Gerenciamento de permissões
Se você precisar atribuir permissões diferentes a funcionários em sua empresa para acessar seus recursos do DNS na Huawei Cloud, o IAM é adequado para o gerenciamento de permissões refinado. O IAM fornece autenticação de identidade, gerenciamento de permissões e controle de acesso, ajudando você a gerenciar com segurança o acesso aos seus recursos de nuvem da Huawei.
Com o IAM, você pode usar sua conta da Huawei Cloud para criar usuários do IAM e atribuir permissões aos usuários para controlar seu acesso a recursos específicos. Por exemplo, alguns desenvolvedores de software em sua empresa precisam usar recursos do DNS, mas não devem conseguir excluí-los ou executar outras operações de alto risco. Nesse cenário, você pode criar usuários do IAM para os desenvolvedores de software e conceder a eles apenas as permissões necessárias para o uso de recursos específicos.
Ignore esta parte se sua conta da Huawei Cloud não exigir usuários individuais do IAM para gerenciamento de permissões.
O IAM gratuito. Você paga apenas pelos recursos de nuvem que compra ou usa. Para obter mais informações sobre o IAM, consulte O que é o IAM?
Permissões do DNS
Por padrão, os novos usuários do IAM não têm nenhuma permissão atribuída. Para atribuir permissões a esses novos usuários, adicione-os a um ou mais grupos e anexe políticas de permissões ou funções a esses grupos. E pode executar operações especificadas em serviços de nuvem.
Os recursos do DNS incluem o seguinte:
- zona pública: recurso de nível global
- zona privada: recurso no nível do projeto
- registro de PTR: recurso no nível do projeto
As permissões do DNS para recursos de nível global não podem ser definidas no projeto de serviço global e devem ser concedidas para cada projeto.
Para atribuir permissões do DNS a um grupo de usuários, especifique o escopo como projetos específicos da região e selecione os projetos para que as permissões entrem em vigor. Se All projects estiver selecionado, as permissões entrarão em vigor para o grupo de usuários em todos os projetos específicos da região. Ao acessar o serviço do DNS, os usuários precisam mudar para uma região onde foram autorizados a usar recursos DNS.
Você pode conceder permissões aos usuários usando funções e políticas.
- Funções: um tipo de mecanismo de autorização de granulação grosseira que define permissões relacionadas às responsabilidades do usuário. Esse mecanismo fornece apenas um número limitado de funções de nível de serviço para autorização. Ao usar funções para conceder permissões, você também precisa atribuir outras funções das quais as permissões dependem, para que as permissões entrem em vigor. No entanto, as funções não são ideais para autorização refinada e controle de acesso seguro.
- Políticas: um tipo de mecanismo de autorização refinado que define as permissões necessárias para executar operações em recursos de nuvem específicos sob certas condições. Esse mecanismo permite uma autorização baseada em políticas mais flexível e atende aos requisitos de controle de acesso seguro. Por exemplo, você pode conceder aos usuários do DNS somente as permissões para gerenciar um determinado tipo de recursos do DNS. A maioria das políticas define permissões com base nas APIs. Para as ações de API suportadas pelo serviço do DNS, consulte Políticas de permissões e ações suportadas.
Nome da função/política |
Descrição |
Tipo |
Dependência |
---|---|---|---|
DNS FullAccess |
Todas as permissões para o DNS. |
Política definida pelo sistema |
Nenhuma |
DNS ReadOnlyAccess |
Permissões de somente leitura para o DNS. Os usuários concedidos com essas permissões só podem exibir recursos do DNS. |
Política definida pelo sistema |
Nenhuma |
DNS Administrator |
Todas as permissões para o DNS. |
Função definida pelo sistema |
Essa função depende das funções Tenant Guest e VPC Administrator no mesmo projeto. |
Tabela 2 lista as operações comuns suportadas por cada política ou função do sistema do DNS. Escolha as políticas de sistema apropriadas de acordo com esta tabela.
Operação |
DNS FullAccess |
DNS ReadOnlyAccess |
DNS Administrator |
---|---|---|---|
Criação de uma zona pública |
√ |
X |
√ |
Visualização de uma zona pública |
√ |
√ |
√ |
Modificação de uma zona pública |
√ |
X |
√ |
Exclusão de uma zona pública |
√ |
X |
√ |
Exclusão de zonas públicas em lotes |
√ |
X |
√ |
Desabilitação ou habilitação de uma zona pública |
√ |
X |
√ |
Criação de uma zona privada |
√ |
X |
√ |
Visualização de uma zona privada |
√ |
√ |
√ |
Modificação de uma zona privada |
√ |
X |
√ |
Exclusão de uma zona privada |
√ |
X |
√ |
Exclusão de zonas privadas em lotes |
√ |
X |
√ |
Associação de uma VPC a uma zona privada |
√ |
X |
√ |
Desassociação de uma VPC de uma zona privada |
√ |
X |
√ |
Adição de um conjunto de registros |
√ |
X |
√ |
Visualização de um conjunto de registros |
√ |
√ |
√ |
Modificar um conjunto de registros |
√ |
X |
√ |
Exclusão de um conjunto de registros |
√ |
X |
√ |
Excluir conjuntos de registros em lotes |
√ |
X |
√ |
Desabilitação ou habilitação de um conjunto de registros |
√ |
X |
√ |
Exportação de conjuntos de registros em lotes |
√ |
X |
√ |
Importação de conjuntos de registros em lotes |
√ |
X |
√ |
Criação de um registro de PTR |
√ |
X |
√ |
Visualização de um registro de PTR |
√ |
√ |
√ |
Modificação de um registro de PTR |
√ |
X |
√ |
Exclusão de um registro de PTR |
√ |
X |
√ |
Exclusão de registros de PTR em lotes |
√ |
X |
√ |