Gestión de permisos
Puede utilizar Identity and Access Management (IAM) para gestionar los permisos de DMS for Kafka y controlar el acceso a sus recursos. IAM proporciona autenticación de identidad, gestión de permisos y control de acceso.
Puede crear usuarios de IAM para sus empleados y asignar permisos a estos usuarios sobre la base del principio de privilegio mínimo (PoLP) para controlar su acceso a tipos de recursos específicos. Por ejemplo, puede crear usuarios de IAM para desarrolladores de software y asignar permisos específicos para permitirles usar los recursos de DMS for Kafka, pero evitar que eliminen los recursos o realicen las operaciones de alto riesgo.
Si su cuenta de Huawei Cloud no requiere usuarios individuales de IAM para la administración de permisos, omita esta sección.
IAM es gratuito. Solo se paga por los recursos usados. Para obtener más información acerca de IAM, consulte Descripción general del servicio IAM.
Las políticas de permisos de DMS for Kafka se basan en DMS. Por lo tanto, al asignar permisos, seleccione las políticas de permisos de DMS.
Permisos de DMS for Kafka
De forma predeterminada, los nuevos usuarios de IAM no tienen ningún permiso asignado. Para asignar permisos a estos nuevos usuarios, agréguelos a uno o más grupos y adjunte directivas o roles de permisos a estos grupos.
DMS for Kafka es un servicio a nivel de proyecto implementado y accedido en regiones físicas específicas. Al asignar permisos de DMS para Kafka a un grupo de usuarios, especifique los proyectos específicos de la región donde los permisos tendrán efecto. Si selecciona All projects, los permisos se otorgarán para todos los proyectos específicos de la región. Al acceder a DMS for Kafka, los usuarios deben cambiar a una región en la que han sido autorizados para usar este servicio.
- Roles Un tipo de mecanismo de autorización de granularidad gruesa que proporciona solo una cantidad limitada de roles de nivel de servicio. Al usar roles para conceder permisos, también debe asignar roles de dependencia. Sin embargo, los roles no son una opción ideal para la autorización detallada y el control de acceso seguro.
- Políticas: Tipo de mecanismo de autorización detallado que define los permisos necesarios para realizar operaciones en recursos de nube específicos bajo ciertas condiciones. Este mecanismo permite una autorización más flexible basada en políticas para un control de acceso más seguro. Por ejemplo, puede conceder a los usuarios de DMS for Kafka solo los permisos para gestionar las instancias. La mayoría de las políticas definen permisos basados en API. Para ver las acciones API admitidas por DMS for Kafka, consulte Políticas de permisos y acciones admitidas.
Tabla 1 enumera todas las roles definidos por el sistema y políticas admitidas por DMS for Kafka.
Nombre de rol/política |
Descripción |
Tipo |
Dependencia |
|---|---|---|---|
DMS FullAccess |
Permisos de administrador para DMS. Los usuarios con estos permisos pueden realizar todas las operaciones en DMS. |
Política definida por el sistema |
Ninguna |
DMS UserAccess |
Permisos de usuario comunes para DMS, excluyendo los permisos para crear, modificar, eliminar, dumping, y escalar instancias. |
Política definida por el sistema |
Ninguna |
DMS ReadOnlyAccess |
Permisos de sólo lectura para DMS. Los usuarios a los que se han concedido estos permisos sólo pueden ver los datos DMS. |
Política definida por el sistema |
Ninguna |
DMS Administrator |
Permisos de administrador para DMS. |
Rol definido por el sistema |
Este rol depende de los roles Tenant Guest y VPC Administrator. |
Las políticas definidas por el sistema contienen acciones de OBS. Debido al almacenamiento en caché de datos, las políticas entran en vigor cinco minutos después de que se adjuntan a un usuario, grupo de usuarios o proyecto de empresa.
En el cuadro 2 se enumeran las operaciones comunes admitidas por cada política o función del sistema de DMS for Kafka. Seleccione las políticas según sea necesario.
Operación |
DMS FullAccess |
DMS UserAccess |
DMS ReadOnlyAccess |
|---|---|---|---|
Creación de una instancia |
√ |
× |
× |
Modificación de instancias |
√ |
× |
× |
Eliminación de instancias |
√ |
× |
× |
Modificación de especificaciones de instancia |
√ |
× |
× |
Habilitar dumping |
√ |
× |
× |
Creación de una tarea de dumping |
√ |
√ |
× |
Creación de instancias |
√ |
√ |
× |
Consulta de información de instancia |
√ |
√ |
√ |
