Permissões
Se você precisar atribuir permissões diferentes a funcionários em sua empresa, o Identity and Access Management (IAM) é uma boa opção para o gerenciamento de permissões refinado. O IAM permite que você controle o acesso aos recursos da Cloud Connect.
Com o IAM, você pode criar usuários do IAM para determinados funcionários em sua empresa e atribuir permissões para controlar o acesso deles aos recursos da Cloud Connect. Por exemplo, você pode atribuir permissões a desenvolvedores de software para que eles usem a Cloud Connect, mas não possam excluir recursos da Cloud Connect ou executar outras operações de alto risco.
Pule esta parte se você não precisar de usuários individuais do IAM para o gerenciamento de permissões refinado.
O IAM é gratuito. Para obter mais informações sobre o IAM, consulte Visão geral de serviço do IAM.
Permissões da Cloud Connect
Por padrão, os novos usuários do IAM não têm permissões atribuídas. Para atribuir permissões a esses novos usuários, adicione-os a um ou mais grupos e anexe políticas de permissões ou funções a esses grupos.
A Cloud Connect é um serviço global para acesso a partir de qualquer região. Você pode atribuir permissões do IAM a usuários no projeto de serviço global. Dessa forma, os usuários não precisam mudar de região quando acessam o IAM.
Você pode conceder permissões usando funções ou políticas.
- Funções: um tipo de mecanismo de autorização grosseira que define permissões com base na responsabilidade do usuário. Esse mecanismo fornece apenas um número limitado de funções de nível de serviço. Ao usar funções para conceder permissões, talvez seja necessário atribuir também outras funções de dependência. As funções não são uma escolha adequada para uma autorização refinada.
- Políticas: um tipo de mecanismo de autorização refinado que define as permissões necessárias para realizar operações em recursos de nuvem específicos sob determinadas condições. Esse mecanismo permite uma autorização baseada em políticas mais flexível, atendendo aos requisitos de controle de acesso seguro. Por exemplo, o administrador pode conceder aos usuários da Cloud Connect apenas as permissões para gerenciar conexões de nuvem.
|
Nome da função/política do sistema |
Descrição |
Tipo |
Dependência |
|---|---|---|---|
|
Cross Connect Administrator |
Tem todas as permissões para os recursos da Cloud Connect. Para que as permissões dessa função entrem em vigor, os usuários também devem ter as permissões Tenant Guest e VPC Administrator. |
Função definida pelo sistema |
Tenant Guest e VPC Administrator
|
|
CC FullAccess |
Todas as permissões na Direct Connect. |
Política definida pelo sistema |
- |
|
CC ReadOnlyAccess |
Permissões somente leitura para recursos da Cloud Connect. Os usuários que têm essas permissões só podem visualizar os recursos da Cloud Connect. |
Política definida pelo sistema |
- |
|
CC Network Depend QueryAccess |
Permissões somente leitura necessárias para acessar recursos de dependência ao usar a Cloud Connect. Os usuários que têm essas permissões podem visualizar VPCs ou gateways virtuais. |
Política definida pelo sistema |
- |
Tabela 2 lista operações comuns suportadas por cada função definida pelo sistema.
Ao configurar o CC FullAccess e o CC ReadOnlyAccess de diretivas do sistema, selecione Global services para Scope. Nesse caso, as duas políticas do sistema podem ter efeito para instâncias de rede, larguras de banda entre domínios e rotas.
|
Operação |
Cross Connect Administrator |
CC FullAccess |
CC ReadOnlyAccess |
|---|---|---|---|
|
Criar uma conexão em nuvem. |
√ |
√ |
× |
|
Visualizar uma conexão de nuvem |
√ |
√ |
√ |
|
Modificar uma conexão de nuvem |
√ |
√ |
× |
|
Excluir uma conexão de nuvem |
√ |
√ |
× |
|
Vincular um pacote de largura de banda a uma conexão de nuvem |
√ |
√ |
× |
|
Desvincular um pacote de largura de banda de uma conexão de nuvem |
√ |
√ |
× |
|
Carregar uma instância de rede |
√ |
√ |
× |
|
Visualizar uma instância de rede |
√ |
√ |
√ |
|
Modificar uma instância de rede |
√ |
√ |
× |
|
Remover uma instância de rede |
√ |
√ |
× |
|
Comprar um pacote de largura de banda |
√ |
√ |
× |
|
Visualizar um pacote de largura de banda |
√ |
√ |
√ |
|
Modificar a largura de banda |
√ |
√ |
× |
|
Cancelar a subscrição de um pacote de largura de banda anual/mensal |
√ |
√ |
× |
|
Renovar um pacote de largura de banda anual/mensal |
√ |
√ |
× |
|
Atribuir largura de banda entre regiões |
√ |
√ |
× |
|
Visualizar largura de banda entre regiões |
√ |
√ |
√ |
|
Modificar largura de banda entre regiões |
√ |
√ |
× |
|
Excluir uma largura de banda entre regiões |
√ |
√ |
× |
|
Visualizar os dados de monitoramento de uma largura de banda entre regiões |
√ |
√ |
√ |
|
Visualizar informações da rota |
√ |
√ |
√ |
|
Pedir que outras pessoas autorizem a permissão para acessar suas VPCs |
√ |
× |
× |
|
Visualizar as VPCs que você autorizou para acesso por outros usuários |
√ |
√ |
√ |
|
Visualizar as VPCs de outros usuários que você tem permissão para acessar |
√ |
√ |
√ |
|
Cancelar autorização |
√ |
× |
× |
|
Candidatar-se a uma autorização transfronteiriça |
√ |
× |
× |
|
Editar o pedido de autorização transfronteiriça |
√ |
× |
× |
|
Cancelar o pedido transfronteiriço |
√ |
× |
× |
|
Visualizar a aplicação transfronteiriça |
√ |
√ |
√ |
