Introdução
Este capítulo descreve o gerenciamento de permissões refinado para o OBS usando o Identity and Access Management (IAM). Se sua conta da HUAWEI CLOUD não exigir usuários individuais do IAM, pule este capítulo.
Por padrão, os novos usuários de IAM não têm nenhuma permissão atribuída. Você precisa adicionar um usuário a um ou mais grupos e anexar políticas de permissões ou funções a esses grupos. Os usuários herdam permissões dos grupos aos quais são adicionados e podem executar operações especificadas em serviços de nuvem com base nas permissões.
Para obter detalhes sobre políticas e funções relacionadas ao OBS no IAM, consulte Gerenciamento de permissões. Para obter mais informações sobre a estrutura de sintaxe e exemplos de permissões do IAM, consulte Permissões do IAM.
Você pode conceder permissões aos usuários usando funções e políticas. As funções são um tipo de mecanismo de autorização grosseiro que define permissões relacionadas às responsabilidades do usuário. As políticas definem permissões baseadas em API para operações em recursos específicos sob determinadas condições, permitindo um controle de acesso mais refinado e seguro dos recursos da nuvem.
- A autorização baseada em políticas é útil se você deseja permitir ou negar o acesso a uma API.
- Por causa do cache, leva cerca de 13 minutos para que a função do OBS entre em vigor após ser concedida a usuários deprojetos empresariais, e grupos de usuários. Depois que uma política do OBS é concedida, leva cerca de 5 minutos para que a política entre em vigor.
Uma conta tem todas as permissões necessárias para chamar todas as API, mas os usuários do IAM devem ter as permissões necessárias especificamente atribuídas. As permissões necessárias para chamar uma API são determinadas pelas ações suportadas pela API. Somente os usuários que receberam permissões que permitem as ações podem chamar a API com êxito. Por exemplo, se um usuário do IAM precisar criar buckets usando uma API, o usuário deverá ter recebido permissões que permitam a ação obs:bucket:CreateBucket.
Ações suportadas
Existem dois tipos de políticas: políticas definidas pelo sistema e políticas personalizadas. Se as permissões predefinidas no sistema não atenderem aos seus requisitos, você poderá criar políticas personalizadas e aplicá-las a grupos de usuários para controle de acesso refinado. As operações suportadas pelas políticas são específicas das API. Seguem-se conceitos comuns relacionados com as políticas:
- Permissões: Permite ou nega operações em recursos especificados sob condições específicas.
- As API: As API REST que podem ser chamadas por uma política personalizada.
- Ações: adicionadas a uma política personalizada para controlar permissões para operações específicas.
- Projetos IAM ou projetos corporativos: tipo de projetos para os quais uma ação terá efeito. As políticas que contêm ações que suportam projetos do IAM e da empresa podem ser atribuídas a grupos de usuários e entrar em vigor no IAM e no Enterprise Management. As políticas que contêm apenas ações que suportam projetos do IAM podem ser atribuídas a grupos de usuários e só entram em vigor no IAM. Essas políticas não terão efeito se forem atribuídas a grupos de usuários no Enterprise Project. Para obter detalhes sobre as diferenças entre o IAM e o Enterprise Management, consulte Quais são as diferenças entre IAM e Enterprise Management?.
A marca de seleção (√) indica que uma ação entra em vigor. A marca de cruz (x) indica que uma ação não tem efeito.
O OBS suporta as seguintes acções que podem ser definidas numa política personalizada:
- As ações relacionadas a buckets incluem ações suportadas por todas as API relacionadas a buckets do OBS, como as API para listar todos os buckets, criar e excluir buckets, definir políticas de bucket, setting bucket event notification, setting cross-region replication, e definir o registro de buckets.
- As ações relacionadas a objetos incluem as API para carregamento, download e exclusão de objetos.