Permissões
Se você precisar atribuir permissões diferentes ao pessoal da sua empresa para acessar seus recursos de DNS, o Identity and Access Management (IAM) é uma boa escolha para o gerenciamento de permissões refinado. O IAM fornece autenticação de identidade, gerenciamento de permissões e controle de acesso, ajudando você a acessar com segurança seus recursos da Huawei Cloud.
Com o IAM, você pode criar usuários do IAM e atribuir permissões para controlar seu acesso a recursos específicos. Por exemplo, se você quiser que alguns desenvolvedores de software em sua empresa usem recursos de DNS, mas não deseja que eles excluam recursos de DNS ou executem outras operações de alto risco, poderá criar usuários do IAM e conceder permissão para usar recursos de DNS, mas não para excluí-los.
Se sua conta da Huawei Cloud não exigir usuários individuais do IAM para gerenciamento de permissões, você poderá pular esta seção.
O IAM é um serviço gratuito. Você paga apenas pelos recursos na sua conta.
Para obter mais informações sobre o IAM, consulte Visão geral de serviço do IAM.
Permissões de DNS
Os novos usuários do IAM não têm nenhuma permissão atribuída por padrão. Primeiro você precisa adicioná-los a um ou mais grupos e anexar políticas ou funções a esses grupos. Em seguida, os usuários herdam permissões dos grupos e podem executar operações especificadas em serviços de nuvem com base nas permissões atribuídas a eles.
Os recursos de DNS incluem o seguinte:
- Zonas públicas: recursos de nível global
- Zonas privadas: recursos de nível do projeto
- Registros PTR: recursos no nível do projeto
As permissões de DNS para recursos de nível global não podem ser definidas no projeto de serviço global e devem ser concedidas para cada projeto.
Quando você define Scope como Region-specific projects e seleciona os projetos especificados (por exemplo, ap-southeast-2) nas regiões especificadas (por exemplo, AP-Bangkok), os usuários só têm permissões para DNS nos projetos selecionados. Se você definir Scope como All resources, os usuários terão permissões para DNS em todos os projetos específicos da região. Ao acessar o DNS, os usuários precisam alternar para a região autorizada.
Você pode conceder permissões usando funções e políticas.
- Funções: uma estratégia de autorização de alta granularidade fornecida pelo IAM para atribuir permissões com base nas responsabilidades de trabalho dos usuários. Apenas um número limitado de funções em nível de serviço está disponível para autorização. Os serviços da Huawei Cloud dependem uns dos outros. Ao conceder permissões usando funções, você também precisa anexar funções dependentes. As funções não são ideais para autorização refinada e acesso de privilégio mínimo.
- Políticas: uma estratégia de autorização refinada que define as permissões necessárias para realizar operações em recursos específicos de nuvem sob determinadas condições. Esse tipo de autorização é mais flexível e é ideal para acesso de privilégio mínimo. Por exemplo, você pode conceder apenas permissões aos usuários para gerenciar recursos de DNS de um determinado tipo. A maioria das políticas refinadas contém permissões para APIs específicas, e as permissões são definidas usando ações da API. Para as ações de API suportadas pelo DNS, consulte Permissões e ações suportadas.
|
Nome da função/política |
Descrição |
Tipo |
Dependências |
|---|---|---|---|
|
DNS FullAccess |
Permissões completas para DNS |
Política definida pelo sistema |
Nenhuma |
|
DNS ReadOnlyAccess |
Permissões somente leitura para DNS. Os usuários concedidos com essas permissões só podem exibir recursos de DNS. |
Política definida pelo sistema |
Nenhuma |
|
DNS Administrator |
Permissões completas para DNS |
Função definida pelo sistema |
Tenant Guest e VPC Administrator, que devem ser anexados no mesmo projeto que a função DNS Administrator |
Tabela 2 lista operações comuns suportadas por permissões definidas pelo sistema para DNS.
|
Operação |
DNS FullAccess |
DNS ReadOnlyAccess |
DNS Administrator |
|---|---|---|---|
|
Criação de uma zona pública |
Suportada |
Não suportada |
Suportada |
|
Visualização de uma zona pública |
Suportada |
Suportada |
Suportada |
|
Modificação de uma zona pública |
Suportada |
Não suportada |
Suportada |
|
Exclusão de uma zona pública |
Suportada |
Não suportada |
Suportada |
|
Exclusão de zonas públicas em lotes |
Suportada |
Não suportada |
Suportada |
|
Desativação ou ativação de uma zona pública |
Suportada |
Não suportada |
Suportada |
|
Criação de uma zona privada |
Suportada |
Não suportada |
Suportada |
|
Visualização de uma zona privada |
Suportada |
Suportada |
Suportada |
|
Modificação de uma zona privada |
Suportada |
Não suportada |
Suportada |
|
Exclusão de uma zona privada |
Suportada |
Não suportada |
Suportada |
|
Exclusão de zonas privadas em lotes |
Suportada |
Não suportada |
Suportada |
|
Vinculação de uma VPC a uma zona privada |
Suportada |
Não suportada |
Suportada |
|
Desvinculação de uma VPC de uma zona privada |
Suportada |
Não suportada |
Suportada |
|
Adição de um conjunto de registros |
Suportada |
Não suportada |
Suportada |
|
Visualização de um conjunto de registros |
Suportada |
Suportada |
Suportada |
|
Modificação de um conjunto de registros |
Suportada |
Não suportada |
Suportada |
|
Exclusão de um conjunto de registros |
Suportada |
Não suportada |
Suportada |
|
Exclusão de conjuntos de registros em lotes |
Suportada |
Não suportada |
Suportada |
|
Desativação ou ativação de um conjunto de registros |
Suportada |
Não suportada |
Suportada |
|
Exportação de conjuntos de registros em lotes |
Suportada |
Não suportada |
Suportada |
|
Importação de conjuntos de registros em lotes |
Suportada |
Não suportada |
Suportada |
|
Criação de um registro PTR |
Suportada |
Não suportada |
Suportada |
|
Visualização de um registro PTR |
Suportada |
Suportada |
Suportada |
|
Modificação de um registro PTR |
Suportada |
Não suportada |
Suportada |
|
Exclusão de um registro PTR |
Suportada |
Não suportada |
Suportada |
|
Exclusão de registros PTR em lotes |
Suportada |
Não suportada |
Suportada |
