Permissões
Se você precisar atribuir permissões diferentes aos funcionários de sua empresa para acessar seus recursos do EIP, o IAM é uma boa opção para o gerenciamento de permissões refinado. O IAM fornece autenticação de identidade, gerenciamento de permissões e controle de acesso, ajudando você a gerenciar com segurança o acesso aos seus recursos da Huawei Cloud.
Com o IAM, você pode usar seu ID da HUAWEI para criar usuários do IAM e atribuir permissões aos usuários para controlar seu acesso a recursos específicos. Por exemplo, alguns desenvolvedores de software em sua empresa precisam usar recursos de EIP, mas não devem ter permissão para excluir os recursos ou executar qualquer operação de alto risco. Nesse cenário, você pode criar usuários do IAM para os desenvolvedores de software e conceder a eles apenas as permissões necessárias para usar os recursos do EIP.
Se seu ID da HUAWEI não precisar de usuários individuais do IAM para gerenciamento de permissões, pule esta seção.
O IAM pode ser usado gratuitamente. Você paga apenas pelos recursos na sua conta. Para obter mais informações, consulte Visão geral de serviço do IAM.
Permissões de EIP
Novos usuários do IAM não têm permissões atribuídas por padrão. Você precisa em primeiro adicionar um usuário a um ou mais grupos e anexar políticas ou funções a esses grupos. Em seguida, os usuários herdam permissões dos grupos e podem executar operações especificadas em serviços de nuvem com base nas permissões atribuídas a eles.
Atualmente, as permissões de EIP estão incluídas nas permissões de VPC.
VPC é um serviço no nível do projeto implementado para regiões específicas. Quando você define Scope como Region-specific projects e seleciona os projetos especificados (por exemplo, ap-southeast-1) nas regiões especificadas (por exemplo, CN-Hong Kong), os usuários só têm permissões para VPCs nos projetos selecionados. Se você definir Scope como All resources, os usuários terão permissões para VPCs em todos os projetos específicos da região. Ao acessar VPCs, os usuários precisam mudar para a região autorizada.
Você pode conceder permissões usando funções e políticas.
- Funções: uma estratégia de autorização grosseira fornecida pelo IAM para atribuir permissões com base nas responsabilidades de trabalho dos usuários. Apenas um número limitado de funções em nível de serviço está disponível para autorização. Ao conceder permissões usando funções, você também precisa anexar funções dependentes. As funções não são ideais para autorização refinada e acesso de privilégio mínimo.
- Políticas: uma estratégia de autorização refinada que define as permissões necessárias para realizar operações em recursos específicos da nuvem sob determinadas condições. Esse tipo de autorização é mais flexível e é ideal para acesso de privilégio mínimo. Por exemplo, você pode conceder aos usuários da VPC somente as permissões para gerenciar um determinado tipo de recursos. A maioria das políticas refinadas contém permissões para APIs específicas, e as permissões são definidas usando ações da API. Para as ações de API suportadas pela VPC, consulte Políticas de permissões e ações suportadas.
Tabela 1 lista todas as funções definidas pelo sistema e políticas suportadas pela VPC.
|
Nome da política |
Descrição |
Tipo de política |
Dependências |
|---|---|---|---|
|
VPC FullAccess |
Permissões completas para VPC |
Política definida pelo sistema |
Para usar a função de log de fluxo da VPC, os usuários também devem ter a permissão LTS ReadOnlyAccess. |
|
VPC ReadOnlyAccess |
Permissões somente leitura na VPC. |
Política definida pelo sistema |
Nenhuma |
|
VPC Administrator |
A maioria das permissões na VPC, excluindo a criação, modificação, exclusão e exibição de grupos de segurança e regras de grupo de segurança. Para receber essa permissão, os usuários também devem ter a permissão Tenant Guest. |
Função definida pelo sistema |
Política Tenant Guest, que deve ser anexada ao mesmo projeto que VPC Administrator. |
Tabela 2 lista as operações comuns suportadas por cada política de sistema da VPC. Escolha as políticas de sistema apropriadas de acordo com esta tabela.
|
Operação |
VPC ReadOnlyAccess |
VPC Administrator |
VPC FullAccess |
|---|---|---|---|
|
Atribuir um EIP |
x |
x |
√ |
|
Visualizar um EIP |
√ |
x |
√ |
|
Liberar um EIP |
x |
x |
√ |
|
Vincular ou desvincular um EIP |
x |
x |
√ |
|
Adicionar um EIP a ou remover um EIP de uma largura de banda compartilhada |
x |
x |
√ |
|
Atribuir uma largura de banda |
x |
x |
√ |
|
Visualizar uma largura de banda |
√ |
x |
√ |
|
Modificar uma largura de banda |
x |
x |
√ |
|
Excluir uma largura de banda |
x |
x |
√ |
