración de seguridad de los usuarios de IAM

Admitido

No admitido

Admitido

Admitido

Modificación de la configuración de seguridad de los usuarios de IAM

Admitido

No admitido

Admitido

No admitido

Eliminación de usuarios de IAM

Admitido

No admitido

Admitido

No admitido

Creación de grupos de usuarios

Admitido

No admitido

Admitido

No admitido

Consulta de detalles del grupo de usuarios

Admitido

No admitido

Admitido

Admitido

Modificación de la información del grupo de usuarios

Admitido

No admitido

Admitido

No admitido

Adición de usuarios a grupos de usuarios.

Admitido

No admitido

Admitido

No admitido

Eliminación de usuarios de grupos de usuarios

Admitido

No admitido

Admitido

No admitido

Eliminación de grupos de usuarios

Admitido

No admitido

Admitido

No admitido

Asignación de permisos a grupos de usuarios

Admitido

No admitido

Admitido

No admitido

Eliminación de permisos de grupos de usuarios

Admitido

No admitido

Admitido

No admitido

Creación de políticas personalizadas

Admitido

No admitido

Admitido

No admitido

Modificación de políticas personalizadas

Admitido

No admitido

Admitido

No admitido

Eliminación de políticas personalizadas

Admitido

No admitido

Admitido

No admitido

Consulta de detalles de permisos

Admitido

No admitido

Admitido

Admitido

Creación de delegaciones

Admitido

No admitido

Admitido

No admitido

Consulta de delegaciones

Admitido

No admitido

Admitido

Admitido

Modificación de delegaciones

Admitido

No admitido

Admitido

No admitido

Cambio de roles

No admitido

Admitido

Admitido

No admitido

Eliminación de delegaciones

Admitido

No admitido

Admitido

No admitido

Concesión de permisos a delegaciones

Admitido

No admitido

Admitido

No admitido

Eliminación de permisos de delegaciones

Admitido

No admitido

Admitido

No admitido

Creación de proyectos

Admitido

No admitido

Admitido

No admitido

Consulta de proyectos

Admitido

No admitido

Admitido

Admitido

Modificación de proyectos

Admitido

No admitido

Admitido

No admitido

Supresión de proyectos

Admitido

No admitido

Admitido

No admitido

Creación de proveedores de identidad

Admitido

No admitido

Admitido

No admitido

Importación de archivos de metadatos

Admitido

No admitido

Admitido

No admitido

Consulta de archivos de metadatos

Admitido

No admitido

Admitido

Admitido

Consulta de proveedores de identidad

Admitido

No admitido

Admitido

Admitido

Consulta de protocolos

Admitido

No admitido

Admitido

Admitido

Consulta de asignaciones

Admitido

No admitido

Admitido

Admitido

Actualización de proveedores de identidad

Admitido

No admitido

Admitido

No admitido

Actualización de protocolos

Admitido

No admitido

Admitido

No admitido

Actualización de asignaciones

Admitido

No admitido

Admitido

No admitido

Supresión de proveedores de identidad

Admitido

No admitido

Admitido

No admitido

Supresión de protocolos

Admitido

No admitido

Admitido

No admitido

Supresión de asignaciones

Admitido

No admitido

Admitido

No admitido

Consulta de cuotas

Admitido

No admitido

Admitido

No admitido

La gestión de claves de acceso está deshabilitada de forma predeterminada. Cuando se habilita la gestión de claves de acceso, solo los administradores pueden gestionar las claves de acceso. Si los usuarios de IAM necesitan crear, habilitar, deshabilitar o eliminar sus propias claves de acceso, deben pedir al administrador que deshabilite la gestión de claves de acceso.

Si un usuario de IAM desea gestionar las claves de acceso de otros usuarios de IAM, consulte la Tabla 3. Por ejemplo, si el usuario A de IAM desea crear una clave de acceso para el usuario B de IAM, el usuario A de IAM debe tener el permiso de Administrador de seguridad o FullAccess.

Tabla 3 Acceder a las operaciones clave admitidas por las políticas o roles definidos por el sistema

Operación

Administrador de seguridad

Agente Operador

FullAccess

IAM ReadOnlyAccess

Creación de claves de acceso (para otros usuarios de IAM)

Admitido

No admitido

Admitido

No admitido

Consulta de claves de acceso (de otros usuarios de IAM)

Admitido

No admitido

Admitido

Admitido

Modificación de claves de acceso (para otros usuarios de IAM)

Admitido

No admitido

Admitido

No admitido

Eliminación de claves de acceso (para otros usuarios de IAM)

Admitido

No admitido

Admitido

No admitido

Contenido de la Política FullAccess

{
    "Version": "1.1",
    "Statement": [
        {
            "Action": [
                "*:*:*"
            ],
            "Effect": "Allow"
        }
    ]
}

Contenido de la Política de ReadOnlyAccess de IAM

{
    "Version": "1.1",
    "Statement": [
        {
            "Action": [
                "iam:*:get*",
                "iam:*:list*",
                "iam:*:check*"
            ],
            "Effect": "Allow"
        }
    ]
}

Contenido del rol de administrador de seguridad

{
    "Version": "1.0",
    "Statement": [
        {
            "Action": [
                "iam:agencies:*",
                "iam:credentials:*",
                "iam:groups:*",
                "iam:identityProviders:*",
                "iam:mfa:*",
                "iam:permissions:*",
                "iam:projects:*",
                "iam:quotas:*",
                "iam:roles:*",
                "iam:users:*",
                "iam:securitypolicies:*"
            ],
            "Effect": "Allow"
        }
    ]
}

Contenido del rol de operador de agente

{
    "Version": "1.0",
    "Statement": [
        {
            "Action": [
                "iam:tokens:assume"
            ],
            "Effect": "Allow"
        }
    ]
}

Contenido del rol de invitado del tenant

{
    "Version": "1.1",
    "Statement": [
        {
            "Action": [
                "obs:*:get*",
                "obs:*:list*",
                "obs:*:head*"
            ],
            "Effect": "Allow"
        },
        {
            "Condition": {
                "StringNotEqualsIgnoreCase": {
                    "g:ServiceName": [
                        "iam"
                    ]
                }
            },
            "Action": [
                "*:*:get*",
                "*:*:list*",
                "*:*:head*"
            ],
            "Effect": "Allow"
        }
    ]
}

Contenido del rol de Administrador del tenant

{
    "Version": "1.1",
    "Statement": [
        {
            "Action": [
                "obs:*:*"
            ],
            "Effect": "Allow"
        },
        {
            "Condition": {
                "StringNotEqualsIgnoreCase": {
                    "g:ServiceName": [
                        "iam"
                    ]
                }
            },
            "Action": [
                "*:*:*"
            ],
            "Effect": "Allow"
        }
    ]
}