Criação de um usuário e autorização ao usuário a permissão para acessar o DEW
Esta seção descreve como usar o IAM para implementar o controle de permissões refinadas para seus recursos do DEW. Com o IAM, você pode:
- Criar usuários do IAM para funcionários com base na estrutura organizacional da sua empresa. Cada usuário do IAM tem suas próprias credenciais de segurança para acessar os recursos do DEW.
- Conceder aos usuários somente as permissões necessárias para executar uma tarefa.
- Delegar uma conta da Huawei ou um serviço de nuvem confiáveis para realizar uma O&M profissional e eficiente em seus recursos do DEW.
Se sua conta da Huawei não exigir usuários individuais do IAM, pule este capítulo.
Esta seção descreve o procedimento para conceder permissões (consulte Figura 1).
Pré-requisitos
Antes de conceder permissões a um grupo de usuários, você precisa entender as permissões do DEW disponíveis e conceder permissões com base no cenário da vida real. As tabelas a seguir descrevem as permissões suportadas no DEW.
Para as políticas de sistema de outros serviços, consulte Permissões do sistema.
|
Função/política |
Descrição |
Tipo |
Dependência |
|---|---|---|---|
|
KMS Administrator |
Todas as permissões do KMS |
Função |
Nenhuma |
|
KMS CMKFullAccess |
Todas as permissões para chaves do KMS. Os usuários com essas permissões podem executar todas as operações permitidas pelas políticas. |
Política |
Nenhuma |
|
KMS CMKReadOnlyAccess |
Permissões somente leitura para chaves do KMS. Os usuários com essas permissões podem executar todas as operações permitidas pelas políticas. |
Política |
Nenhuma |
|
Função/política |
Descrição |
Tipo |
Dependência |
|---|---|---|---|
|
DEW KeypairFullAccess |
Todas as permissões para o KPS. Os usuários com essas permissões podem executar todas as operações permitidas pelas políticas. |
Política do sistema |
Nenhuma |
|
DEW KeypairReadOnlyAccess |
Permissões somente leitura para o Key Pair Service (KPS) no DEW. Os usuários com essa permissão só podem visualizar os dados do KPS. |
Política do sistema |
Nenhuma |
|
Função/política |
Descrição |
Tipo |
Dependência |
|---|---|---|---|
|
CSMS FullAccess |
Todas as permissões para o Cloud Secret Management Service (CSMS) no DEW. Os usuários com essas permissões podem executar todas as operações permitidas pelas políticas. |
Política do sistema |
Nenhuma |
|
CSMS ReadOnlyAccess |
Permissões somente leitura para o Cloud Secret Management Service (CSMS) no DEW. Os usuários com essas permissões podem executar todas as operações permitidas pelas políticas. |
Política do sistema |
Nenhuma |
Tabela 4 descreve as operações comuns suportadas por cada permissão definida pelo sistema de DEW. Selecione as permissões conforme necessário.
|
Operação |
KMS Administrator |
KMS CMKFullAccess |
DEW KeypairFullAccess |
DEW KeypairReadOnlyAccess |
|---|---|---|---|---|
|
Criar uma chave |
√ |
√ |
x |
x |
|
Ativar uma chave |
√ |
√ |
x |
x |
|
Desativar uma chave |
√ |
√ |
x |
x |
|
Agendar exclusão de chaves |
√ |
√ |
x |
x |
|
Cancelar a exclusão da chave agendada |
√ |
√ |
x |
x |
|
Modificar um alias de chave |
√ |
√ |
x |
x |
|
Modificar descrição da chave |
√ |
√ |
x |
x |
|
Gerar um número aleatório |
√ |
√ |
x |
x |
|
Criar uma DEK |
√ |
√ |
x |
x |
|
Criar uma DEK sem texto não criptografado |
√ |
√ |
x |
x |
|
Criptografar uma DEK |
√ |
√ |
x |
x |
|
Descriptografar uma DEK |
√ |
√ |
x |
x |
|
Obter parâmetros para importar uma chave |
√ |
√ |
x |
x |
|
Importar materiais de chave |
√ |
√ |
x |
x |
|
Excluir materiais de chave |
√ |
√ |
x |
x |
|
Criar uma concessão |
√ |
√ |
x |
x |
|
Revogar uma concessão |
√ |
√ |
x |
x |
|
Retirar uma concessão |
√ |
√ |
x |
x |
|
Consultar a lista de concessões |
√ |
√ |
x |
x |
|
Consultar concessões recuperáveis |
√ |
√ |
x |
x |
|
Criptografar dados |
√ |
√ |
x |
x |
|
Descriptografar dados |
√ |
√ |
x |
x |
|
Enviar mensagens de assinatura |
√ |
√ |
x |
x |
|
Autenticar assinatura |
√ |
√ |
x |
x |
|
Ativar rotação de chaves |
√ |
√ |
x |
x |
|
Modificar intervalo de rotação da chave |
√ |
√ |
x |
x |
|
Desativar rotação de chaves |
√ |
√ |
x |
x |
|
Consultar status da rotação da chave |
√ |
√ |
x |
x |
|
Consultar instâncias de CMK |
√ |
√ |
x |
x |
|
Consultar tags de chave |
√ |
√ |
x |
x |
|
Consultar tags do projeto |
√ |
√ |
x |
x |
|
Adicionar ou excluir tags de chave em lote |
√ |
√ |
x |
x |
|
Adicionar tags a uma chave |
√ |
√ |
x |
x |
|
Excluir tags de chave |
√ |
√ |
x |
x |
|
Consultar a lista de chaves |
√ |
√ |
x |
x |
|
Consultar detalhes da chave |
√ |
√ |
x |
x |
|
Consultar chave pública |
√ |
√ |
x |
x |
|
Consultar quantidade da instância |
√ |
√ |
x |
x |
|
Consultar cotas |
√ |
√ |
x |
x |
|
Consultar a lista de pares de chaves |
x |
x |
√ |
√ |
|
Criar ou importar um par de chaves |
x |
x |
√ |
x |
|
Consultar pares de chaves |
x |
x |
√ |
√ |
|
Excluir um par de chaves |
x |
x |
√ |
x |
|
Atualizar descrição do par de chaves |
x |
x |
√ |
x |
|
Vincular um par de chaves |
x |
x |
√ |
x |
|
Desvincular um par de chaves |
x |
x |
√ |
x |
|
Consultar uma tarefa de vinculação |
x |
x |
√ |
√ |
|
Consultar tarefas com falha |
x |
x |
√ |
√ |
|
Excluir todas as tarefas com falha |
x |
x |
√ |
x |
|
Excluir uma tarefa com falha |
x |
x |
√ |
x |
|
Consultar tarefas em execução |
x |
x |
√ |
√ |
Processo de autorização
- Criação de um grupo de usuários e atribuição de permissões
Criar um grupo de usuários no console do IAM e conceder ao grupo de usuários a permissão KMS CMKFullAccess (indicando permissões completas para chaves).
- Criação de um usuário do IAM
Criar um usuário no console do IAM e adicionar o usuário ao grupo de usuários criado em 1.
- Fazer logon e verificar as permissões.
Fazer logon no console como usuário recém-criado e verificar se o usuário só tem permissões de leitura para DEW.
- Escolha Service List > Data Encryption Workshop. No painel de navegação, escolha Key Pair Service. Se aparecer uma mensagem indicando falta de permissões, a política KMS CMKFullAccess entrou em vigor.
- Clique em Service List e selecione um serviço diferente do DEW. Se uma mensagem for exibida indicando que você não tem permissão para acessar o serviço, a política KMS CMKFullAccess entrou em vigor.
