Gerenciamento de permissões do DEW
Se você quiser atribuir permissões de acesso diferentes a funcionários em uma empresa para os recursos de DEW comprados na Huawei Cloud, você pode usar o Identity and Access Management (IAM) para executar o gerenciamento de permissões refinadas. O IAM fornece autenticação de identidade, gerenciamento de permissões e controle de acesso, ajudando você a proteger o acesso aos seus recursos na Huawei Cloud.
Com o IAM, você pode usar sua conta da Huawei para criar usuários do IAM para seus funcionários e conceder permissões aos usuários para controlar seu acesso a tipos de recursos específicos. Por exemplo, se você tiver desenvolvedores de software e quiser atribuir a eles a permissão para acessar o DEW, mas não para excluir o DEW ou seus recursos, em seguida, você pode criar uma política do IAM para atribuir aos desenvolvedores a permissão para acessar o DEW, mas impedi-los de excluir dados relacionados ao DEW.
Se a conta da Huawei atendeu aos seus requisitos e você não precisa criar um usuário do IAM independente para controle de permissão, pode pular esta seção. Isso não afetará outras funções do DEW.
O IAM é oferecido gratuitamente e você paga apenas pelos recursos faturáveis em sua conta. Para obter mais detalhes, consulte Visão geral de serviço do IAM.
Permissões do DEW
Por padrão, os novos usuários do IAM não têm permissões atribuídas. Você precisa adicionar um usuário a um ou mais grupos e anexar políticas de permissões ou funções a esses grupos. Os usuários herdam permissões de seus grupos e podem executar operações especificadas em serviços de nuvem com base nas permissões.
O DEW é um serviço de nível de projeto implementado e acessado em regiões físicas específicas. Para atribuir permissões a um grupo de usuários, especifique o escopo como projetos específicos da região e selecione projetos para que as permissões entrem em vigor. Se All projects estiver selecionado, as permissões entrarão em vigor para o grupo de usuários em todos os projetos específicos da região. Os usuários precisam alternar para a região autorizada ao acessar o DEW.
Você pode conceder permissões aos usuários usando funções e políticas.
- Funções: um tipo de mecanismo de autorização de alta granularidade que define permissões relacionadas às responsabilidades do usuário. Esse mecanismo fornece apenas um número limitado de funções de nível de serviço para autorização. Algumas funções dependem de outras funções para entrar em vigor. Ao atribuir essas funções aos usuários, lembre-se de atribuir as funções das quais eles dependem. No entanto, as funções não são uma escolha adequada para autorização refinada e controle de acesso seguro.
- Políticas: um tipo de mecanismo de autorização refinada que define as permissões necessárias para realizar operações em recursos em nuvem específicos sob determinadas condições. Esse mecanismo permite uma autorização baseada em políticas mais flexível, atendendo aos requisitos de controle de acesso seguro. Por exemplo, você pode conceder aos usuários do DEW apenas as permissões para gerenciar um determinado tipo de servidores em nuvem. A maioria das políticas contém permissões para APIs específicas, e as permissões são definidas usando ações da API. Para as ações de API suportadas pelo DEW, consulte Políticas de permissões e ações suportadas.
As tabelas a seguir listam todas as permissões do sistema do DEW.
|
Função/política |
Descrição |
Tipo |
Dependência |
|---|---|---|---|
|
KMS Administrator |
Todas as permissões do KMS |
Função |
Nenhuma |
|
KMS CMKFullAccess |
Todas as permissões para chaves do KMS. Os usuários com essas permissões podem executar todas as operações permitidas pelas políticas. |
Política |
Nenhuma |
|
KMS CMKReadOnlyAccess |
Permissões somente leitura para chaves do KMS. Os usuários com essas permissões podem executar todas as operações permitidas pelas políticas. |
Política |
Nenhuma |
|
Função/política |
Descrição |
Tipo |
Dependência |
|---|---|---|---|
|
DEW KeypairFullAccess |
Todas as permissões para o KPS. Os usuários com essas permissões podem executar todas as operações permitidas pelas políticas. |
Política do sistema |
Nenhuma |
|
DEW KeypairReadOnlyAccess |
Permissões somente leitura para o Key Pair Service (KPS) no DEW. Os usuários com essa permissão só podem visualizar os dados do KPS. |
Política do sistema |
Nenhuma |
|
Função/política |
Descrição |
Tipo |
Dependência |
|---|---|---|---|
|
CSMS FullAccess |
Todas as permissões para o Cloud Secret Management Service (CSMS) no DEW. Os usuários com essas permissões podem executar todas as operações permitidas pelas políticas. |
Política do sistema |
Nenhuma |
|
CSMS ReadOnlyAccess |
Permissões somente leitura para o Cloud Secret Management Service (CSMS) no DEW. Os usuários com essas permissões podem executar todas as operações permitidas pelas políticas. |
Política do sistema |
Nenhuma |
As políticas DEW KeypairFullAccess e DEW KeypairReadOnlyAccess usadas para autorização de projetos empresariais não entram em vigor para usuários individuais.
Se você for um usuário individual e precisar usar a autorização do projeto empresarial, certifique-se de que você foi adicionado a um grupo de usuários e autorize o grupo de usuários.
Tabela 4 lista as operações comuns suportadas por cada permissão definida pelo sistema de DEW. Selecione as permissões conforme necessário.
|
Operação |
KMS Administrator |
KMS CMKFullAccess |
|---|---|---|
|
Criar uma chave |
√ |
√ |
|
Ativar uma chave |
√ |
√ |
|
Desativar uma chave |
√ |
√ |
|
Programar a exclusão de chaves |
√ |
√ |
|
Cancelar a exclusão da chave programada |
√ |
√ |
|
Modificar um alias de chave |
√ |
√ |
|
Modificar descrição da chave |
√ |
√ |
|
Gerar um número aleatório |
√ |
√ |
|
Criar uma DEK |
√ |
√ |
|
Criar uma DEK sem texto não criptografado |
√ |
√ |
|
Criptografar uma DEK |
√ |
√ |
|
Descriptografar uma DEK |
√ |
√ |
|
Obter parâmetros para importar uma chave |
√ |
√ |
|
Importar materiais de chave |
√ |
√ |
|
Excluir materiais de chave |
√ |
√ |
|
Criar uma concessão |
√ |
√ |
|
Revogar uma concessão |
√ |
√ |
|
Retirar uma concessão |
√ |
√ |
|
Consultar a lista de concessões |
√ |
√ |
|
Consultar concessões recuperáveis |
√ |
√ |
|
Criptografar dados |
√ |
√ |
|
Descriptografar dados |
√ |
√ |
|
Enviar mensagens de assinatura |
√ |
√ |
|
Autenticar assinatura |
√ |
√ |
|
Ativar rotação de chaves |
√ |
√ |
|
Modificar intervalo de rotação da chave |
√ |
√ |
|
Desativar rotação de chaves |
√ |
√ |
|
Consultar status da rotação da chave |
√ |
√ |
|
Consultar instâncias de CMK |
√ |
√ |
|
Consultar tags de chave |
√ |
√ |
|
Consultar tags do projeto |
√ |
√ |
|
Adicionar ou excluir tags de chave em lote |
√ |
√ |
|
Adicionar tags a uma chave |
√ |
√ |
|
Excluir tags de chave |
√ |
√ |
|
Consultar a lista de chaves |
√ |
√ |
|
Consultar detalhes da chave |
√ |
√ |
|
Consultar chave pública |
√ |
√ |
|
Consultar quantidade da instância |
√ |
√ |
|
Consultar cotas |
√ |
√ |
|
Consultar a lista de pares de chaves |
x |
x |
|
Criar ou importar um par de chaves |
x |
x |
|
Consultar pares de chaves |
x |
x |
|
Excluir um par de chaves |
x |
x |
|
Atualizar descrição do par de chaves |
x |
x |
|
Vincular um par de chaves |
x |
x |
|
Desvincular um par de chaves |
x |
x |
|
Consultar uma tarefa de vinculação |
x |
x |
|
Consultar tarefas com falha |
x |
x |
|
Excluir todas as tarefas com falha |
x |
x |
|
Excluir uma tarefa com falha |
x |
x |
|
Consultar tarefas em execução |
x |
x |
