Políticas de permissões e ações suportadas
Este capítulo descreve o gerenciamento de permissões refinadas para o seu GaussDB(for MySQL). Se sua conta de não precisar de usuários individuais do IAM, você poderá pular este capítulo.
Por padrão, os novos usuários do IAM não têm permissões atribuídas. Você precisa adicionar um usuário a um ou mais grupos e anexar políticas de permissões ou funções a esses grupos. Os usuários herdam permissões dos grupos aos quais são adicionados e podem executar operações especificadas em serviços em nuvem com base nas permissões.
Você pode conceder permissões aos usuários usando Funções e Políticas. As funções são um tipo de mecanismo de autorização de alta granularidade que define permissões relacionadas às responsabilidades do usuário. As políticas definem permissões baseadas em API para operações em recursos específicos sob determinadas condições, permitindo um controle de acesso mais refinado e seguro dos recursos na nuvem.
A autorização baseada em políticas é útil se você deseja permitir ou negar o acesso a uma API.
Uma conta tem todas as permissões necessárias para chamar todas as API, mas as permissões necessárias devem ser atribuídas aos usuários do IAM. As permissões necessárias para chamar uma API são determinadas pelas ações suportadas pela API. Somente os usuários que receberam permissões que permitem as ações podem chamar a API com sucesso. Por exemplo, se um usuário do IAM consultar instâncias do GaussDB usando uma API, o usuário deverá ter recebido permissões que permitam a ação gaussdb:instance:list.
Ações suportadas
GaussDB(for MySQL) fornece políticas definidas pelo sistema que podem ser usadas diretamente no IAM. Você também pode criar políticas personalizadas e usá-las para complementar políticas definidas pelo sistema, implementando um controle de acesso mais refinado. As operações suportadas pelas políticas são específicas das APIs. Seguem-se conceitos comuns relacionados com as políticas:
- Permissão: uma declaração numa política que permite ou nega determinadas operações.
- APIs: as APIs REST que podem ser chamadas numa política personalizada.
- Ações: ações adicionadas a uma política personalizada para controlar permissões para operações específicas.
- Ações relacionadas: ações das quais uma ação específica depende para ter efeito. Ao atribuir permissões para a ação a um usuário, você também precisa atribuir permissões para as ações dependentes.
- Projetos do IAM ou projetos empresariais: tipo de projetos nos quais as políticas podem ser usadas para conceder permissões. Uma política pode ser aplicada a projetos do IAM, projetos empresariais ou ambos. As políticas que contêm ações que suportam projetos do IAM e projetos empresariais podem ser atribuídas a grupos de usuários e entrar em vigor no IAM e no Enterprise Management. As políticas que contêm apenas ações que suportam projetos do IAM podem ser atribuídas a grupos de usuários e só entram em vigor para o IAM. Essas políticas não terão efeito se forem atribuídas a grupos de usuários no Enterprise Management. Para obter detalhes sobre as diferenças entre o IAM e os projetos empresariais, consulte Diferenças entre o IAM e o Enterprise Management.
A marca de seleção (√) indica que uma ação entra em vigor. A marca de cruz (x) indica que uma ação não tem efeito.