Políticas de permissões e ações suportadas
Este capítulo descreve o gerenciamento de permissões refinado para seu DCS. Se sua conta não precisar de usuários individuais do IAM, você poderá ignorar as configurações descritas neste capítulo.
Por padrão, os novos usuários de IAM não têm nenhuma permissão atribuída. Você precisa adicionar um usuário a um ou mais grupos e atribuir políticas de permissões a esses grupos. O usuário então herda permissões dos grupos dos quais é membro. Esse processo é chamado de autorização. Após a autorização, o usuário pode executar operações especificadas em serviços de nuvem com base nas permissões.
Você pode conceder permissões aos usuários usando funções e políticas. As funções são um tipo de mecanismo de autorização grosseiro que define permissões relacionadas às responsabilidades do usuário. As políticas definem permissões baseadas em API para operações em recursos específicos sob determinadas condições, permitindo um controle de acesso mais refinado e seguro dos recursos da nuvem.
A autorização baseada em políticas é recomendada se você quiser permitir ou negar o acesso a uma API.
Uma conta tem todas as permissões necessárias para chamar todas as API, e os usuários do IAM devem receber as permissões necessárias. As permissões necessárias para chamar uma API são determinadas pelas ações suportadas pela API. Somente usuários que receberam permissões que permitem as ações podem chamar a API com êxito. Por exemplo, se um usuário do IAM quiser consultar os ECS usando uma API, o usuário deve ter recebido permissões que permitam a ação dcs:servers:list.
Ações Apoiadas
O DCS fornece políticas definidas pelo sistema, que podem ser usadas diretamente no IAM. Você também pode criar políticas personalizadas para complementar políticas definidas pelo sistema para um controle de acesso mais refinado. As ações suportadas pelas políticas são específicas das API. Conceitos comuns relacionados com as políticas incluem:
- Permissões: Permitir ou negar determinadas operações.
- As API: As API que serão chamadas para executar determinadas operações.
- Ações: adicionadas a uma política personalizada para controlar permissões para operações específicas.
- Ações dependentes: Ao atribuir permissões para uma ação, você também precisa atribuir permissões para as ações dependentes.
- Projetos IAM e projetos corporativos: tipo de projetos para os quais uma ação terá efeito. As políticas que contêm ações que suportam projetos do IAM e da empresa podem ser atribuídas a grupos de usuários e entrar em vigor no IAM e no Enterprise Management. Se uma ação oferecer suporte apenas a projetos do IAM, a política terá efeito somente para grupos de usuários atribuídos no IAM. Os administradores podem verificar se uma ação é compatível com projetos do IAM ou projetos corporativos na lista de ações. "√" indica que a ação suporta o projeto e "×" indica que a ação não suporta o projeto. Para obter detalhes sobre as diferenças entre o IAM e o gerenciamento corporativo, consulte Quais são as diferenças entre IAM e Enterprise Management?
Tabela 1 lista as ações de API suportadas pelo DCS.
Permissão |
Ação |
API |
Projetos de IAM |
Projeto corporativo |
|---|---|---|---|---|
Criando uma instância de DCS |
dcs:instance:create |
POST /v1.0/{project_id}/instances |
√ |
√ |
Consultando uma instância |
dcs:instance:get |
GET /v1.0/{project_id}/instances/{instance_id} |
√ |
√ |
Modificando as informações sobre uma instância |
dcs:instance:modify |
PUT /v1.0/{project_id}/instances/{instance_id} |
√ |
√ |
Deletando uma Instância |
dcs:instance:delete |
DELETE /v1.0/{project_id}/instances/{instance_id} |
√ |
√ |
Escalando uma instância |
dcs:instance:scale |
POST /v1.0/{project_id}/instances/{instance_id}/extend |
√ |
√ |
Consultando todas as instâncias |
dcs:instance:list |
GET /v1.0/{project_id}/instances |
√ |
√ |
Consultando parâmetros de configuração da instância |
dcs:instance:getConfiguration |
GET /v1.0/{project_id}/instances/{instance_id}/configs |
√ |
√ |
Modificando parâmetros de configuração da instância |
dcs:instance:modifyConfigureation |
PUT /v1.0/{project_id}/instances/{instance_id}/configs |
√ |
√ |
Reiniciar uma instância ou limpar dados de instância |
dcs:instance:modifyStatus |
PUT /v1.0/{project_id}/instances/status |
√ |
√ |
Alteração da senha da instância |
dcs:instance:modifyAuthInfo |
PUT /v1.0/{project_id}/instances/{instance_id}/password |
√ |
√ |
Fazendo backup de uma instância |
dcs:instance:backupData |
POST /v1.0/{project_id}/instances/{instance_id}/backups |
√ |
√ |
Restaurando uma instância |
dcs:instance:restoreData |
POST /v1.0/{project_id}/instances/{instance_id}/restores |
√ |
√ |
Consultando registros de backup |
dcs:instance:getDataBackupLog |
GET /v1.0/{project_id}/instances/{instance_id}/backups |
√ |
√ |
Consultando registros de restauração |
dcs:instance:getDataRestoreLog |
GET /v1.0/{project_id}/instances/{instance_id}/restores |
√ |
√ |
Exclusão de arquivos de backup |
dcs:instance:deleteDataBackupFile |
DELETE /v1.0/{project_id}/instances/{instance_id}/backups/{backup_id} |
√ |
√ |
Consultando tarefas em segundo plano |
dcs:instance:getBackgroundTask |
GET /v1.0/{project_id}/instances/{instance_id}/tasks |
√ |
√ |
Exclusão de tarefas em segundo plano |
dcs:instance:deleteBackgroundTask |
DELETE /v1.0/{project_id}/instances/{instance_id}/tasks/{task_id} |
√ |
√ |
Redefinindo a senha da instância |
dcs:instance:resetAuthInfo |
API não suportada. |
√ |
√ |
Baixando arquivos de backup |
dcs:instance:downloadBackupData |
API não suportada. |
√ |
√ |
Migrar dados |
dcs:instance:migrateData |
API não suportada. |
√ |
√ |
CLI da Web |
dcs:instance:webcli |
API não suportada. |
√ |
√ |
Modificando a lista branca de uma instância |
dcs:whitelist:modify |
PUT /v2/{project_id}/instance/{instance_id}/whitelist |
√ |
√ |
Obtendo a lista branca de uma instância |
dcs:whitelist:list |
GET /v2/{project_id}/instance/{instance_id}/whitelist |
√ |
√ |
Criando um usuário para acessar uma instância |
dcs:aclaccount:create |
POST /v2/{project_id}/instances/{instance_id}/accounts |
√ |
√ |
Deletando um usuário de instância |
dcs:aclaccount:delete |
DELETE /v2/{project_id}/instances/{instance_id}/accounts/{account_id} |
√ |
√ |
Modificando as informações sobre um usuário de instância |
dcs:aclaccount:modify |
PUT /v2/{project_id}/instances/{instance_id}/accounts/{account_id} |
√ |
√ |
Obtenção da lista de usuários da instância |
dcs:aclaccount:list |
GET /v2/{project_id}/instances/{instance_id}/accounts |
√ |
√ |
