Gestión de permisos
Si necesita asignar diferentes permisos a los empleados de su empresa para acceder a sus recursos de MRS en Huawei Cloud, IAM es una buena opción para la gestión de permisos detallada. IAM proporciona autenticación de identidad, gestión de permisos y control de acceso, lo que le ayuda a proteger el acceso a sus recursos de Huawei Cloud.
Con IAM, puede crear usuarios de IAM bajo su cuenta de Huawei Cloud y asignar permisos a estos usuarios para controlar su acceso a recursos específicos. Por ejemplo, algunos desarrolladores de software de su empresa necesitan usar recursos de MRS, pero no deben eliminar los clústeres de MRS ni realizar operaciones de alto riesgo. Para lograr este objetivo, puede crear usuarios de IAM para los desarrolladores de software y concederles solo los permisos necesarios para usar los recursos del clúster de MRS.
Si su cuenta de Huawei Cloud no requiere usuarios individuales de IAM para la gestión de permisos, omita esta sección.
IAM es gratuito. Usted paga solo por los recursos que utiliza. Para obtener más información acerca de IAM, consulte Descripción de servicio IAM.
Descripción de permiso de MRS
De forma predeterminada, los nuevos usuarios de IAM no tienen permisos. Para asignar permisos a un usuario, agregue el usuario a uno o más grupos y asigne políticas o roles de permisos a estos grupos. A continuación, el usuario hereda los permisos de los grupos de los que es miembro y puede realizar operaciones específicas en servicios en la nube basadas en los permisos.
MRS es un servicio a nivel de proyecto implementado y accedido en regiones físicas específicas. Para asignar permisos a un grupo de usuarios, especifique Scope como Region-specific projects y seleccione proyectos en la región correspondiente para que los permisos surtan efecto. Si se selecciona All projects, los permisos surtirán efecto para el grupo de usuarios en todos los proyectos específicos de la región. Al acceder a MRS, los usuarios necesitan cambiar a una región en la que han sido autorizados para usar el servicio MRS.
Puede conceder permisos a los usuarios mediante roles y políticas.
- Roles: Un tipo de mecanismo de autorización de grano grueso que define permisos relacionados con las responsabilidades del usuario. Este mecanismo proporciona solo un número limitado de roles de nivel de servicio para la autorización. Al usar roles para conceder permisos, también debe asignar otros roles de los que dependen los permisos para que surtan efecto. Sin embargo, los roles no son una opción ideal para la autorización detallada y el control de acceso seguro.
- Políticas: Un tipo de mecanismo de autorización detallado que define los permisos necesarios para realizar operaciones en recursos de nube específicos bajo ciertas condiciones. Este mecanismo permite una autorización más flexible basada en políticas, cumpliendo los requisitos para un control de acceso seguro. Por ejemplo, puede conceder a los usuarios de MRS únicamente los permisos para realizar operaciones especificadas en clústeres de MRS, como crear un clúster y consultar una lista de clústeres en lugar de eliminar un clúster. La mayoría de las políticas definen permisos basados en API. Para ver las acciones API admitidas por MRS, consulte Políticas de permisos y acciones admitidas.
|
Política |
Descripción |
Tipo |
|---|---|---|
|
MRS FullAccess |
Permisos de administrador para MRS. Los usuarios con estos permisos pueden operar y usar todos los recursos MRS. |
Fine-grained policy |
|
MRS CommonOperations |
Permisos de usuario comunes para MRS. Los usuarios con estos permisos pueden usar MRS pero no pueden agregar ni eliminar recursos. |
Fine-grained policy |
|
MRS ReadOnlyAccess |
Permiso de sólo lectura para MRS. Los usuarios a los que se han concedido estos permisos sólo pueden ver los recursos de MRS. |
Fine-grained policy |
|
MRS Administrator |
Permisos:
|
RBAC policy |
Tabla 2 enumera las operaciones comunes soportadas por cada política definida por el sistema o función de MRS. Seleccione las políticas según sea necesario.
|
Operación |
MRS FullAccess |
MRS CommonOperations |
MRS ReadOnlyAccess |
MRS Administrator |
|---|---|---|---|---|
|
Creación de un clúster |
√ |
x |
x |
√ |
|
Cambiar el tamaño de un clúster |
√ |
x |
x |
√ |
|
Actualización de especificaciones de nodo |
√ |
x |
x |
√ |
|
Eliminación de un clúster |
√ |
x |
x |
√ |
|
Consulta de detalles del clúster |
√ |
√ |
√ |
√ |
|
Consulta de una lista de clúster |
√ |
√ |
√ |
√ |
|
Configuración de una regla de escalado automático |
√ |
x |
x |
√ |
|
Consulta de una lista de host |
√ |
√ |
√ |
√ |
|
Consulta de logs de operación |
√ |
√ |
√ |
√ |
|
Creación y ejecución de un trabajo |
√ |
√ |
x |
√ |
|
Detener un trabajo |
√ |
√ |
x |
√ |
|
Supresión de un solo trabajo |
√ |
√ |
x |
√ |
|
Supresión de trabajos en lotes |
√ |
√ |
x |
√ |
|
Consulta de detalles de trabajo |
√ |
√ |
√ |
√ |
|
Consulta de una lista de trabajo |
√ |
√ |
√ |
√ |
|
Creación de una carpeta |
√ |
√ |
x |
√ |
|
Eliminación de archivos |
√ |
√ |
x |
√ |
|
Consulta de una lista de archivo |
√ |
√ |
√ |
√ |
|
Operación de etiquetas de clúster en lotes |
√ |
√ |
x |
√ |
|
Creación de una única etiqueta de clúster |
√ |
√ |
x |
√ |
|
Eliminación de una única etiqueta de clúster |
√ |
√ |
x |
√ |
|
Consulta de una lista de recursos por etiqueta |
√ |
√ |
√ |
√ |
|
Consulta de etiquetas de clúster |
√ |
√ |
√ |
√ |
|
Administrador de acceso |
√ |
√ |
x |
√ |
|
Consulta de una lista de parches |
√ |
√ |
√ |
√ |
|
Instalación de un parche |
√ |
√ |
x |
√ |
|
Desinstalación de un parche |
√ |
√ |
x |
√ |
|
Autorización de canales de O&M |
√ |
√ |
x |
√ |
|
Compartir logs de canales de O&M |
√ |
√ |
x |
√ |
|
Consulta de una lista de alarmas |
√ |
√ |
√ |
√ |
|
Suscripción a la notificación de alarma |
√ |
√ |
x |
√ |
|
Envío de una sentencia de SQL |
√ |
√ |
x |
√ |
|
Consulta de resultados de SQL |
√ |
√ |
x |
√ |
|
Cancelación de una tarea de ejecución de SQL |
√ |
√ |
x |
√ |
MRS FullAccess
{
"Version": "1.1",
"Statement": [
{
"Action": [
"mrs:*:*",
"ecs:*:*",
"bms:*:*",
"evs:*:*",
"vpc:*:*",
"bss:*:*",
"kms:*:*",
"rds:*:*"
],
"Effect": "Allow"
}
]
}
MRS CommonOperations
{
"Version": "1.1",
"Statement": [
{
"Action": [
"mrs:*:get*",
"mrs:*:list*",
"ecs:*:get*",
"ecs:*:list*",
"bms:*:get*",
"bms:*:list*",
"evs:*:get*",
"evs:*:list*",
"vpc:*:get*",
"vpc:*:list*",
"mrs:job:submit",
"mrs:job:stop",
"mrs:job:delete",
"mrs:job:checkSql",
"mrs:job:batchDelete",
"mrs:file:create",
"mrs:file:delete",
"mrs:tag:batchOperate",
"mrs:tag:create",
"mrs:tag:delete",
"mrs:manager:access",
"mrs:patch:install",
"mrs:patch:uninstall",
"mrs:ops:grant",
"mrs:ops:shareLog",
"mrs:alarm:subscribe",
"mrs:alarm:delete",
"bss:*:get*",
"bss:*:list*",
"kms:*:get*",
"kms:*:list*",
"rds:*:get*",
"rds:*:list*",
"mrs:bootstrap:*"
],
"Effect": "Allow"
},
{
"Action": [
"mrs:cluster:create",
"mrs:cluster:resize",
"mrs:cluster:scaleUp",
"mrs:cluster:delete",
"mrs:cluster:policy"
],
"Effect": "Deny"
}
]
}
MRS ReadOnlyAccess
{
"Version": "1.1",
"Statement": [
{
"Action": [
"mrs:*:get*",
"mrs:*:list*",
"mrs:tag:count",
"ecs:*:get*",
"ecs:*:list*",
"bms:*:get*",
"bms:*:list*",
"evs:*:get*",
"evs:*:list*",
"vpc:*:get*",
"vpc:*:list*",
"bss:*:get*",
"bss:*:list*",
"kms:*:get*",
"kms:*:list*",
"rds:*:get*",
"rds:*:list*"
],
"Effect": "Allow"
},
{
"Action": [
"mrs:cluster:create",
"mrs:cluster:resize",
"mrs:cluster:scaleUp",
"mrs:cluster:delete",
"mrs:cluster:policy",
"mrs:job:submit",
"mrs:job:stop",
"mrs:job:delete",
"mrs:job:batchDelete",
"mrs:file:create",
"mrs:file:delete",
"mrs:tag:batchOperate",
"mrs:tag:create",
"mrs:tag:delete",
"mrs:manager:access",
"mrs:patch:install",
"mrs:patch:uninstall",
"mrs:ops:grant",
"mrs:ops:shareLog",
"mrs:alarm:subscribe"
],
"Effect": "Deny"
}
]
}
MRS Administrator
{
"Version": "1.0",
"Statement": [
{
"Action": [
"MRS:MRS:*"
],
"Effect": "Allow"
}
],
"Depends": [
{
"catalog": "BASE",
"display_name": "Server Administrator"
},
{
"catalog": "BASE",
"display_name": "Tenant Guest"
}
]
}
