Gestión de permisos
Puede utilizar Identity and Access Management (IAM) para gestionar los permisos de NAT Gateway y controlar el acceso a sus recursos. IAM proporciona la autenticación de identidad, la gestión de permisos y el control de acceso.
Puede crear usuarios de IAM para sus empleados y asignar permisos a estos usuarios sobre la base del principio de privilegio mínimo (PoLP) para controlar su acceso a tipos de recursos específicos. Por ejemplo, puede crear usuarios de IAM para desarrolladores de software y asignar permisos específicos para permitirles usar recursos de NAT Gateway pero evitar que puedan eliminar recursos o realizar operaciones de alto riesgo.
Si su cuenta de Huawei Cloudcuenta no requiere usuarios individuales de IAM para la gestión de permisos, omita esta sección.
IAM se puede utilizar de forma gratuita. Solo paga por los recursos de su cuenta. Para obtener más información acerca de IAM, consulte ¿Qué es IAM?https://support.huaweicloud.com/intl/es-us/productdesc-iam/iam_01_0026.htmlWhat Is IAM?What Is IAM?What Is IAM?What Is IAM?What Is IAM?What Is IAM?
Permisos de NAT Gateway
De forma predeterminada, los nuevos usuarios de IAM no tienen ningún permiso asignado. Para asignar permisos a estos nuevos usuarios, el administrador de cuentas debe agregarlos a uno o más grupos y adjuntar políticas o roles de permisos a estos grupos.
NAT Gateway es un servicio a nivel de proyecto implementado y accedido en regiones físicas específicas. Al asignar permisos de NAT Gateway a un grupo de usuarios, especifique los proyectos específicos de la región donde los permisos tendrán efecto. Si selecciona All projects, los permisos se otorgarán para todos los proyectos específicos de la región. Al acceder a NAT Gateway, los usuarios deben cambiar a una región donde se les haya autorizado a usar este servicio.
Puede conceder permisos a los usuarios mediante roles y políticas.
- Roles: Un tipo de mecanismo de autorización de granularidad gruesa que proporciona solo una cantidad limitada de roles de nivel de servicio. Al usar roles para conceder permisos, también debe asignar roles de dependencia. Sin embargo, los roles no son una opción ideal para la autorización detallada y el control de acceso seguro.
- Políticas: Un tipo de mecanismo de autorización detallado que define los permisos necesarios para realizar operaciones en recursos de nube específicos bajo ciertas condiciones. Este mecanismo permite una autorización más flexible basada en políticas para un control de acceso más seguro. Por ejemplo, el administrador de cuentas puede conceder a los usuarios de NAT Gateway solo los permisos para gestionar un cierto tipo de gateways NAT y reglas SNAT. La mayoría de las políticas definen permisos basados en API. Para ver las acciones de API admitidas por NAT Gateway, consulte Políticas de permisos y acciones admitidas.
Nombre de la política |
Descripción |
Tipo |
Dependencia |
|---|---|---|---|
NATFullAccess |
Todas las operaciones en recursos de NAT Gateway. |
Política definida por el sistema |
N/A |
NATReadOnlyAccess |
Permisos de sólo lectura para todos los recursos de NAT Gateway. |
Política definida por el sistema |
N/A |
NAT Administrator |
Todas las operaciones en recursos de NAT Gateway. |
Rol definido por el sistema |
Para obtener este permiso, los usuarios también deben tener el permiso de Tenant Guest. |
Tabla 2 enumera las operaciones comunes admitidas por cada política o rol del sistema de NAT Gateway. Seleccione las políticas según sea necesario.
Operación |
NATFullAccess |
NAT ReadOnlyAccess |
NAT Gateway Administrator |
|---|---|---|---|
Creación de un gateway de NAT |
√ |
x |
√ |
Consulta de gateways de NAT |
√ |
√ |
√ |
Consulta de detalles del gateway de NAT |
√ |
√ |
√ |
Actualización de un gateway de NAT |
√ |
x |
√ |
Eliminación de un gateway de NAT |
√ |
x |
√ |
Adición de una regla SNAT |
√ |
x |
√ |
Consulta de una regla SNAT |
√ |
√ |
√ |
Modificación de una regla SNAT |
√ |
x |
√ |
Eliminación de una regla SNAT |
√ |
x |
√ |
Adición de una regla de DNAT |
√ |
x |
√ |
Consulta de una regla de DNAT |
√ |
√ |
√ |
Modificación de una regla de la DNAT |
√ |
x |
√ |
Eliminación de una regla de DNAT |
√ |
x |
√ |
Eliminación de reglas de DNAT por lotes |
√ |
x |
√ |
Importación de reglas de DNAT mediante plantillas |
√ |
x |
√ |
Exportación de reglas de DNAT mediante plantillas |
√ |
√ |
√ |
Creación de una subred de tránsito |
√ |
x |
√ |
Consulta de subredes de tránsito |
√ |
√ |
√ |
Consulta de detalles acerca de una subred de tránsito |
√ |
√ |
√ |
Modificación de una subred de tránsito |
√ |
x |
√ |
Supresión de una subred de tránsito |
√ |
x |
√ |
Asignación de una dirección IP de tránsito |
√ |
x |
√ |
Consulta de una dirección IP de tránsito |
√ |
√ |
√ |
Liberación de una dirección IP de tránsito |
√ |
x |
√ |
Para agregar o modificar una regla de DNAT, su cuenta debe tener el permiso NAT FullAccess o permiso detallado nat:dnatRules:create/nat:dnatRules:update. Después de configurar una regla de DNAT, agregue una regla de grupo de seguridad para permitir que Internet acceda a los servidores para los que está configurada la regla de DNAT. De lo contrario, la regla de la DNAT no puede tener efecto. Por lo tanto, se requiere el permiso VPC FullAccess o permiso detallado vpc:securityGroups:create.
