Introdução
Esta seção descreve o gerenciamento de permissões refinado para os seus ECS. Se sua conta não precisar de usuários individuais do IAM, você poderá pular esta seção.
Uma política é um conjunto de permissões definidas no formato JSON. Por padrão, os novos usuários do IAM não têm permissões atribuídas. Você precisa adicionar um usuário a um ou mais grupos e anexar políticas de permissões ou funções a esses grupos. Os usuários herdam permissões dos grupos aos quais são adicionados e podem executar operações especificadas em serviços de nuvem com base nas permissões.
Você pode conceder permissões aos usuários usando funções e políticas. As funções são fornecidas pelo IAM para definir permissões baseadas em serviço, dependendo das responsabilidades de trabalho do usuário. As políticas definem permissões baseadas em API para operações em recursos específicos sob determinadas condições, permitindo um controle de acesso mais refinado e seguro dos recursos da nuvem.
A autorização baseada em políticas é útil se você deseja permitir ou negar o acesso a uma API.
Uma conta tem todas as permissões necessárias para chamar todas as API, mas os usuários do IAM devem receber as permissões necessárias. As permissões necessárias para chamar uma API são determinadas pelas ações suportadas pela API. Somente os usuários que receberam permissões que permitem as ações podem chamar a API com êxito. Por exemplo, se um usuário do IAM quiser consultar ECSs usando uma API, o usuário deverá ter recebido permissões que permitam a ação ecs:servers:list.
Ações suportadas
As operações suportadas pelas políticas são específicas das API. Seguem-se conceitos comuns relacionados com as políticas:
- Permissão: Uma declaração em uma política que permite ou nega determinadas operações.
- API: As API REST que podem ser chamadas por um usuário que recebeu permissões específicas.
- Ação: Operações específicas que são permitidas ou negadas.
- Ações dependentes: Ao atribuir uma ação aos usuários, você também precisa atribuir permissões dependentes para que essa ação entre em vigor.
- Projetos IAM ou projeto empresarial: Escopo dos usuários aos quais uma permissão é concedida. As políticas que contêm ações para projetos do IAM e corporativos podem ser usadas e entrar em vigor para o IAM e o Enterprise Management. As políticas que contêm apenas ações para projetos do IAM podem ser usadas e só entram em vigor para o IAM.
Para obter detalhes sobre as diferenças entre o IAM e os projetos corporativos, consulte Diferenças entre o IAM e o Enterprise Management.
√: suportado; x: não suportado
O ECS oferece suporte às seguintes ações que podem ser definidas em políticas personalizadas:
- Gerenciamento de ciclo de vida
- Gerenciamento de status do ECS
- Operações em lote
- Gerenciamento de rede
- Gerenciamento de imagem
- Gerenciamento de grupo de segurança
- Consulta de especificações
- Gerenciamento de NIC
- Gerenciamento de disco
- Gerenciamento de metadados
- Gerenciamento de cotas de inquilinos
- Gerenciamento de chaves SSH
- Gerenciamento de senha
- Gerenciamento de endereço IP flutuante
- Gerenciamento de grupos ECS
- Gerenciamento do ECS por meio do console
- Gerenciamento de AZ
- Gerenciamento de tags