Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Central de ajuda/ Cloud Search Service/ Visão geral de serviço/ Gerenciamento de permissões
Atualizado em 2025-12-30 GMT+08:00
Ver PDF
Compartilhar

Gerenciamento de permissões

Se você precisar atribuir permissões diferentes aos funcionários da sua organização para acessar seus recursos do CSS, o IAM é uma boa escolha para o gerenciamento de permissões refinadas. IAM fornece autenticação de identidade, gerenciamento de permissões e controle de acesso.

Se a conta atual atender aos seus requisitos, você não precisará criar um usuário do IAM independente para gerenciamento de permissões. Você pode ignorar esta seção. Isso não afetará outras funções do CSS.

Com o IAM, você pode usar sua conta para criar usuários do IAM para seus funcionários e atribuir permissões aos usuários para controlar o acesso deles aos seus recursos. O IAM é gratuito. Você paga apenas pelos recursos que adquirir. Para obter mais informações sobre o IAM, consulte Visão geral de serviço do IAM.

Permissões do CSS

Os novos usuários do IAM não têm nenhuma permissão atribuída por padrão. Primeiro você precisa adicioná-los a um ou mais grupos e anexar políticas ou funções a esses grupos. Em seguida, os usuários herdam permissões dos grupos e podem executar operações especificadas em serviços de nuvem com base nas permissões atribuídas a eles.

O CSS é um serviço de nível de projeto implementado em regiões físicas específicas. Portanto, as permissões do CSS são atribuídas a projetos em regiões específicas e só entram em vigor nessas regiões. Se você quiser que as permissões entrem em vigor em todas as regiões, precisará atribuir as permissões aos projetos em cada região. Ao acessar o CSS, os usuários precisam alternar para uma região onde foram autorizados a usar serviços em nuvem.

Você pode usar funções e políticas para conceder permissões aos usuários.

  • Funções: um tipo de mecanismo de autorização de alta granularidade que define permissões relacionadas às responsabilidades do usuário. Esse mecanismo fornece apenas um número limitado de funções de nível de serviço para autorização. Ao usar funções para conceder permissões, você também precisa atribuir funções de dependência. As funções não são ideais para autorização refinada e controle de acesso seguro.
  • Políticas: um tipo de mecanismo de autorização refinado que define as permissões para realizar operações em recursos específicos da nuvem sob determinadas condições. Esse mecanismo permite uma autorização mais flexível. As políticas permitem que você atenda aos requisitos para um controle de acesso mais seguro. Por exemplo, os administradores do CSS podem conceder aos usuários do CSS apenas as permissões necessárias para gerenciar um tipo específico de recursos do CSS. A maioria das políticas define permissões com base em APIs. Para as ações de API suportadas pelo CSS, consulte Políticas de permissões e ações suportadas.

Tabela 1 lista todas as funções e políticas definidas pelo sistema suportadas pelo CSS.

  • CSS Administrator depende das funções de outros serviços para executar suas permissões. Portanto, se você atribuir a função Elasticsearch Administrator a um usuário, atribua suas funções de dependência ao mesmo tempo.
  • CSS FullAccess e CSS ReadOnlyAccess podem ser usados para controlar os recursos aos quais os usuários podem acessar. Por exemplo, se você quiser que seus desenvolvedores de software usem recursos do CSS, mas não os excluam ou realizem operações de alto risco, você pode criar usuários do IAM para esses desenvolvedores de software e atribuir a eles apenas as permissões necessárias para usar recursos do CSS.
Tabela 1 Permissões do sistema do CSS

Nome da função/política

Tipo

Descrição

Dependência

CSS Administrator

Função definida pelo sistema

Permissões completas para o CSS.

Essa função depende das funções Tenant Guest, Server Administrator e IAM ReadOnlyAccess no mesmo projeto.

A função do sistema VPCEndpoint Administrator é necessária para acessar um cluster por meio de um ponto de extremidade da VPC.

A função do sistema CES Administrator é necessária para usar o serviço de monitoramento do Cloud Eye.

Algumas operações dependem das seguintes permissões:

  • Exibir a lista de agências:

    iam:agencies:listAgencies

    iam:permissions:listRolesForAgency

    iam:permissions:listRolesForAgencyOnProject

  • Criar uma agência automaticamente:

    iam:agencies:listAgencies

    iam:agencies:createAgency

    iam:permissions:grantRoleToAgency

  • Exibir projetos empresariais e tags predefinidas no console:

    eps:enterpriseProjects:list

    tms:predefineTags:list

  • Usar as funções de snapshot, dicionário de palavras e gerenciamento de logs:

    obs:bucket:Get*

    obs:bucket:List*

    obs:object:List*

    obs:object:Get*

    obs:bucket:HeadBucket

    obs:object:PutObject

    obs:object:DeleteObject

  • bss:order:update

    bss:order:pay

CSS FullAccess

Política definida pelo sistema

Permissões completas de CSS concedidas por meio de políticas. Os usuários com essas permissões podem executar todas as operações no CSS.

Algumas funções dependem das permissões correspondentes. Para usar certas funções, você precisa ativar as permissões dependentes no mesmo projeto.

CSS ReadOnlyAccess

Política definida pelo sistema

Permissões somente leitura para CSS. Os usuários com essas permissões podem apenas visualizar os dados do CSS.

Algumas funções dependem das permissões correspondentes. Para usar certas funções, você precisa ativar as permissões dependentes em serviços globais.

Algumas operações dependem das seguintes permissões:

  • Exibir a lista de agências:

    iam:agencies:listAgencies

    iam:permissions:listRolesForAgency

    iam:permissions:listRolesForAgencyOnProject

  • Exibir projetos empresariais e tags predefinidas no console:

    eps:enterpriseProjects:list

    tms:predefineTags:list

  • Usar as funções de snapshot, dicionário de palavras e gerenciamento de logs:

    obs:bucket:Get*

    obs:bucket:List*

    obs:object:List*

    obs:object:Get*

    obs:bucket:HeadBucket

Tabela 2 lista as operações comuns suportadas por cada permissão do sistema do CSS. Escolha as permissões do sistema adequadas de acordo com esta tabela.

Tabela 2 Operações comuns suportadas por cada política definida pelo sistema

Operação

CSS FullAccess

CSS ReadOnlyAccess

CSS Administrator

Observações

Criação de um cluster

x

-

Consulta da lista de clusters

-

Consulta dos detalhes do cluster

-

Exclusão de um cluster

x

-

Reinicialização de um cluster

x

-

Expansão/ampliação de um cluster

x

-

Adição de instâncias e expansão da capacidade de armazenamento de instâncias

x

-

Consulta de tags de um cluster especificado

-

Consulta de todas as tags

-

Carregamento de um dicionário de palavras personalizado

x

Depende das permissões do OBS e do IAM

Consulta do status de um dicionário de palavras personalizado

-

Exclusão de um dicionário de palavras personalizado

x

-

Configuração automática das configurações básicas de um snapshot de cluster

x

Depende das permissões do OBS e do IAM

Modificação das configurações básicas de um snapshot de cluster

x

Depende das permissões do OBS e do IAM

Definição da política de criação automática de snapshots

x

-

Consulta da política de criação automática de snapshots

-

Criação manual de um snapshot

x

-

Consulta da lista de snapshots

-

Restauração de um snapshot

x

-

Exclusão de um snapshot

x

-

Desativação da função de snapshot

x

-

Modificação de especificações

x

-

Redução de um cluster

x

-

Links úteis