Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Atualizado em 2024-08-19 GMT+08:00

Sintaxe das políticas de permissões refinadas

Nos serviços reais, talvez seja necessário conceder permissões de operação diferentes em recursos a usuários de diferentes funções. O serviço IAM fornece controle de acesso refinado. Um administrador do IAM (um usuário no grupo admin) pode criar uma política personalizada contendo as permissões necessárias. Depois que uma política é concedida a um grupo de usuários, os usuários do grupo podem obter todas as permissões definidas pela política. Dessa forma, o IAM implementa o gerenciamento de permissões refinado.

Para controlar as operações do GaussDB(DWS) em recursos com mais precisão, você pode usar a função de gerenciamento de usuários do IAM para conceder permissões de operação diferentes a usuários de diferentes funções para controle de permissão refinado.

Estrutura da política

Uma política refinada consiste em uma Version e uma Statement. Cada política pode ter várias instruções.

Figura 1 Estrutura da política

Sintaxe da política

No painel de navegação no console do IAM, clique em Policies e, em seguida, clique no nome de uma política para exibir seus detalhes. A política DWS ReadOnlyAccess é usada como um exemplo para descrever a sintaxe de políticas refinadas.

Figura 2 Definir a política
{
        "Version": "1.1",
        "Statement": [
                {
                        "Effect": "Allow",
                        "Action": [
                                "dws:*:get*",
                                "dws:*:list*",
                                "ecs:*:get*",
                                "ecs:*:list*",
                                "vpc:*:get*",
                                "vpc:*:list*",
                                "evs:*:get*",
                                "evs:*:list*",
                                "mrs:*:get*",
                                "bss:*:list*",
                                "bss:*:get*"
                        ]
                }
        ]
}
  • Version: distingue entre controle de acesso baseado em função (RBAC) e políticas refinadas.
    • 1.0: políticas RBAC. Uma política RBAC consiste em permissões para um serviço inteiro. Os usuários em um grupo com essa política atribuída recebem todas as permissões necessárias para esse serviço.
    • 1.1: políticas refinadas. Uma política refinada consiste em permissões baseadas em API para operações em tipos de recursos específicos. Políticas refinadas, como o nome sugere, permitem um controle mais refinado do que as políticas RBAC. Os usuários concedidos permissões de tal política só podem executar operações específicas no serviço correspondente. Políticas refinadas incluem políticas de sistema e personalizadas.
  • Statement: permissões definidas por uma política, incluindo Effect e Action.
    • Effect

      Os valores válidos para Effect são Allow e Deny. As políticas do sistema contêm apenas instruções Allow. Para políticas personalizadas contendo instruções Allow e Deny, as instruções Deny têm precedência.

    • Action

      Permissões no formato Service name:Resource type:Operation. Uma política pode conter uma ou mais permissões. O curinga (*) tem permissão para indicar todos os serviços, tipos de recursos ou operações, dependendo de sua localização na ação.

      Exemplo: dws:cluster:create, permissões para criar clusters de armazém de dados.

Lista de ações suportadas

Ao criar uma política personalizada no IAM, você pode adicionar as operações nos recursos do GaussDB(DWS) ou as permissões correspondentes às APIs RESTful à lista de ações da instrução de autorização de política para que a política contenha as permissões de operação. A tabela a seguir lista as permissões do GaussDB(DWS).

  • API REST

    Para obter detalhes sobre as ações da API RESTful suportadas pelo GaussDB(DWS), consulte Políticas de permissões e ações suportadas.

  • Operações do console de gerenciamento

    Tabela 1 descreve as operações do GaussDB(DWS) nos recursos e as permissões correspondentes.

    Algumas permissões do GaussDB(DWS) dependem das ações do ECS, VPC, EVS, ELB, MRS e OBS. Conceda ao GaussDB(DWS) as permissões de administrador de serviço necessárias.

Tabela 1 Permissões de GaussDB(DWS)

Operação

Permissão

Permissão dependente

Escopo

Criação de um cluster

"dws:cluster:create"

"dws:*:get*",

"dws:*:list*",

"ecs:*:get*",

"ecs:*:list*",

"ecs:*:create*",

"vpc:*:get*",

"vpc:*:list*",

"vpc:*:create*",

"vpc:securityGroupRules:delete",

"vpc:ports:update",

"evs:*:get*",

"evs:*:list*",

"evs:*:create*",

  • Escopo:
    • Projeto
    • Projeto empresarial

Obtenção da lista de clusters

"dws:cluster:list"

--

  • Escopo:
    • Projeto
    • Projeto empresarial

Obtenção dos detalhes de um cluster

"dws:cluster:getDetail"

"dws:*:get*",

"dws:*:list*",

"vpc:vpcs:list",

"vpc:securityGroups:get"

  • Escopo:
    • Projeto
    • Projeto empresarial

Definição da política de snapshot automatizada

"dws:cluster:setAutomatedSnapshot"

"dws:backupPolicy:list"

  • Escopo:
    • Projeto
    • Projeto empresarial

Configuração de parâmetros/grupos de parâmetros de segurança

"dws:cluster:setSecuritySettings"

"dws:*:get*",

"dws:*:list*",

  • Escopo:
    • Projeto
    • Projeto empresarial

Reinicialização de um cluster

"dws:cluster:restart"

"dws:*:get*",

"dws:*:list*",

  • Escopo:
    • Projeto
    • Projeto empresarial

Expansão de clusters

"dws:cluster:scaleOut"

"dws:*:get*",

"dws:*:list*",

"dws:cluster:scaleOutOrOpenAPIResize",

"ecs:*:get*",

"ecs:*:list*",

"ecs:*:create*",

"vpc:*:get*",

"vpc:*:list*",

"vpc:*:create*",

"vpc:*:update*",

"evs:*:get*",

"evs:*:list*",

"evs:*:create*",

  • Escopo:
    • Projeto
    • Projeto empresarial

Expansão ou redimensionamento de um cluster via API

"dws:cluster:scaleOutOrOpenAPIResize"

"dws:*:get*",

"dws:*:list*",

"vpc:vpcs:list",

"vpc:ports:create",

"vpc:ports:get",

"vpc:ports:update",

"vpc:subnets:get",

"vpc:subnets:update",

"vpc:subnets:create",

"vpc:routers:get",

"vpc:routers:update",

"vpc:networks:create",

"vpc:networks:get",

"vpc:networks:update",

"ecs:serverInterfaces:use",

"ecs:serverInterfaces:get",

"ecs:cloudServerFlavors:get"

  • Escopo:
    • Projeto
    • Projeto empresarial

Redefinição da sua senha

"dws:cluster:resetPassword"

"dws:*:get*",

"dws:*:list*",

  • Escopo:
    • Projeto
    • Projeto empresarial

Exclusão de um cluster

"dws:cluster:delete"

"dws:*:get*",

"dws:*:list*",

"ecs:*:get*",

"ecs:*:list*",

"ecs:*:delete*",

"vpc:*:get*",

"vpc:*:list*",

"vpc:*:delete*",

"evs:*:get*",

"evs:*:list*",

"evs:*:delete*",

  • Escopo:
    • Projeto
    • Projeto empresarial

Configuração de janelas de manutenção

"dws:cluster:setMaintainceWindow"

"dws:*:get*",

"dws:*:list*",

  • Escopo:
    • Projeto
    • Projeto empresarial

Vinculação de EIPs

"dws:eip:operate"

"dws:*:get*",

"dws:*:list*",

"eip:*:get*",

"eip:*:list*"

  • Escopo:
    • Projeto
    • Projeto empresarial

Desvinculação de EIPs

"dws:eip:operate"

"dws:*:get*",

"dws:*:list*",

"eip:*:get*",

"eip:*:list*"

  • Escopo:
    • Projeto
    • Projeto empresarial

Criação de nomes de domínio do DNS

"dws:dns:create"

"dws:*:get*",

"dws:*:list*",

  • Escopo:
    • Projeto
    • Projeto empresarial

Liberação de nomes de domínio do DNS

"dws:dns:release"

"dws:*:get*",

"dws:*:list*",

  • Escopo:
    • Projeto
    • Projeto empresarial

Modificação de nomes de domínio do DNS

"dws:dns:edit"

"dws:*:get*",

"dws:*:list*",

  • Escopo:
    • Projeto
    • Projeto empresarial

Criação de conexões do MRS

"dws:MRSConnection:create"

"dws:*:get*",

"dws:*:list*",

"mrs:*:get*",

"mrs:*:list*",

"mrs:cluster:create",

"ecs:*:get*",

"ecs:*:list*",

"ecs:*:create*",

"vpc:*:get*",

"vpc:*:list*",

"vpc:*:create*",

"evs:*:get*",

"evs:*:list*",

"evs:*:create*"

  • Escopo:
    • Projeto
    • Projeto empresarial

Atualização de conexões do MRS

"dws:MRSConnection:update"

"dws:*:get*",

"dws:*:list*",

"mrs:*:get*",

"mrs:*:list*",

"mrs:cluster:create",

"ecs:*:get*",

"ecs:*:list*",

"ecs:*:create*",

"vpc:*:get*",

"vpc:*:list*",

"vpc:*:create*",

"evs:*:get*",

"evs:*:list*",

"evs:*:create*"

  • Escopo:
    • Projeto
    • Projeto empresarial

Exclusão de conexões do MRS

"dws:MRSConnection:delete"

"dws:*:get*",

"dws:*:list*",

"mrs:*:get*",

"mrs:*:list*",

"mrs:cluster:create"

"ecs:*:get*",

"ecs:*:list*",

"ecs:*:delete*",

"vpc:*:get*",

"vpc:*:list*",

"vpc:*:delete*",

"evs:*:get*",

"evs:*:list*",

"evs:*:delete*",

  • Escopo:
    • Projeto
    • Projeto empresarial

Lista de fontes de dados do MRS

"dws:MRSSource:list"

"mrs:cluster:list",

"mrs:tag:listResource",

"mrs:tag:list",

"dws:*:get*",

"dws:*:list*"

  • Escopo:
    • Projeto
    • Projeto empresarial

Adição/exclusão de tags

"dws:tag:addAndDelete"

"dws:*:get*",

"dws:*:list*",

"dws:openAPITag:update",

"dws:openAPITag:getResourceTag",

  • Escopo:
    • Projeto
    • Projeto empresarial

Edição de tags

"dws:tag:edit"

"dws:*:get*",

"dws:*:list*",

"dws:openAPITag:update",

"dws:openAPITag:getResourceTag",

  • Escopo:
    • Projeto
    • Projeto empresarial

Criação de um snapshot

"dws:snapshot:create"

"dws:*:get*",

"dws:*:list*",

  • Escopo:
    • Projeto
    • Projeto empresarial

Obtenção da lista de snapshots

"dws:snapshot:list"

--

  • Escopo:
    • Projeto
    • Projeto empresarial

Exibição da lista de snapshots de um cluster

"dws:clusterSnapshot:list"

"dws:cluster:list",

"dws:openAPICluster:getDetail"

  • Escopo:
    • Projeto
    • Projeto empresarial

Exclusão de snapshots

"dws:snapshot:delete"

"dws:snapshot:list"

  • Escopo:
    • Projeto
    • Projeto empresarial

Cópia de snapshots

"dws:snapshot:copy"

"dws:snapshot:list",

"dws:snapshot:create"

  • Escopo:
    • Projeto
    • Projeto empresarial

Restauração de dados em um novo cluster

"dws:cluster:restore"

"dws:*:get*",

"dws:*:list*",

"ecs:*:get*",

"ecs:*:list*",

"ecs:*:create*",

"vpc:*:get*",

"vpc:*:list*",

"vpc:*:create*",

"evs:*:get*",

"evs:*:list*",

"evs:*:create*"

  • Escopo:
    • Projeto
    • Projeto empresarial

Redimensionamento de um cluster

"dws:cluster:resize"

"dws:*:get*",

"dws:*:list*",

"ecs:*:get*",

"ecs:*:list*",

"ecs:*:create*",

"ecs:*:delete*",

"vpc:*:get*",

"vpc:*:list*",

"vpc:*:create*",

"vpc:*:delete*",

"evs:*:get*",

"evs:*:list*",

"evs:*:create*",

"evs:*:delete*"

  • Escopo:
    • Projeto
    • Projeto empresarial

Reversão

"dws:cluster:switchover"

"dws:*:get*",

"dws:*:list*"

  • Escopo:
    • Projeto
    • Projeto empresarial

Consulta da lista do ELB

"dws:elb:list"

"dws:*:get*",

"dws:*:list*",

"elb:*:get*",

"elb:*:list*",

  • Escopo:
    • Projeto
    • Projeto empresarial

Associação do ELB

"dws:elb:bind"

"dws:*:get*",

"dws:*:list*",

"ecs:*:get*",

"ecs:*:list*",

"vpc:*:get*",

"vpc:*:list*",

"evs:*:get*",

"evs:*:list*",

"elb:*:get*",

"elb:*:list*",

"elb:*:delete*",

"elb:*:create*",

  • Escopo:
    • Projeto
    • Projeto empresarial

Desassociação do ELB

"dws:elb:unbind"

"dws:*:get*",

"dws:*:list*",

"ecs:*:get*",

"ecs:*:list*",

"vpc:*:get*",

"vpc:*:list*",

"evs:*:get*",

"evs:*:list*",

"elb:*:get*",

"elb:*:list*",

"elb:*:delete*",

  • Escopo:
    • Projeto
    • Projeto empresarial

Consulta de configurações de snapshot

"dws:snapshotConfig:list"

"dws:*:get*",

"dws:*:list*",

  • Escopo:
    • Projeto
    • Projeto empresarial

Atualização de uma política de snapshot

"dws:backupPolicyDetail:update"

"dws:*:get*",

"dws:*:list*",

  • Escopo:
    • Projeto
    • Projeto empresarial

Exclusão de uma política de snapshot

"dws:backupPolicy:delete"

"dws:*:get*",

"dws:*:list*",

  • Escopo:
    • Projeto
    • Projeto empresarial

Consulta de uma política de snapshot

"dws:backupPolicy:list"

"dws:cluster:list"

  • Escopo:
    • Projeto
    • Projeto empresarial

Consulta de informações de criptografia de cluster

"dws:clusterEncryptInfo:list"

"dws:*:get*",

"dws:*:list*",

"KMS Administrator"

  • Escopo:
    • Projeto
    • Projeto empresarial

Criação de um agente

"dws:createAgency:create"

"dws:*:get*",

"dws:*:list*",

"security administrator"

  • Escopo:
    • Projeto
    • Projeto empresarial

Consulta de informações do bucket do OBS

"dws:queryBuckets:list"

"dws:*:get*",

"dws:*:list*",

  • Escopo:
    • Projeto
    • Projeto empresarial

Adição de um nó

"dws:expandWithExistedNodes:update"

"dws:*:get*",

"dws:*:list*",

"ecs:*:get*",

"ecs:*:list*",

"ecs:*:create*",

"vpc:*:get*",

"vpc:*:list*",

"vpc:*:create*",

"vpc:*:update*",

"evs:*:get*",

"evs:*:list*",

"evs:*:create*",

  • Escopo:
    • Projeto
    • Projeto empresarial

Exclusão de um backup de DR

"dws:disasterRecovery:delete"

"dws:*:get*",

"dws:*:list*",

"ecs:*:get*",

"ecs:*:list*",

"ecs:*:delete*",

"vpc:*:get*",

"vpc:*:list*",

"vpc:*:delete*",

"evs:*:get*",

"evs:*:list*",

"evs:*:delete*"

  • Escopo:
    • Projeto
    • Projeto empresarial

Criação de um backup de DR

"dws:disasterRecovery:create"

"dws:*:get*",

"dws:*:list*",

"ecs:*:get*",

"ecs:*:list*",

"ecs:*:create*",

"vpc:*:get*",

"vpc:*:list*",

"vpc:*:create*",

"evs:*:get*",

"evs:*:list*",

"evs:*:create*",

  • Escopo:
    • Projeto
    • Projeto empresarial

Outras operações de DR e backup

"dws:disasterRecovery:otherOperate"

"dws:*:get*",

"dws:*:list*",

"ecs:*:get*",

"ecs:*:list*",

"ecs:*:create*",

"vpc:*:get*",

"vpc:*:list*",

"vpc:*:create*",

"evs:*:get*",

"evs:*:list*",

"evs:*:create*"

  • Escopo:
    • Projeto
    • Projeto empresarial

Consulta de operações de DR e backup

"dws:disasterRecovery:get"

"dws:*:get*",

"dws:*:list*",

"ecs:*:get*",

"ecs:*:list*",

"vpc:*:get*",

"vpc:*:list*",

"evs:*:get*",

"evs:*:list*"

  • Escopo:
    • Projeto
    • Projeto empresarial

Adição de um CN

"dws:module:install"

"dws:*:get*",

"dws:*:list*",

  • Escopo:
    • Projeto
    • Projeto empresarial

Exclusão de um CN

"dws:module:uninstall"

"dws:*:get*",

"dws:*:list*",

  • Escopo:
    • Projeto
    • Projeto empresarial

Remoção de nós

"dws:clusterNodes:operate"

"dws:*:get*",

"dws:*:list*"

  • Escopo:
    • Projeto
    • Projeto empresarial

Atualização do alias do nó

dws:instanceAliasName:update

dws:cluster:list

  • Escopo:
    • Projeto
    • Projeto empresarial

Redistribuição de dados

"dws:redistribution:operate"

"dws:*:get*",

"dws:*:list*",

  • Escopo:
    • Projeto
    • Projeto empresarial

Consulta de redistribuição

"dws:redistributionInfo:list"

"dws:*:get*",

"dws:*:list*",

  • Escopo:
    • Projeto
    • Projeto empresarial

Interrupção da redistribuição

"dws:redistribution:suspend"

"dws:*:get*",

"dws:*:list*",

  • Escopo:
    • Projeto
    • Projeto empresarial

Retomada da redistribuição

"dws:redistribution:recover"

"dws:*:get*",

"dws:*:list*",

  • Escopo:
    • Projeto
    • Projeto empresarial

Adição da capacidade de disco

"dws:disk:expand"

"dws:*:get*",

"dws:*:list*",

"ecs:*:get*",

"ecs:*:list*",

"ecs:*:create*",

"vpc:*:get*",

"vpc:*:list*",

"vpc:*:create*",

"evs:*:get*",

"evs:*:list*",

"evs:*:create*",

  • Escopo:
    • Projeto
    • Projeto empresarial

Redução de um cluster

"dws:cluster:shrink"

"dws:*:get*",

"dws:*:list*",

"dws:createAgency:create",

"ecs:*:get*",

"ecs:*:list*",

"ecs:*:delete*",

"vpc:*:get*",

"vpc:*:list*",

"vpc:*:delete*",

"evs:*:get*",

"evs:*:list*",

"evs:*:delete*"

  • Escopo:
    • Projeto
    • Projeto empresarial

Consulta das especificações do produto

"dws:specProduct:list"

"dws:*:get*",

"dws:*:list*",

"ecs:*:get*",

"ecs:*:list*"

  • Escopo:
    • Projeto
    • Projeto empresarial

Alteração de pagamento por uso para anual/mensal

"dws:ondemandToPeriod:operate"

"dws:*:get*",

"dws:*:list*",

"ecs:*:get*",

"ecs:*:list*",

"ecs:*:create*",

"vpc:*:get*",

"vpc:*:list*",

"vpc:*:create*",

"vpc:securityGroupRules:delete",

"evs:*:get*",

"evs:*:list*",

"evs:*:create*",

"bss:coupon:view",

"bss:order:pay",

"bss:order:view",

"bss:contract:update",

"bss:balance:view",

"bss:renewal:view",

"bss:unsubscribe:update",

"bss:renewal:update",

"bss:order:update"

  • Escopo:
    • Projeto
    • Projeto empresarial

Modificação de um cluster anual/mensal

"dws:periodCluster:modify"

"dws:*:get*",

"dws:*:list*",

"ecs:*:get*",

"ecs:*:list*",

"ecs:*:delete*",

"vpc:*:get*",

"vpc:*:list*",

"vpc:*:delete*",

"evs:*:get*",

"evs:*:list*",

"evs:*:delete*",

"bss:coupon:view",

"bss:order:pay",

"bss:order:view",

"bss:contract:update",

"bss:balance:view",

"bss:renewal:view",

"bss:unsubscribe:update",

"bss:renewal:update",

"bss:order:update"

  • Escopo:
    • Projeto
    • Projeto empresarial

Criação de um cluster anual/mensal

"dws:periodCluster:create"

"dws:*:get*",

"dws:*:list*",

"ecs:*:get*",

"ecs:*:list*",

"ecs:*:create*",

"vpc:*:get*",

"vpc:*:list*",

"vpc:*:create*",

"evs:*:get*",

"evs:*:list*",

"evs:*:create*",

"bss:coupon:view",

"bss:order:pay",

"bss:order:view",

"bss:contract:update",

"bss:balance:view",

"bss:renewal:view",

"bss:unsubscribe:update",

"bss:renewal:update",

"bss:order:update"

  • Escopo:
    • Projeto
    • Projeto empresarial

Realização de uma verificação antes de adicionar capacidade de disco a um cluster anual/mensal

"dws:periodExpandPrecheck:operate"

"dws:*:get*",

"dws:*:list*",

"ecs:*:get*",

"ecs:*:list*",

"ecs:*:create*",

"vpc:*:get*",

"vpc:*:list*",

"vpc:*:create*",

"evs:*:get*",

"evs:*:list*",

"evs:*:create*",

  • Escopo:
    • Projeto
    • Projeto empresarial

Consulta sobre se o DAS é suportado

"dws:supportDas:list"

"dws:*:get*",

"dws:*:list*",

"das:*:get*",

"das:*:list*",

  • Escopo:
    • Projeto
    • Projeto empresarial

Vinculação do endereço IP do plano de gerenciamento

"dws:bindManageIp:operate"

"dws:*:get*",

"dws:*:list*"

  • Escopo:
    • Projeto
    • Projeto empresarial

Obtenção de autorização do usuário

"dws:checkAuthorize:operate"

"dws:*:get*",

"dws:*:list*",

"dws:checkSupport:operate"

  • Escopo:
    • Projeto
    • Projeto empresarial

Autorização de um usuário

"dws:authorize:operate"

"dws:*:get*",

"dws:*:list*",

"dws:checkSupport:operate"

  • Escopo:
    • Projeto
    • Projeto empresarial

Consulta de bancos de dados de usuários

"dws:userDatabase:list"

"dws:*:get*",

"dws:*:list*",

"dws:checkSupport:operate"

  • Escopo:
    • Projeto
    • Projeto empresarial

Consulta de esquemas de usuários

"dws:schemas:list"

"dws:*:get*",

"dws:*:list*",

"dws:checkSupport:operate"

  • Escopo:
    • Projeto
    • Projeto empresarial

Consulta de tabelas de usuários

"dws:tables:list"

"dws:*:get*",

"dws:*:list*",

  • Escopo:
    • Projeto
    • Projeto empresarial

Restauração de tabelas

"dws:tableRestore:operate"

"dws:*:get*",

"dws:*:list*",

  • Escopo:
    • Projeto
    • Projeto empresarial

Verificação do nome da tabela a ser restaurada

"dws:tableRestoreCheck:operate"

"dws:*:get*",

"dws:*:list*",

  • Escopo:
    • Projeto
    • Projeto empresarial

Verificação da compatibilidade de um cluster com o backup refinado

"dws:checkSupport:operate"

"dws:*:get*",

"dws:*:list*",

  • Escopo:
    • Projeto
    • Projeto empresarial

Consulta da lista de flavors que podem ser alterados

"dws:supportFlavors:list"

"dws:*:get*",

"dws:*:list*",

  • Escopo:
    • Projeto
    • Projeto empresarial

Alteração do flavor do nó

"dws:specResize:operate"

"dws:*:get*",

"dws:*:list*",

"ecs:*:get*",

"ecs:*:list*",

"ecs:*:create*"

  • Escopo:
    • Projeto
    • Projeto empresarial

Interrupção da criação de snapshot

"dws:snapshot:stop"

"dws:snapshot:list"

  • Escopo:
    • Projeto
    • Projeto empresarial

Encerramento de uma sessão

"dws:dmsSession:terminate"

"dws:dmsGrpcOuter:operation"

  • Escopo:
    • Projeto
    • Projeto empresarial

Operações de relatório de carga de trabalho

"dws:dmsWorkloadDiagnosisReport:create"

"dws:dmsGrpcOuter:operation"

  • Escopo:
    • Projeto
    • Projeto empresarial

Modificação de uma regra de alarme

"dws:dmsAlarmRule:update"

"dws:dmsQuery:list"

  • Escopo:
    • Projeto
    • Projeto empresarial

Habilitação de uma regra de alarme

"dws:dmsAlarmRule:enable"

"dws:dmsQuery:list"

  • Escopo:
    • Projeto
    • Projeto empresarial

Habilitação de um alarme de cluster

"dws:dmsClusterAlarm:enable"

"dws:dmsQuery:list"

  • Escopo:
    • Projeto
    • Projeto empresarial

Desabilitação de um alarme de cluster

"dws:dmsClusterAlarm:disable"

"dws:dmsQuery:list"

  • Escopo:
    • Projeto
    • Projeto empresarial

Serviço externo gRPC

"dws:dmsGrpcOuter:operation"

"dws:dmsQuery:list",

"dws:cluster:setSecuritySettings",

"obs:bucket:ListAllMyBuckets"

  • Escopo:
    • Projeto
    • Projeto empresarial

Adição de um teste SQL

"dws:dmsProbe:add"

"dws:dmsGrpcOuter:operation"

  • Escopo:
    • Projeto
    • Projeto empresarial

Modificação de um teste SQL

"dws:dmsProbe:update"

"dws:dmsGrpcOuter:operation"

  • Escopo:
    • Projeto
    • Projeto empresarial

Exclusão de um teste SQL

"dws:dmsProbe:delete"

"dws:dmsGrpcOuter:operation"

  • Escopo:
    • Projeto
    • Projeto empresarial

Ativação ou desativação de um teste SQL

"dws:dmsProbe:enable"

"dws:dmsGrpcOuter:operation"

  • Escopo:
    • Projeto
    • Projeto empresarial

Criação de um painel de usuário

"dws:dmsUserBoard:create"

"dws:dmsQuery:list"

  • Escopo:
    • Projeto
    • Projeto empresarial

Modificação de um painel de usuário

"dws:dmsUserBoard:update"

"dws:dmsQuery:list"

  • Escopo:
    • Projeto
    • Projeto empresarial

Exclusão de um painel de usuário

"dws:dmsUserBoard:delete"

"dws:dmsQuery:list"

  • Escopo:
    • Projeto
    • Projeto empresarial

Encerramento de uma consulta

"dws:dmsQuery:terminate"

"dws:dmsGrpcOuter:operation"

  • Escopo:
    • Projeto
    • Projeto empresarial

Ativação ou desativação do DMS

"dws:dmsService:enableOrDisable"

"dws:dmsQuery:list"

  • Escopo:
    • Projeto
    • Projeto empresarial

Modificação de configurações de armazenamento do DMS

"dws:dmsStorageConfig:modify"

"dws:dmsQuery:list"

  • Escopo:
    • Projeto
    • Projeto empresarial

Obtenção ou criação de uma revisão DDL

"dws:dmsDdlExamine:getOrCreate"

"dws:dmsGrpcOuter:operation"

  • Escopo:
    • Projeto
    • Projeto empresarial

Operações de snapshot da carga de trabalho

"dws:dmsWorkloadDiagnosisSnapshot:create"

"dws:dmsGrpcOuter:operation"

  • Escopo:
    • Projeto
    • Projeto empresarial

Criação de uma regra de alarme

"dws:dmsAlarmRule:add"

"dws:dmsQuery:list"

  • Escopo:
    • Projeto
    • Projeto empresarial

Exclusão de uma regra de alarme

"dws:dmsAlarmRule:delete"

"dws:dmsQuery:list"

  • Escopo:
    • Projeto
    • Projeto empresarial

Execução de um teste SQL

"dws:dmsProbe:execute"

"dws:dmsGrpcOuter:operation"

  • Escopo:
    • Projeto
    • Projeto empresarial

Exclusão de um item de monitoramento

"dws:dmsPerformanceMonitor:delete"

"dws:dmsQuery:list"

  • Escopo:
    • Projeto
    • Projeto empresarial

Ativação ou desativação de métricas de monitoramento do DMS

"dws:dmsCollectItem:enableOrDisable"

"dws:dmsGrpcOuter:operation"

  • Escopo:
    • Projeto
    • Projeto empresarial

Modificação de configurações de monitoramento do DMS

"dws:dmsCollectConfig:modify"

"dws:dmsGrpcOuter:operation"

  • Escopo:
    • Projeto
    • Projeto empresarial

Consulta condicional

"dws:dmsQuery:list"

"dws:cluster:list"

  • Escopo:
    • Projeto
    • Projeto empresarial

Consulta condicional de OpenAPI

"dws:dmsOpenapiQuery:list"

"dws:cluster:list"

  • Escopo:
    • Projeto
    • Projeto empresarial

Desabilitação de uma regra de alarme

"dws:dmsAlarmRule:disable"

"dws:dmsQuery:list"

  • Escopo:
    • Projeto
    • Projeto empresarial

Exclusão de um registro de alarme

"dws:dmsAlarmRecord:delete"

"dws:dmsQuery:list"

  • Escopo:
    • Projeto
    • Projeto empresarial

Verificação de testes SQL

"dws:dmsProbe:check"

"dws:dmsGrpcOuter:operation"

  • Escopo:
    • Projeto
    • Projeto empresarial

Adição de um item de monitoramento

"dws:dmsPerformanceMonitor:add"

"dws:dmsQuery:list"

  • Escopo:
    • Projeto
    • Projeto empresarial

Modificação de métricas de monitoramento

"dws:dmsPerformanceMonitor:update"

"dws:dmsQuery:list"

  • Escopo:
    • Projeto
    • Projeto empresarial

Baixa de tendência de monitoramento histórico

"dws:dmsTrendHistory:down"

"dws:dmsQuery:list"

  • Escopo:
    • Projeto
    • Projeto empresarial

Obtenção de informações do anel de cluster

"dws:ring:list"

"dws:*:get*",

"dws:*:list*"

  • Escopo:
    • Projeto
    • Projeto empresarial

Obtenção da topologia do processo de cluster

"dws:processTopo:list"

"dws:*:get*",

"dws:*:list*"

  • Escopo:
    • Projeto
    • Projeto empresarial

Consulta de informações de O&M inteligente

"dws:operationalTask:get"

"dws:*:get*",

"dws:*:list*"

  • Escopo:
    • Projeto
    • Projeto empresarial

Operações de O&M inteligente

"dws:operationalTask:operate"

"dws:*:get*",

"dws:*:list*"

  • Escopo:
    • Projeto
    • Projeto empresarial

Adição, exclusão e modificação de um cluster lógico

"dws:logicalCluster:operate"

"dws:*:get*",

"dws:*:list*"

  • Escopo:
    • Projeto
    • Projeto empresarial

Consulta de um cluster lógico

"dws:logicalCluster:get"

"dws:*:get*",

"dws:*:list*"

  • Escopo:
    • Projeto
    • Projeto empresarial

Planejamento de cluster lógico elástico

"dws:logicalClusterPlan:operate"

"dws:*:get*",

"dws:*:list*",

"dws:logicalCluster:*",

"dws:cluster:scaleOut",

"iam:agencies:*",

"iam:permissions:*Agency*"

  • Escopo:
    • Projeto
    • Projeto empresarial

Criação de um serviço do ponto de extremidade

"dws:vpcEndpointService:create"

"dws:*:get*",

"dws:*:list*"

  • Escopo:
    • Projeto
    • Projeto empresarial

Consulta da lista de gerenciamento de recursos

"dws:workLoadManager:get"

"dws:*:get*",

"dws:*:list*"

  • Escopo:
    • Projeto
    • Projeto empresarial

Operações de gerenciamento de recursos

"dws:workLoadManager:operate"

"dws:*:get*",

"dws:*:list*"

  • Escopo:
    • Projeto
    • Projeto empresarial

Operações do LTS

"dws:ltsAccess:operate"

"dws:*:get*",

"dws:*:list*"

  • Escopo:
    • Projeto
    • Projeto empresarial

Consulta de informações do LTS

"dws:ltsAccess:get"

"dws:*:get*",

"dws:*:list*"

  • Escopo:
    • Projeto
    • Projeto empresarial

Consulta de eventos

"dws:event:list"

"dws:*:get*",

"dws:*:list*"

  • Escopo:
    • Projeto

Consulta de especificações do ECS

"dws:event:list"

"dws:*:get*",

"dws:*:list*"

  • Escopo:
    • Projeto

Consulta de assinaturas de eventos

"dws:eventSub:list"

"dws:*:get*",

"dws:*:list*"

  • Escopo:
    • Projeto

Criação de uma assinatura de evento

"dws:eventSub:create"

"dws:*:get*",

"dws:*:list*",

  • Escopo:
    • Projeto

Atualização de uma assinatura de evento

"dws:eventSub:update"

"dws:*:get*",

"dws:*:list*"

  • Escopo:
    • Projeto

Exclusão de uma assinatura de evento

"dws:eventSub:delete"

"dws:*:get*",

"dws:*:list*"

  • Escopo:
    • Projeto

Consulta de estatísticas de alarme

"dws:alarmStatistic:list"

"dws:*:get*",

"dws:*:list*"

  • Escopo:
    • Projeto

Consulta de detalhes do alarme

"dws:alarmDetail:list"

"dws:*:get*",

"dws:*:list*"

  • Escopo:
    • Projeto

Consulta das configurações do alarme

"dws:alarmConfig:list"

"dws:*:get*",

"dws:*:list*"

  • Escopo:
    • Projeto

Consulta de assinaturas de alarme

"dws:alarmSub:list"

"dws:*:get*",

"dws:*:list*"

  • Escopo:
    • Projeto

Criação de uma assinatura de alarme

"dws:alarmSub:create"

"dws:*:get*",

"dws:*:list*",

  • Escopo:
    • Projeto

Atualização de uma assinatura de alarme

"dws:alarmSub:update"

"dws:*:get*",

"dws:*:list*"

  • Escopo:
    • Projeto

Exclusão de uma assinatura de alarme

"dws:alarmSub:delete"

"dws:*:get*",

"dws:*:list*"

  • Escopo:
    • Projeto

Entrega de operações de atualização de cluster (atualização, reversão, envio e repetição)

"dws:cluster:doUpdate"

"dws:*:get*",

"dws:*:list*"

  • Escopo:
    • Projeto

Consulta dos caminhos de atualização disponíveis de um cluster

"dws:cluster:getUpgradePaths"

"dws:*:get*",

"dws:*:list*"

  • Escopo:
    • Projeto

Consulta de registros de atualização de cluster

"dws:cluster:getUpgradeRecords"

"dws:*:get*",

"dws:*:list*"

  • Escopo:
    • Projeto

Autorização usando a política de permissão refinada

  1. Faça logon no console do IAM e crie uma política personalizada.

    Para obter detalhes, consulte Criação de políticas personalizadas no Guia de usuário do Identity and Access Management.

    Consulte o seguinte para criar a política:

    • Use a conta de administrador do IAM, ou seja, o usuário no grupo de usuários admin, porque somente o administrador do IAM tem permissões para criar usuários e grupos de usuários e modificar permissões de grupo de usuários.
    • GaussDB(DWS) é um serviço de nível de projeto, portanto, seu Scope deve ser definido como Project-level services. Se essa política for necessária para entrar em vigor em vários projetos, a autorização será necessária para cada projeto.
    • Dois modelos de política do GaussDB(DWS) são pré-configurados no IAM. Ao criar uma política personalizada, você pode selecionar um dos modelos a seguir e modificar a instrução de autorização de política com base no modelo:
      • DWS Admin: tem todas as permissões de execução no GaussDB(DWS).
      • DWS Viewer: tem a permissão somente leitura no GaussDB(DWS).
    • Você pode adicionar permissões correspondentes a operações do GaussDB(DWS) ou de APIs RESTful listadas em Lista de ações suportadas à lista de ações na instrução de autorização de política, para que a política possa obter as permissões.

      Por exemplo, se dws:cluster:create for adicionado à lista de ações de uma instrução de política, a política terá permissão para criar ou restaurar clusters.

    • Se você quiser usar outros serviços, conceda permissões de operação relacionadas a esses serviços. Para obter detalhes, consulte os documentos de ajuda dos serviços relacionados.

      Por exemplo, ao criar um cluster de armazém de dados, é necessário configurar a VPC à qual o cluster pertence. Para obter a lista de VPCs, adicione a permissão vpc:*:get* à instrução de política.

  2. Crie um grupo de usuários.

    Para obter detalhes, consulte Criação de um grupo de usuários no Guia de usuário de Identity and Access Management.

  3. Adicione usuários ao grupo de usuários e conceda a nova política personalizada ao grupo de usuários para que os usuários nele possam obter as permissões definidas pela política.

    Para obter detalhes, consulte Visualização e modificação das informações do grupo de usuários no Guia de usuário do Identity and Access Management.

Lógica de autenticação

Se um usuário receber permissões de várias políticas ou de apenas uma política contendo as instruções Allow e Deny, a autenticação começará a partir das instruções Deny. A figura a seguir mostra a lógica de autenticação para acesso a recursos.

Figura 3 Lógica de autenticação

As ações em cada política possuem a relação OR.

  1. Um usuário acessa o sistema e faz uma solicitação de operação.
  2. O sistema avalia todas as políticas de permissões atribuídas ao usuário.
  3. Nessas políticas, o sistema procura por negações explícitas. Se o sistema encontrar uma negação explícita aplicável, a decisão Deny será retornada, e a autenticação se encerrará.
  4. Se nenhuma negação explícita for encontrada, o sistema procurará por permissões que se aplicariam à solicitação. Se o sistema encontrar uma permissão explícita aplicável, a decisão Allow será retornada, e a autenticação se encerrará.
  5. Se nenhuma permissão explícita for encontrada, o IAM retornará a decisão Deny, e a autenticação se encerrará.