Introdução
Este capítulo descreve o gerenciamento de permissões refinado para sua CDN. Se sua conta da Huawei Cloud não precisar de usuários individuais do IAM, você poderá pular este capítulo.
Por padrão, os novos usuários do IAM não têm nenhuma permissão atribuída. Você precisa adicionar um usuário a um ou mais grupos e atribuir políticas de permissões a esses grupos. O usuário então herda permissões dos grupos dos quais é membro. Esse processo é chamado de autorização. Após a autorização, o usuário pode executar operações especificadas no CDN com base nas permissões.
Você pode conceder permissões aos usuários usando funções e políticas. As funções são um tipo de mecanismo de autorização baseado em serviços e de granulação grosseira que define permissões relacionadas às responsabilidades do usuário. As políticas definem permissões baseadas em API para operações em recursos específicos sob determinadas condições, permitindo um controle de acesso mais refinado e seguro dos recursos da nuvem.
Se você quiser permitir ou negar o acesso a uma API, a autorização refinada é uma boa escolha.
Uma conta tem todas as permissões necessárias para chamar todas as APIs, mas os usuários do IAM devem ter as permissões necessárias especificamente atribuídas. As permissões necessárias para chamar uma API são determinadas pelas ações suportadas pela API. Somente os usuários que receberam permissões que permitem as ações podem chamar a API com êxito. Por exemplo, se um usuário do IAM consultar a lista de nomes de domínio acelerados pela CDN usando uma API, o usuário deverá ter recebido permissões que permitam a ação cdn:configuration:queryDomains.
Ações suportadas
A CDN fornece políticas definidas pelo sistema que podem ser usadas diretamente no IAM. Você também pode criar políticas personalizadas e usá-las para complementar políticas definidas pelo sistema, implementando um controle de acesso mais refinado. As operações suportadas pelas políticas são específicas das APIs. Seguem-se conceitos comuns relacionados com as políticas:
- Permissões: declarações em uma política que permitem ou negam determinadas operações.
- As APIs: as APIs de REST que podem ser chamadas em uma política personalizada.
- Ações: ações adicionadas a uma política personalizada para controlar permissões para operações específicas.
- IAM ou projetos corporativos: tipo de projetos para os quais uma ação será efetivada. As políticas que contêm ações que suportam projetos do IAM e da empresa podem ser atribuídas a grupos de usuários e entrar em vigor no IAM e no Enterprise Management. As políticas que contêm apenas ações que suportam projetos do IAM podem ser atribuídas a grupos de usuários e só entram em vigor para o IAM. Essas políticas não terão efeito se forem atribuídas a grupos de usuários no Enterprise Management. Para obter detalhes sobre as diferenças entre projetos do IAM e da empresa, consulte Diferenças entre projetos de IAM e projetos corporativos.
A marca de seleção (√) indica que uma ação entra em vigor. A marca de cruz (x) indica que uma ação não tem efeito.
CDN suporta as seguintes ações que podem ser definidas em políticas personalizadas:
- [Exemplo] Atualização e pré-aquecimento, incluindo os itens de autorização correspondentes a todas as interfaces de atualização e pré-aquecimento do CDN, como consultar o histórico de atualização e pré-aquecimento, ativar a função de atualização e ativar a função de pré-aquecimento.
- [Exemplo] Operações de nome de domínio, incluindo os itens de autorização correspondentes às interfaces de operação de nome de domínio CDN, como consultar nomes de domínio, criar um nome de domínio, desativar nomes de domínio, ativar nomes de domínio e excluir nomes de domínio.
