Primeiros passos
Esta seção descreve o gerenciamento refinado de permissões para seus recursos de DNS. Pule esta seção se sua conta da Huawei Cloud não precisar de usuários individuais do IAM.
Por padrão, os novos usuários do IAM não têm nenhuma permissão concedida. Você precisa adicionar um usuário a um ou mais grupos e atribuir políticas ou funções a esses grupos. O usuário então herda permissões dos grupos dos quais é membro. Esse processo é chamado de autorização. Após a autorização, o usuário pode executar operações especificadas no BMS com base nas permissões.
Pode conceder permissões aos utilizadores utilizando funções e políticas. As funções são um tipo de mecanismo de autorização grosseiro que define permissões relacionadas às responsabilidades do usuário. As políticas definem permissões baseadas em API para operações em recursos específicos sob determinadas condições, permitindo um controle de acesso mais refinado e seguro dos recursos da nuvem.
A autorização baseada em políticas é útil se você deseja permitir ou negar o acesso a uma API.
Uma conta tem permissões para chamar todas as APIs, mas os usuários do IAM devem ter as permissões necessárias especificamente atribuídas. As permissões necessárias para chamar uma API são determinadas pelas ações suportadas pela API. Somente os usuários que receberam permissões que permitem as ações podem chamar a API com êxito. Por exemplo, se um usuário do IAM consulta a lista de zonas públicas usando uma API, o usuário deve ter recebido permissões que permitam a ação dns:zone:list.
Ações suportadas
O DNS fornece políticas definidas pelo sistema que podem ser usadas diretamente no IAM. Você também pode criar políticas personalizadas e usá-las para complementar políticas definidas pelo sistema, implementando um controle de acesso mais refinado. As ações suportadas pelas políticas são específicas das APIs. Seguem-se conceitos comuns relacionados com as políticas:
- Permissão: uma declaração em uma política que permite ou nega determinadas operações.
- As APIs: as APIs REST que podem ser chamadas em uma política personalizada.
- Ações: adicionadas a uma política personalizada para controlar permissões para operações específicas.
- Ações relacionadas: ações das quais uma ação específica depende para ter efeito. Ao atribuir permissões para a ação a um usuário, você também precisa atribuir permissões para as ações dependentes.
- Projetos do IAM ou projetos corporativos: tipo de projetos nos quais as políticas podem ser usadas para conceder permissões. Uma política pode ser aplicada a projetos do IAM, projetos corporativos ou ambos. As políticas que contêm ações que suportam projetos do IAM e projetos corporativos podem ser atribuídas a grupos de usuários e entrar em vigor no IAM e no Enterprise Management. As políticas que contêm apenas ações que suportam projetos do IAM podem ser atribuídas a grupos de usuários e só entram em vigor no IAM. Essas políticas não terão efeito se forem atribuídas a grupos de usuários no Enterprise Management. Para obter detalhes sobre as diferenças entre o IAM e o Enterprise Management, consulte Quais são as diferenças entre o IAM e o Enterprise Management?
A marca de verificação (√) indica que uma ação entra em vigor. A marca de cruz (x) indica que uma ação não tem efeito.
O DNS suporta as seguintes ações que podem ser definidas em políticas personalizadas:
- Zona: contém ações suportadas por todas as APIs de gerenciamento de zona, como a API para criar uma zona.
- Conjunto de registros: contém ações suportadas por todas as APIs de gerenciamento de conjuntos de registros, como a API para criar um conjunto de registros.
- Registro PTR: contém ações suportadas por todas as APIs de gerenciamento de registros PTR, como a API para criar um registro PTR.
- Tag: contém ações suportadas por todas as APIs de gerenciamento de tags, como a API para adicionar uma tag de recurso.
- Importação de conjunto de registros: contém ações suportadas por todas as APIs de gerenciamento de importação de conjunto de registros, como a API para criar uma tarefa para importar conjuntos de registros de zona pública.
