Introdução
Esta seção descreve o gerenciamento de permissões refinado para seus recursos de AS. Se sua conta não precisar de usuários do IAM individuais, você pode pular esta seção.
Por padrão, novos usuários do IAM não têm permissões concedidas. Você precisa adicionar um usuário a um ou mais grupos e atribuir políticas ou funções a esses grupos. O usuário então herda permissões dos grupos dos quais é membro. Esse processo é chamado de autorização. Após a autorização, o usuário pode executar operações especificadas no AS com base nas permissões.
Você pode conceder permissões aos usuários usando políticas e políticas. Funções: um tipo de mecanismo de autorização de granulação grosseira que define permissões relacionadas às responsabilidades do usuário. As políticas definem permissões baseadas em API para operações em recursos específicos sob determinadas condições, permitindo um controle de acesso mais refinado e seguro dos recursos na nuvem.
A autorização baseada em políticas é útil se você deseja permitir ou negar o acesso a uma API.
Uma conta tem todas as permissões necessárias para chamar todas as APIs, mas os usuários do IAM devem ter as permissões necessárias especificamente atribuídas. As permissões necessárias para chamar uma API são determinadas pelas ações suportadas pela API. Somente usuários que receberam permissões que permitem as ações podem chamar a API com sucesso. Por exemplo, se um usuário do IAM deseja consultar grupos de AS usando uma API, o usuário deve ter recebido permissões que permitam a ação as:groups:list.
Ações suportadas
As operações suportadas por uma política refinada são específicas para APIs. A seguir, descrevem-se os cabeçalhos das tabelas de ação fornecidas neste capítulo:
- Permissões: definidas por ações em uma política personalizada.
- APIs: as APIs REST que podem ser chamadas em uma política personalizada.
- Ações: adicionadas a uma política personalizada para controlar permissões para operações específicas.
- Ações relacionadas: ações das quais uma ação específica depende para ter efeito. Ao atribuir permissões para a ação a um usuário, você também precisa atribuir permissões para as ações dependentes.
- Projetos de IAM ou projetos corporativos: escopo de usuários aos quais uma permissão é concedida. As políticas que contêm ações que suportam projetos do IAM e da empresa podem ser atribuídas a grupos de usuários e entrar em vigor no IAM e no Enterprise Management. As políticas que contêm apenas ações que suportam projetos do IAM podem ser atribuídas a grupos de usuários e só entram em vigor para o IAM. Essas políticas não terão efeito se forem atribuídas a grupos de usuários no projeto empresarial. Os administradores podem verificar se uma ação é compatível com projetos do IAM ou projetos corporativos na lista de ações. "√" indica que a ação suporta o projeto e "×" indica que a ação não suporta o projeto.
O AS suporta as seguintes ações que podem ser definidas em políticas personalizadas:
- Ações de grupo de AS, incluindo ações suportadas por todas as APIs de grupo de AS, como as APIs para criar, modificar e consultar um grupo de AS.
- Ações de configuração do AS, incluindo ações suportadas por todas as APIs de configuração do AS, como as APIs para criar, excluir e consultar configurações do AS.
- Ações de instância, incluindo ações suportadas por todas as APIs de instância, como as APIs para consultar as instâncias em um grupo de AS e remover instâncias de um grupo de AS.
- Ações de política de AS, incluindo ações suportadas por todas as APIs de política de AS, como as APIs para criar e modificar uma política de AS.
- Ações de log de execução de política de AS, incluindo a ação suportada pela API para consultar logs de execução de política de AS.
- Ações de log de ações de dimensionamento, incluindo ações suportadas pelas APIs para consultar logs de ações de dimensionamento.
- Ações de cota, incluindo ações suportadas por todas as APIs de cota de AS, como a API para consultar cotas de AS.
- Ações de notificação, incluindo ações suportadas por todas as APIs de notificação de AS, como a API para consultar notificações de um grupo de AS.
- Ações de gancho do ciclo de vida, incluindo ações suportadas por todas as APIs de gancho do ciclo de vida, como a API para criar um gancho do ciclo de vida.
- Ações de gerenciamento de tags, incluindo ações suportadas por todas as APIs de tags de AS, como a API para consulta de tags.