Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.

Central de ajuda/ Identity and Access Management/ Visão geral de serviço/ Conceitos básicos

Atualizado em 2024-08-30 GMT+08:00

Ver PDF

Conceitos básicos

A seguir estão os conceitos básicos que você precisa entender antes de começar a usar o serviço IAM.

Conta

Uma conta é criada depois que você se registra com sucesso na Huawei Cloud. Sua conta é proprietária dos recursos da Huawei Cloud e paga pelo uso desses recursos. Ela tem permissões de acesso total para seus serviços e recursos de nuvem e você pode usar sua conta para executar operações como redefinir a senha de logon e atribuir permissões a usuários do IAM. Os recursos usados pelos usuários do IAM na sua conta são cobrados na sua conta.

Você não pode modificar ou excluir sua conta no IAM, mas você pode fazer isso em Minha conta.

Usuário do IAM

Você pode usar sua conta para criar usuários do IAM e atribuir permissões para recursos específicos. Cada usuário do IAM tem suas próprias credenciais de identidade (senha ou chaves de acesso) e usa recursos de nuvem com base nas permissões atribuídas. Os usuários do IAM não podem fazer pagamentos por conta própria. Você pode usar sua conta para pagar suas contas.

Se um usuário do IAM esquecer sua senha, ele poderá redefini-la consultando Como redefinir minha senha?

Figura 1 Logon de usuário do IAM

Relação entre uma conta e seus usuários do IAM

Uma conta e seus usuários do IAM têm um relacionamento pai-filho. A conta é proprietária dos recursos e faz pagamentos pelos recursos usados pelos usuários do IAM. Ela tem permissões completas para esses recursos. Os usuários do IAM são criados por uma conta e só têm as permissões concedidas pela conta. A conta pode modificar ou revogar as permissões dos usuários do IAM a qualquer momento. Os usuários do IAM não podem fazer pagamentos por conta própria. A conta paga pelos recursos que eles usam.

Figura 2 Conta e usuários do IAM

Autorização

Autorização é o processo de concessão de permissões necessárias para um usuário executar tarefas específicas.

Grupo de usuários

Um grupo de usuários do IAM é uma coleção de usuários do IAM. Os grupos de usuários permitem que você especifique permissões para vários usuários, o que pode facilitar o gerenciamento das permissões para esses usuários. Os usuários do IAM adicionados a um grupo de usuários obtêm automaticamente as permissões atribuídas ao grupo. Se um usuário for adicionado a vários grupos de usuários, o usuário herdará as permissões de todos esses grupos.

Há um grupo de usuários padrão admin. Ele tem todas as permissões necessárias para usar todos os recursos de nuvem. Os usuários do IAM nesse grupo podem executar operações em todos os recursos, incluindo, entre outros, a criação de grupos de usuários e usuários, a atribuição de permissões e o gerenciamento de recursos.

Figura 3 Grupo de usuários e usuários

Permissões

Você pode conceder permissões usando funções e políticas.

Funções: uma estratégia de autorização de alta granularidade fornecida pelo IAM para atribuir permissões com base nas responsabilidades de trabalho dos usuários. Apenas um número limitado de funções em nível de serviço está disponível para autorização.
Políticas: uma estratégia de autorização refinada que define as permissões necessárias para realizar operações em recursos específicos de nuvem sob determinadas condições. Esse tipo de autorização é mais flexível e é ideal para acesso de privilégio mínimo. Por exemplo, você pode conceder permissão somente aos usuários para gerenciar ECSs de um determinado tipo. O IAM oferece suporte a ambas políticas definidas pelo sistema e políticas personalizadas.
- Uma política definida pelo sistema define as ações comuns de um serviço de nuvem. Políticas definidas pelo sistema podem ser usadas para atribuir permissões a grupos de usuários e não podem ser modificadas. Se você precisar atribuir permissões para um serviço específico a um grupo de usuários ou agência no console do IAM, mas não conseguir encontrar políticas correspondentes, isso indicará que o serviço não oferece suporte ao gerenciamento de permissões por meio do IAM. Você pode enviar um tíquete de serviço para solicitar que as permissões para o serviço sejam disponibilizadas no IAM.
- As políticas personalizadas funcionam como um complemento às políticas definidas pelo sistema. Você pode criar políticas personalizadas usando as ações suportadas pelos serviços de nuvem para um controle de acesso mais refinado. Você pode criar políticas personalizadas no editor visual ou na visualização JSON.

Figura 4 Exemplo de permissões

Credenciais

As credenciais confirmam a identidade de um usuário quando o usuário acessa a Huawei Cloud por meio de console ou APIs. As credenciais podem ser uma senha ou chaves de acesso. Você pode gerenciar suas próprias credenciais e as credenciais de seus usuários do IAM.

Senha: uma credencial comum para fazer logon no console de gerenciamento ou chamar APIs.
Chave de acesso: um par de ID de chave de acesso/chave de acesso secreta (AK/SK), que só pode ser usado para chamar APIs. Cada chave de acesso fornece uma assinatura para autenticação criptográfica para garantir que as solicitações de acesso sejam secretas, completas e corretas.

Dispositivo de MFA virtual

Um dispositivo de MFA virtual é uma aplicação que gera códigos de verificação de 6 dígitos em conformidade com o padrão TOTP (Algoritmo de senha de uso único baseado em tempo). Os dispositivos de MFA podem ser baseados em hardware ou software. A Huawei Cloud suporta apenas dispositivos de MFA virtual baseados em software, que são aplicações executadas em dispositivos inteligentes, como telefones celulares. Para obter detalhes sobre como usar dispositivos de MFA virtual, consulte Dispositivo de MFA virtual.

Projeto

Uma região corresponde a um projeto. Os projetos padrão são definidos para agrupar e isolar fisicamente recursos (incluindo recursos de computação, armazenamento e rede) entre regiões. Você pode conceder permissões aos usuários em um projeto padrão para acessar todos os recursos na região vinculada ao projeto. Se precisar de um controlo de acesso mais refinado, pode criar subprojetos em um projeto padrão e comprar recursos em subprojetos. Em seguida, você pode atribuir permissões necessárias para que os usuários acessem apenas recursos em subprojetos específicos.

Figura 5 Projetos

Projeto empresarial

Os projetos empresariais permitem que você agrupe e gerencie recursos entre regiões. Os recursos em projetos empresariais são logicamente isolados uns dos outros. Um projeto empresarial pode conter recursos de várias regiões e você pode facilmente adicionar ou remover recursos de projetos empresariais.

Para obter detalhes sobre como obter IDs e recursos de projetos empresariais, consulte o Guia de usuário do Enterprise Management.

Agência

Uma relação de confiança que você pode estabelecer entre sua conta e outra conta ou um serviço de nuvem para delegar acesso a recursos.

Delegação de conta: você pode delegar outra conta para implementar O&M em seus recursos com base nas permissões atribuídas.

Delegação de serviços em nuvem: os serviços da Huawei Cloud interagem entre si e alguns serviços de nuvem dependem de outros serviços. Você pode criar uma agência para delegar um serviço de nuvem para acessar outros serviços.

Tópico anterior: O que é o IAM?

Próximo tópico: Funções