Primeiros passos
Este capítulo descreve o gerenciamento de permissões refinado para seu DEW. Se sua conta da Huawei Cloud não precisar de usuários do IAM individuais, você pode pular este capítulo.
Por padrão, os novos usuários do IAM não têm permissões atribuídas. Você precisa adicionar um usuário a um ou mais grupos e anexar políticas de permissões ou funções a esses grupos. Os usuários herdam permissões dos grupos aos quais são adicionados e podem executar operações especificadas em serviços de nuvem com base nas permissões.
As permissões são classificadas em funções e políticas com base na granularidade da autorização. As funções são um tipo de mecanismo de autorização grosseiro que define permissões relacionadas às responsabilidades do usuário. As políticas definem permissões baseadas em API para operações em recursos específicos sob determinadas condições, permitindo um controle de acesso mais refinado e seguro dos recursos na nuvem.
A autorização baseada em políticas é útil se você deseja permitir ou negar o acesso a uma API.
Uma conta tem todas as permissões necessárias para chamar todas as APIs, mas os usuários do IAM devem ter as permissões necessárias especificamente atribuídas. As permissões necessárias para chamar uma API são determinadas pelas ações suportadas pela API. Somente os usuários que receberam permissões que permitem as ações podem chamar a API com sucesso. Por exemplo, se um usuário do IAM quiser usar uma API para consultar as chaves SSH de pares de chaves da conta, o usuário deverá receber permissões que permitam a ação kps:domainKeypairs:list.
Ações suportadas
O DEW fornece políticas definidas pelo sistema que podem ser usadas diretamente no IAM. Você também pode criar políticas personalizadas e usá-las para complementar políticas definidas pelo sistema, implementando um controle de acesso mais refinado. As operações suportadas pelas políticas são específicas das APIs. Seguem-se conceitos comuns relacionados com as políticas:
- Permissão: uma declaração em uma política que permite ou nega determinadas operações.
- As APIs: as APIs REST que podem ser chamadas em uma política personalizada.
- Ações: ações adicionadas a uma política personalizada para controlar permissões para operações específicas.
- Ações dependentes: ao atribuir uma ação aos usuários, você também precisa atribuir permissões dependentes para que essa ação entre em vigor.
- Projetos do IAM ou projeto empresarial: escopo dos usuários aos quais uma permissão é concedida. As políticas que contêm ações que suportam projetos do IAM e da empresa podem ser atribuídas a grupos de usuários e entrar em vigor no IAM e no Enterprise Management. As políticas que contêm apenas ações que suportam projetos do IAM podem ser atribuídas a grupos de usuários e só entram em vigor no IAM. Essas políticas não terão efeito se forem atribuídas a grupos de usuários no projeto empresarial.
O DEW suporta as seguintes ações que podem ser definidas em políticas personalizadas:
- Gerenciar chaves, como criar chaves, consultar chaves e criar concessões.
- Gerenciar pares de chaves, como criar, consultar e excluir pares de chaves.