Creación de un usuario de MRS
Utilice IAM para implementar un control de permisos detallado sobre su MRS. Con IAM, usted puede:
- Cree usuarios de IAM bajo su cuenta de Huawei Cloud para empleados en función de la estructura organizativa de su empresa para que cada empleado pueda acceder a los recursos de MRS utilizando su credencial de seguridad única (usuario de IAM).
- Conceder sólo los permisos necesarios para que los usuarios realicen una tarea específica.
- Confíe una cuenta de Huawei Cloud o un servicio en la nube para realizar operaciones eficientes en sus recursos de MRS.
Si su cuenta de Huawei Cloud no requiere usuarios de IAM, omita esta sección.
En esta sección se describe el procedimiento para conceder permisos (consulte Figura 1).
Prerrequisitos
Obtenga información sobre los permisos admitidos por MRS haciendo referencia a Gestión de permiso. Para obtener los permisos de otros servicios, consulte Descripción de permiso.
Flujo de proceso
- Creación de un grupo de usuario y asignación de permisos
Cree un grupo de usuarios en la consola de IAM y asigne permisos de MRS al grupo.
- Crear un usuario y agregarlo a un grupo de usuarios.
Cree un usuario en la consola de IAM y agregue el usuario al grupo creado en 1. Cree un grupo de usuarios y asígnele permisos.
- Iniciar sesión y verificar los permisos.
Inicie sesión en la consola mediante el usuario creado y compruebe que el usuario tiene los permisos concedidos.
- Elija Service List >Analytics >MapReduce Service. Haga clic en Buy Cluster en la consola de MRS. Si no puede comprar un clúster de MRS (suponga que solo tiene el permiso MRS ReadOnlyAccess), la política MRS ReadOnlyAccess tiene efecto.
- Elija cualquier otro servicio en Service List. Si aparece un mensaje que indica que no tiene permisos suficientes para acceder al servicio, la política MRS ReadOnlyAccess ya tiene efecto.
Descripción de permiso de MRS
De forma predeterminada, los nuevos usuarios de IAM no tienen permisos. Para asignar permisos a un usuario, agregue el usuario a uno o más grupos y asigne políticas o roles de permisos a estos grupos. A continuación, el usuario hereda los permisos de los grupos de los que es miembro y puede realizar operaciones específicas en servicios en la nube basadas en los permisos.
MRS es un servicio a nivel de proyecto implementado y accedido en regiones físicas específicas. Para asignar permisos a un grupo de usuarios, especifique Scope como Region-specific projects y seleccione proyectos en la región correspondiente para que los permisos surtan efecto. Si se selecciona All projects, los permisos surtirán efecto para el grupo de usuarios en todos los proyectos específicos de la región. Al acceder a MRS, los usuarios necesitan cambiar a una región en la que han sido autorizados para usar el servicio MRS.
Puede conceder permisos a los usuarios mediante roles y políticas.
- Roles: Un tipo de mecanismo de autorización de grano grueso que define permisos relacionados con las responsabilidades del usuario. Este mecanismo proporciona solo un número limitado de roles de nivel de servicio para la autorización. Al usar roles para conceder permisos, también debe asignar otros roles de los que dependen los permisos para que surtan efecto. Sin embargo, los roles no son una opción ideal para la autorización detallada y el control de acceso seguro.
- Políticas: Un tipo de mecanismo de autorización detallado que define los permisos necesarios para realizar operaciones en recursos de nube específicos bajo ciertas condiciones. Este mecanismo permite una autorización más flexible basada en políticas, cumpliendo los requisitos para un control de acceso seguro. Por ejemplo, puede conceder a los usuarios de MRS únicamente los permisos para realizar operaciones especificadas en clústeres de MRS, como crear un clúster y consultar una lista de clústeres en lugar de eliminar un clúster. La mayoría de las políticas definen permisos basados en API. Para ver las acciones API admitidas por MRS, consulte Políticas de permisos y acciones admitidas.
Política |
Descripción |
Tipo |
---|---|---|
MRS FullAccess |
Permisos de administrador para MRS. Los usuarios con estos permisos pueden operar y usar todos los recursos MRS. |
Fine-grained policy |
MRS CommonOperations |
Permisos de usuario comunes para MRS. Los usuarios con estos permisos pueden usar MRS pero no pueden agregar ni eliminar recursos. |
Fine-grained policy |
MRS ReadOnlyAccess |
Permiso de sólo lectura para MRS. Los usuarios a los que se han concedido estos permisos sólo pueden ver los recursos de MRS. |
Fine-grained policy |
MRS Administrator |
Permisos:
|
RBAC policy |
Tabla 2 enumera las operaciones comunes soportadas por cada política definida por el sistema o función de MRS. Seleccione las políticas según sea necesario.
Operación |
MRS FullAccess |
MRS CommonOperations |
MRS ReadOnlyAccess |
MRS Administrator |
---|---|---|---|---|
Creación de un clúster |
√ |
x |
x |
√ |
Cambiar el tamaño de un clúster |
√ |
x |
x |
√ |
Actualización de especificaciones de nodo |
√ |
x |
x |
√ |
Eliminación de un clúster |
√ |
x |
x |
√ |
Consulta de detalles del clúster |
√ |
√ |
√ |
√ |
Consulta de una lista de clúster |
√ |
√ |
√ |
√ |
Configuración de una regla de escalado automático |
√ |
x |
x |
√ |
Consulta de una lista de host |
√ |
√ |
√ |
√ |
Consulta de logs de operación |
√ |
√ |
√ |
√ |
Creación y ejecución de un trabajo |
√ |
√ |
x |
√ |
Detener un trabajo |
√ |
√ |
x |
√ |
Supresión de un solo trabajo |
√ |
√ |
x |
√ |
Supresión de trabajos en lotes |
√ |
√ |
x |
√ |
Consulta de detalles de trabajo |
√ |
√ |
√ |
√ |
Consulta de una lista de trabajo |
√ |
√ |
√ |
√ |
Creación de una carpeta |
√ |
√ |
x |
√ |
Eliminación de archivos |
√ |
√ |
x |
√ |
Consulta de una lista de archivo |
√ |
√ |
√ |
√ |
Operación de etiquetas de clúster en lotes |
√ |
√ |
x |
√ |
Creación de una única etiqueta de clúster |
√ |
√ |
x |
√ |
Eliminación de una única etiqueta de clúster |
√ |
√ |
x |
√ |
Consulta de una lista de recursos por etiqueta |
√ |
√ |
√ |
√ |
Consulta de etiquetas de clúster |
√ |
√ |
√ |
√ |
Administrador de acceso |
√ |
√ |
x |
√ |
Consulta de una lista de parches |
√ |
√ |
√ |
√ |
Instalación de un parche |
√ |
√ |
x |
√ |
Desinstalación de un parche |
√ |
√ |
x |
√ |
Autorización de canales de O&M |
√ |
√ |
x |
√ |
Compartir logs de canales de O&M |
√ |
√ |
x |
√ |
Consulta de una lista de alarmas |
√ |
√ |
√ |
√ |
Suscripción a la notificación de alarma |
√ |
√ |
x |
√ |
Envío de una sentencia de SQL |
√ |
√ |
x |
√ |
Consulta de resultados de SQL |
√ |
√ |
x |
√ |
Cancelación de una tarea de ejecución de SQL |
√ |
√ |
x |
√ |