Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda/ Identity and Access Management/ Guía del usuario/ Antes de comenzar
Actualización más reciente 2024-07-30 GMT+08:00
Ver PDF
Compartir

Antes de comenzar

Destinatarios

El Identity and Access Management (IAM) está destinado a administradores, entre los que se incluyen:

  • Administrador de cuentas (con permisos completos para todos los servicios, incluido IAM)
  • Usuarios de IAM agregados al grupo de admin (con permisos completos para todos los servicios, incluido IAM)
  • Los usuarios de IAM asignados al rol de Security Administrator (con permisos para acceder a IAM)

Si desea ver, auditar y realizar un seguimiento de los registros de las operaciones clave realizadas en IAM, habilite Cloud Trace Service (CTS). Para obtener más información, véase Habilitación de CTS.

Acceso a la consola IAM

  1. Inicie sesión en Huawei Cloud y haga clic en Console en la esquina superior derecha.

    Figura 1 Acceso a la consola

  2. En la consola de gestión, coloque el puntero del ratón sobre el nombre de usuario en la esquina superior derecha y elija Identity and Access Management en la lista desplegable.

Cuenta

Se crea una cuenta después de registrarse con éxito en Huawei Cloud. Su cuenta tiene permisos de acceso completos para sus recursos y realiza pagos por el uso de estos recursos. No puede modificar o eliminar su cuenta en IAM, pero puede hacerlo en My Account.

Después de iniciar sesión en su cuenta, verá un usuario marcado como Enterprise administrator en la página Users de la consola de IAM.

Figura 2 Usuario de IAM correspondiente a la cuenta

Usuario de IAM

Puede crear usuarios en IAM como administrador y asignar permisos para recursos específicos. Como se muestra en la siguiente figura, James es un usuario de IAM creado por el administrador. Los usuarios de IAM pueden iniciar sesión en Huawei Cloud con su nombre de cuenta, nombres de usuario y contraseñas, y luego usar recursos basados en los permisos asignados. Los usuarios de IAM no poseen recursos y no pueden realizar pagos. Usted usa su cuenta para pagar sus facturas.

Figura 3 Usuario de IAM creado por el administrador

Relación entre una cuenta y sus usuarios de IAM

Una cuenta y sus usuarios de IAM comparten una relación padre-hijo. La cuenta es propietaria de los recursos y realiza pagos por los recursos utilizados por los usuarios de IAM. Tiene permisos completos para estos recursos.

Los usuarios de IAM son creados por el administrador de la cuenta y solo tienen los permisos otorgados por el administrador. El administrador puede modificar o revocar los permisos de los usuarios de IAM en cualquier momento. Las tarifas generadas por el uso de los recursos de los usuarios de IAM son pagadas por la cuenta.

Figura 4 Relación entre una cuenta y sus usuarios de IAM

Grupo de usuario

Puede utilizar grupos de usuarios para asignar permisos a los usuarios de IAM. Después de agregar un usuario de IAM a un grupo de usuarios, el usuario tiene los permisos del grupo y puede realizar operaciones en servicios en la nube según lo especificado por los permisos. Si se agrega un usuario a varios grupos de usuarios, el usuario heredará los permisos asignados a todos estos grupos.

El grupo de usuarios predeterminado admin tiene todos los permisos necesarios para usar todos los recursos de la nube. Los usuarios de este grupo pueden realizar operaciones en todos los recursos, incluidas, entre otras, la creación de grupos de usuarios y usuarios, la modificación de permisos y la gestión de recursos.

Figura 5 Grupo de usuario

Permiso

IAM proporciona permisos comunes para diferentes servicios, como permisos de administrador y de solo lectura. Los nuevos usuarios de IAM no tienen ningún permiso asignado de forma predeterminada. El administrador debe agregarlos a uno o más grupos y adjuntar políticas o roles de permisos a estos grupos para que los usuarios de IAM puedan heredar permisos de los grupos. Los usuarios de IAM también pueden asignarse permisos a sí mismos A continuación, los usuarios de IAM pueden realizar operaciones específicas en servicios en la nube.

  • Roles: un tipo de mecanismo de autorización de grano grueso que define permisos de nivel de servicio en función de las responsabilidades del usuario. Solo hay un número limitado de roles para conceder permisos a los usuarios. Al usar roles para conceder permisos, también debe asignar roles de dependencia. Los roles no son una opción ideal para la autorización detallada y el control de acceso seguro.
  • Políticas: Un tipo de mecanismo de autorización detallado que define los permisos necesarios para realizar operaciones en recursos de nube específicos bajo ciertas condiciones. Este mecanismo permite una autorización basada en políticas más flexible sobre la base del principio de mínimo privilegio (PoLP). Por ejemplo, puede conceder a los usuarios de Elastic Cloud Server (ECS) solo los permisos necesarios para administrar un determinado tipo de recursos de ECS.

Cuando un usuario de IAM con permisos ECS únicamente accede a otros servicios, se mostrará un mensaje similar al siguiente.

Figura 6 Sin permisos