Gerenciamento de permissões
Se você quiser atribuir permissões de acesso diferentes a funcionários em uma empresa para os recursos de DEW comprados na HUAWEI CLOUD, você pode usar o Identity and Access Management (IAM) para executar o gerenciamento de permissões refinado. O IAM fornece autenticação de identidade, gerenciamento de permissões e controle de acesso, ajudando você a proteger o acesso aos seus recursos de nuvem.
Com o IAM, você pode usar sua conta da HUAWEI CLOUD para criar usuários do IAM para seus funcionários e atribuir permissões aos usuários para controlar seu acesso a tipos de recursos específicos. Por exemplo, se você tiver desenvolvedores de software e quiser atribuir a eles a permissão para acessar o DEW, mas não para excluir o DEW ou seus recursos, em seguida, você pode criar uma política do IAM para atribuir aos desenvolvedores a permissão para acessar o DEW, mas impedi-los de excluir dados relacionados ao DEW.
Se a conta da HUAWEI CLOUD atendeu aos seus requisitos e você não precisa criar um usuário IAM independente para controle de permissão, pode pular esta seção. Isso não afetará outras funções do DEW.
O IAM é oferecido gratuitamente e você paga apenas pelos recursos faturáveis em sua conta. Para obter mais detalhes, consulte Visão geral de serviço do IAM.
Permissões do DEW
Por padrão, os novos usuários do IAM não têm permissões atribuídas. Você precisa adicionar um usuário a um ou mais grupos e anexar políticas de permissões ou funções a esses grupos. Os usuários herdam permissões de seus grupos e podem executar operações especificadas em serviços de nuvem com base nas permissões.
DEW é um serviço de nível de projeto implantado e acessado em regiões físicas específicas. Para atribuir permissões a um grupo de usuários, especifique o escopo como projetos específicos da região e selecione projetos para que as permissões entrem em vigor. Se All projects estiver selecionado, as permissões entrarão em vigor para o grupo de usuários em todos os projetos específicos da região. Os usuários precisam alternar para a região autorizada ao acessar o DEW.
Você pode conceder permissões aos usuários usando funções e políticas.
- Funções: um tipo de mecanismo de autorização de granulação grosseira que define permissões relacionadas às responsabilidades do usuário. Esse mecanismo fornece apenas um número limitado de funções de nível de serviço para autorização. Alguns papéis dependem de outros papéis para ter efeito. Ao atribuir tais funções aos usuários, lembre-se de atribuir as funções das quais eles dependem. No entanto, as funções não são uma escolha adequada para autorização refinada e controle de acesso seguro.
- Políticas: um tipo de mecanismo de autorização refinado que define as permissões necessárias para realizar operações em recursos de nuvem específicos sob determinadas condições. Esse mecanismo permite uma autorização baseada em políticas mais flexível, atendendo aos requisitos de controle de acesso seguro. Por exemplo, você pode conceder aos usuários do DEW apenas as permissões para gerenciar um determinado tipo de servidores em nuvem. A maioria das políticas contém permissões para APIs específicas, e as permissões são definidas usando ações da API. Para as ações de API suportadas pela DEW, consulte Políticas de permissões e ações suportadas.
Tabela 1 lista todas as políticas do sistema do DEW.
Nome da função/política |
Descrição |
Tipo |
Dependência |
|---|---|---|---|
KMS Administrator |
Permissões de administrador para o KMS |
Função do sistema |
Nenhum |
KMS CMKFullAccess |
Permissões completas para KMS. Os usuários com essas permissões podem executar todas as operações permitidas pelas políticas. |
Política do sistema |
Nenhum |
DEW KeypairFullAccess |
Permissões completas para o KPS. Os usuários com essas permissões podem executar todas as operações permitidas pelas políticas. |
Política do sistema |
Nenhum |
DEW KeypairReadOnlyAccess |
Permissões somente leitura para o KPS. Os utilizadores com esta permissão só podem ver os dados do KPS. |
Política do sistema |
Nenhum |
Tabela 2 lista as operações comuns suportadas por cada permissão definida pelo sistema de DEW. Selecione as permissões conforme necessário.
Operação |
KMS Administrator |
KMS CMKFullAccess |
DEW KeypairFullAccess |
DEW KeypairReadOnlyAccess |
|---|---|---|---|---|
Criar uma chave |
√ |
√ |
x |
x |
Ativar uma chave |
√ |
√ |
x |
x |
Desativar uma chave |
√ |
√ |
x |
x |
Programar a exclusão da chave |
√ |
√ |
x |
x |
Cancelar exclusão de chave agendada |
√ |
√ |
x |
x |
Modificar um alias de chave |
√ |
√ |
x |
x |
Modificar descrição da chave |
√ |
√ |
x |
x |
Gerar um número aleatório |
√ |
√ |
x |
x |
Criar uma DEK |
√ |
√ |
x |
x |
Criar uma DEK sem texto não criptografado |
√ |
√ |
x |
x |
Criptografar uma DEK |
√ |
√ |
x |
x |
Descriptografar uma DEK |
√ |
√ |
x |
x |
Obter parâmetros para importar uma chave |
√ |
√ |
x |
x |
Importar os materiais de chave |
√ |
√ |
x |
x |
Eliminar os materiais de chave |
√ |
√ |
x |
x |
Criar uma concessão |
√ |
√ |
x |
x |
Revogar uma concessão |
√ |
√ |
x |
x |
Retirar uma concessão |
√ |
√ |
x |
x |
Consultar a lista de concessões |
√ |
√ |
x |
x |
Consultar concessões removíveis |
√ |
√ |
x |
x |
Criptografar dados |
√ |
√ |
x |
x |
Descriptografar dados |
√ |
√ |
x |
x |
Enviar mensagens de assinatura |
√ |
√ |
x |
x |
Autenticar assinatura |
√ |
√ |
x |
x |
Ativar rotação de chaves |
√ |
√ |
x |
x |
Modificar o intervalo de rotação da chave |
√ |
√ |
x |
x |
Desativar rotação de chaves |
√ |
√ |
x |
x |
Consultar status da rotação da chave |
√ |
√ |
x |
x |
Consultar instâncias de CMK |
√ |
√ |
x |
x |
Consultar tags de chave |
√ |
√ |
x |
x |
Consultar tags de projeto |
√ |
√ |
x |
x |
Adicionar ou excluir tags de chave em lote |
√ |
√ |
x |
x |
Adicionar tags a uma chave |
√ |
√ |
x |
x |
Excluir tags de chave |
√ |
√ |
x |
x |
Consultar a lista de chaves |
√ |
√ |
x |
x |
Consultar detalhes da chave |
√ |
√ |
x |
x |
Consultar chave pública |
√ |
√ |
x |
x |
Consultar quantidade da instância |
√ |
√ |
x |
x |
Consultar cotas |
√ |
√ |
x |
x |
Consultar a lista de pares de chaves |
x |
x |
√ |
√ |
Criar ou importar um par de chaves |
x |
x |
√ |
X |
Consultar pares de chaves |
x |
x |
√ |
√ |
Excluir um par de chaves |
x |
x |
√ |
x |
Atualizar descrição do par de chaves |
x |
x |
√ |
x |
Vincular um par de chaves |
x |
x |
√ |
x |
Desvincular um par de chaves |
x |
x |
√ |
x |
Consultar uma tarefa de vinculação |
x |
x |
√ |
√ |
Consultar tarefas com falha |
x |
x |
√ |
√ |
Excluir todas as tarefas que falharam |
x |
x |
√ |
x |
Excluir tarefa com falha |
x |
x |
√ |
x |
Consultar tarefas de execução |
x |
x |
√ |
√ |
