Crear un usuario y autorizar al usuario el permiso para acceder a DEW
Esta sección describe cómo usar IAM para implementar un control de permisos detallado para los recursos de DEW. Con IAM, usted puede:
- Crear usuarios de IAM para empleados en función de la estructura organizativa de su empresa. Cada usuario de IAM tiene sus propias credenciales de seguridad para acceder a los recursos de DEW.
- Otorgar a los usuarios sólo los permisos necesarios para realizar una tarea.
- Delegar una cuenta de Huawei o un servicio en la nube de confianza para realizar operaciones profesionales y eficientes en sus recursos de DEW.
Si su cuenta de Huawei no requiere usuarios individuales de IAM, omita este capítulo.
En esta sección se describe el procedimiento para conceder permisos (consulte Figura 1).
Prerrequisitos
Antes de conceder permisos a un grupo de usuarios, debe comprender los permisos de DEW disponibles y conceder permisos basados en el escenario de la vida real. En las tablas siguientes se describen los permisos admitidos en DEW.
Para ver las directivas del sistema de otros servicios, consulte Permisos de sistema.
|
Rol/Política |
Descripción |
Tipo |
Dependencia |
|---|---|---|---|
|
KMS Administrator |
Todos los permisos de KMS |
Rol |
Ninguna |
|
KMS CMKFullAccess |
Todos los permisos para las claves de KMS. Los usuarios con estos permisos pueden realizar todas las operaciones permitidas por las políticas. |
Política |
Ninguna |
|
KMS CMKReadOnlyAccess |
Permisos de sólo lectura para las claves de KMS. Los usuarios con estos permisos pueden realizar todas las operaciones permitidas por las políticas. |
Política |
Ninguna |
|
Rol/Política |
Descripción |
Tipo |
Dependencia |
|---|---|---|---|
|
DEW KeypairFullAccess |
Todos los permisos para KPS. Los usuarios con estos permisos pueden realizar todas las operaciones permitidas por las políticas. |
Política del sistema |
Ninguna |
|
DEW KeypairReadOnlyAccess |
Permisos de solo lectura para el servicio de par de claves (KPS) en DEW. Los usuarios con este permiso sólo pueden ver los datos de KPS. |
Política del sistema |
Ninguna |
|
Rol/Política |
Descripción |
Tipo |
Dependencia |
|---|---|---|---|
|
CSMS FullAccess |
Todos los permisos para Cloud Secret Management Service (CSMS) en DEW. Los usuarios con estos permisos pueden realizar todas las operaciones permitidas por las políticas. |
Política del sistema |
Ninguna |
|
CSMS ReadOnlyAccess |
Permisos de solo lectura para Cloud Secret Management Service (CSMS) en DEW. Los usuarios con estos permisos pueden realizar todas las operaciones permitidas por las políticas. |
Política del sistema |
Ninguna |
Tabla 4 describe las operaciones comunes soportadas por cada permiso definido por el sistema de DEW. Seleccione los permisos necesarios.
|
Operación |
KMS Administrator |
KMS CMKFullAccess |
DEW KeypairFullAccess |
DEW KeypairReadOnlyAccess |
|---|---|---|---|---|
|
Creación de una clave |
√ |
√ |
x |
x |
|
Habilitar una clave |
√ |
√ |
x |
x |
|
Deshabilitar una clave |
√ |
√ |
x |
x |
|
Programar eliminación de clave |
√ |
√ |
x |
x |
|
Cancelar la eliminación de clave programada |
√ |
√ |
x |
x |
|
Modificar un alias de clave |
√ |
√ |
x |
x |
|
Modificar descripción de clave |
√ |
√ |
x |
x |
|
Generar un número aleatorio |
√ |
√ |
x |
x |
|
Crear un DEK |
√ |
√ |
x |
x |
|
Crear un DEK sin texto sin formato |
√ |
√ |
x |
x |
|
Cifrar un DEK |
√ |
√ |
x |
x |
|
Descifrar un DEK |
√ |
√ |
x |
x |
|
Obtener parámetros para importar una clave |
√ |
√ |
x |
x |
|
Importar materiales de clave |
√ |
√ |
x |
x |
|
Eliminar materiales de clave |
√ |
√ |
x |
x |
|
Crear una concesión |
√ |
√ |
x |
x |
|
Revocar una concesión |
√ |
√ |
x |
x |
|
Retirar una concesión |
√ |
√ |
x |
x |
|
Consultar la lista de concesiones |
√ |
√ |
x |
x |
|
Consultar concesiones retirables |
√ |
√ |
x |
x |
|
Cifrar datos |
√ |
√ |
x |
x |
|
Descifrar datos |
√ |
√ |
x |
x |
|
Enviar mensajes de firma |
√ |
√ |
x |
x |
|
Autenticar firma |
√ |
√ |
x |
x |
|
Habilitación de la rotación de clave |
√ |
√ |
x |
x |
|
Modificar intervalo de rotación de clave |
√ |
√ |
x |
x |
|
Deshabilitación de la rotación de clave |
√ |
√ |
x |
x |
|
Consultar estado de rotación de clave |
√ |
√ |
x |
x |
|
Consultar instancias de CMK |
√ |
√ |
x |
x |
|
Consultar etiquetas de clave |
√ |
√ |
x |
x |
|
Consultar etiquetas de proyecto |
√ |
√ |
x |
x |
|
Agregar o eliminar etiquetas de clave por lotes |
√ |
√ |
x |
x |
|
Agregar etiquetas a una clave |
√ |
√ |
x |
x |
|
Eliminar etiquetas de clave |
√ |
√ |
x |
x |
|
Consultar la lista de clave |
√ |
√ |
x |
x |
|
Consultar detalles de clave |
√ |
√ |
x |
x |
|
Consultar clave pública |
√ |
√ |
x |
x |
|
Cantidad de instancia de consulta |
√ |
√ |
x |
x |
|
Cuotas de consulta |
√ |
√ |
x |
x |
|
Consultar la lista de pares de claves |
x |
x |
√ |
√ |
|
Crear o importar un par de claves |
x |
x |
√ |
x |
|
Consultar pares de claves |
x |
x |
√ |
√ |
|
Eliminar un par de claves |
x |
x |
√ |
x |
|
Actualizar descripción del par de claves |
x |
x |
√ |
x |
|
Vincular un par de claves |
x |
x |
√ |
x |
|
Desvincular un par de claves |
x |
x |
√ |
x |
|
Consultar una tarea de vinculación |
x |
x |
√ |
√ |
|
Consultar tareas fallidas |
x |
x |
√ |
√ |
|
Eliminar todas las tareas con error |
x |
x |
√ |
x |
|
Eliminar una tarea fallida |
x |
x |
√ |
x |
|
Consultar tareas en ejecución |
x |
x |
√ |
√ |
Proceso de autorización
- Crear un grupo de usuario y asignar permisos
Cree un grupo de usuarios en la consola de IAM y conceda al grupo de usuarios el permiso KMS CMKFullAccess (que indica permisos completos para las claves).
- Creación de un usuario de IAM
Cree un usuario en la consola de IAM y agregue el usuario al grupo de usuarios creado en 1.
- Iniciar sesión y verificar los permisos.
Inicie sesión en la consola como usuario recién creado y compruebe que el usuario solo tiene permisos de lectura para DEW.
- Elija Service List > Data Encryption Workshop. En el panel de navegación, elija Key Pair Service. Si aparece un mensaje que indica la falta de permisos, la política KMS CMKFullAccess tiene efecto.
- Haga clic en Service List y seleccione un servicio que no sea DEW. Si se muestra un mensaje que indica que no tiene permiso para acceder al servicio, la política KMS CMKFullAccess tiene efecto.
