Introdução às políticas e autorização
Este capítulo descreve o gerenciamento de permissões refinadas para seus recursos da VPN. Se sua conta da Huawei Cloud não precisar de usuários do IAM individuais, você pode pular este capítulo.
Por padrão, os novos usuários do IAM não têm nenhuma permissão atribuída. Você precisa adicionar um usuário a um ou mais grupos e atribuir políticas ou funções a esses grupos. Em seguida, o usuário herda permissões dos grupos. Esse processo é conhecido como autorização. Com as permissões, o usuário pode executar operações específicas em serviços de nuvem.
Você pode conceder permissões aos usuários usando funções e políticas. As funções são um tipo de mecanismo de autorização baseado em serviços e de granulação grosseira que define permissões relacionadas às responsabilidades do usuário. As políticas são um tipo de mecanismo de autorização refinado que define as permissões necessárias para executar operações em recursos de nuvem específicos sob certas condições, permitindo um controle de acesso mais flexível e seguro.
Você pode usar políticas para permitir ou negar acesso a APIs específicas.
Uma conta tem permissões para chamar todas as APIs. Um usuário do IAM sob a conta pode chamar APIs específicas somente depois de receber as permissões necessárias. As permissões necessárias para chamar uma API são determinadas pelas ações suportadas pela API. Somente os usuários que receberam permissões que permitem as ações podem chamar a API com sucesso. Por exemplo, se um usuário do IAM deseja consultar a lista de gateways da VPN usando uma API, o usuário deve ter recebido permissões que permitam a ação vpn:vpnGateways:list
Ações suportadas
São fornecidas políticas definidas pelo sistema, que podem ser usadas diretamente. Você também pode criar políticas personalizadas e atribuí-las a grupos de usuários, implementando um controle de acesso mais refinado. As ações suportadas pelas políticas são específicas das API. Conceitos comuns relacionados com as políticas incluem:
- Permissões que controlam as operações que os usuários podem executar
- APIs chamadas por políticas
- Ações apoiadas por políticas. São operações específicas que são permitidas ou negadas.
- IAM ou projetos corporativos nos quais as ações entram em vigor. As políticas que contêm ações que suportam ambos projetos do IAM e empresariais podem ser usadas e entrar em vigor para o IAM e o Enterprise Management. As políticas que contêm ações que suportam somente projetos do IAM podem ser atribuídas a grupos de usuários e entrar em vigor somente no IAM. Essas políticas não terão efeito se forem atribuídas a grupos de usuários no Enterprise Management. Para obter detalhes sobre as diferenças entre o IAM e os projetos empresariais, consulte Diferenças entre o IAM e o Enterprise Management.
VPN suporta as seguintes ações que podem ser definidas em políticas personalizadas:
[Exemplo] Gateway de VPN, incluindo ações suportadas por APIs de gateway de VPN, como as APIs para criar, consultar, atualizar e excluir gateways de VPN.