Permissões
Se você precisar atribuir permissões diferentes para o IAM aos funcionários em sua organização, o IAM é uma boa opção para o gerenciamento de permissões refinado. O IAM fornece autenticação de identidade, gerenciamento de permissões e controle de acesso, ajudando você a proteger o acesso aos seus recursos da Huawei Cloud.
Com o IAM, você pode criar usuários do IAM em sua conta e atribuir permissões a esses usuários para controlar seu acesso a recursos específicos. Por exemplo, você pode conceder permissões para permitir que determinados planejadores de projetos em sua empresa visualizem dados do IAM, mas não permitir que eles realizem operações de alto risco, por exemplo, excluir usuários e projetos do IAM. Para obter todas as permissões dos serviços suportados pelo IAM, consulte Permissões definidas pelo sistema.
Permissões do IAM
Os novos usuários do IAM não têm nenhuma permissão atribuída por padrão. Primeiro você precisa adicioná-los a um ou mais grupos e anexar políticas ou funções a esses grupos. Em seguida, os usuários herdam permissões dos grupos e podem executar operações especificadas em serviços de nuvem com base nas permissões atribuídas a eles.
O IAM é um serviço global implementado em todas as regiões. Quando você define o escopo de autorização como Global services, os usuários têm permissão para acessar o IAM em todas as regiões.
Você pode conceder permissões usando funções e políticas.
- Funções: uma estratégia de autorização de alta granularidade fornecida pelo IAM para atribuir permissões com base nas responsabilidades de trabalho dos usuários. Apenas um número limitado de funções em nível de serviço está disponível para autorização. Os serviços de nuvem dependem uns dos outros. Ao conceder permissões usando funções, você também precisa anexar quaisquer dependências de função existentes. As funções não são ideais para autorização refinada e acesso de privilégio mínimo.
- Políticas: uma estratégia de autorização refinada que define as permissões necessárias para realizar operações em recursos específicos de nuvem sob determinadas condições. Esse tipo de autorização é mais flexível e é ideal para acesso de privilégio mínimo. Por exemplo, você pode conceder permissão somente aos usuários para gerenciar ECSs de um determinado tipo. A maioria das políticas refinadas contém permissões para APIs específicas, e as permissões são definidas usando ações da API. Para as ações de API suportadas pelo IAM, consulte Permissões e ações suportadas.
Tabela 1 lista todas as permissões definidas pelo sistema para o IAM.
|
Nome da função/política |
Descrição |
Tipo |
Conteúdo |
|---|---|---|---|
|
FullAccess |
Permissões completas para todos os serviços que suportam autorização baseada em política. Os usuários com essas permissões podem executar operações em todos os serviços. |
Política definida pelo sistema |
|
|
IAM ReadOnlyAccess |
Permissões somente leitura para o IAM. Os usuários com essas permissões só podem visualizar os dados do IAM. |
Política definida pelo sistema |
|
|
Security Administrator |
Administrador do IAM com permissões completas, incluindo permissões para criar e excluir usuários do IAM. |
Função definida pelo sistema |
|
|
Agent Operator |
Operador de IAM (parte delegada) com permissões para alternar funções e acessar recursos de uma parte delegante. |
Função definida pelo sistema |
|
|
Tenant Guest |
Permissões somente leitura para todos os serviços, exceto o IAM. |
Política definida pelo sistema |
|
|
Tenant Administrator |
Permissões de administrador para todos os serviços, exceto o IAM. |
Política definida pelo sistema |
Tabela 2 lista as operações comuns suportadas por permissões definidas pelo sistema para o IAM.
Tenant Guest e Tenant Administrator são funções básicas fornecidas pelo IAM e não contêm permissões específicas para o IAM. Portanto, as duas funções não estão listadas na tabela a seguir.
|
Operação |
Security Administrator |
Agent Operator |
FullAccess |
IAM ReadOnlyAccess |
|---|---|---|---|---|
|
Criação de usuários do IAM |
Suportada |
Não suportada |
Suportada |
Não suportada |
|
Consulta de detalhes do usuário do IAM |
Suportada |
Não suportada |
Suportada |
Suportada |
|
Modificação de informações do usuário do IAM |
Suportada |
Não suportada |
Suportada |
Não suportada |
|
Consulta de configurações de segurança de usuários do IAM |
Suportada |
Não suportada |
Suportada |
Suportada |
|
Modificação das configurações de segurança de usuários do IAM |
Suportada |
Não suportada |
Suportada |
Não suportada |
|
Exclusão de usuários do IAM |
Suportada |
Não suportada |
Suportada |
Não suportada |
|
Criação de grupos de usuários |
Suportada |
Não suportada |
Suportada |
Não suportada |
|
Consulta de detalhes do grupo de usuários |
Suportada |
Não suportada |
Suportada |
Suportada |
|
Modificação de informações do grupo de usuários |
Suportada |
Não suportada |
Suportada |
Não suportada |
|
Adição de usuários a grupos de usuários |
Suportada |
Não suportada |
Suportada |
Não suportada |
|
Remoção de usuários de grupos de usuários |
Suportada |
Não suportada |
Suportada |
Não suportada |
|
Exclusão de grupos de usuários |
Suportada |
Não suportada |
Suportada |
Não suportada |
|
Atribuição de permissões a grupos de usuários |
Suportada |
Não suportada |
Suportada |
Não suportada |
|
Remoção de permissões de grupos de usuários |
Suportada |
Não suportada |
Suportada |
Não suportada |
|
Criação de políticas personalizadas |
Suportada |
Não suportada |
Suportada |
Não suportada |
|
Modificação de políticas personalizadas |
Suportada |
Não suportada |
Suportada |
Não suportada |
|
Exclusão de políticas personalizadas |
Suportada |
Não suportada |
Suportada |
Não suportada |
|
Consulta de detalhes da permissão |
Suportada |
Não suportada |
Suportada |
Suportada |
|
Criação de agências |
Suportada |
Não suportada |
Suportada |
Não suportada |
|
Consulta de agências |
Suportada |
Não suportada |
Suportada |
Suportada |
|
Modificação de agências |
Suportada |
Não suportada |
Suportada |
Não suportada |
|
Mudança de funções |
Não suportada |
Suportada |
Suportada |
Não suportada |
|
Exclusão de agências |
Suportada |
Não suportada |
Suportada |
Não suportada |
|
Concessão de permissões a agências |
Suportada |
Não suportada |
Suportada |
Não suportada |
|
Remoção de permissões de agências |
Suportada |
Não suportada |
Suportada |
Não suportada |
|
Criação de projetos |
Suportada |
Não suportada |
Suportada |
Não suportada |
|
Consulta de projetos |
Suportada |
Não suportada |
Suportada |
Suportada |
|
Modificação de projetos |
Suportada |
Não suportada |
Suportada |
Não suportada |
|
Exclusão de projetos |
Suportada |
Não suportada |
Suportada |
Não suportada |
|
Criação de provedores de identidade |
Suportada |
Não suportada |
Suportada |
Não suportada |
|
Importação de arquivos de metadados |
Suportada |
Não suportada |
Suportada |
Não suportada |
|
Consulta de arquivos de metadados |
Suportada |
Não suportada |
Suportada |
Suportada |
|
Consulta de provedores de identidade |
Suportada |
Não suportada |
Suportada |
Suportada |
|
Consulta de protocolos |
Suportada |
Não suportada |
Suportada |
Suportada |
|
Consulta de mapeamentos |
Suportada |
Não suportada |
Suportada |
Suportada |
|
Atualização de provedores de identidade |
Suportada |
Não suportada |
Suportada |
Não suportada |
|
Atualização de protocolos |
Suportada |
Não suportada |
Suportada |
Não suportada |
|
Atualização de mapeamentos |
Suportada |
Não suportada |
Suportada |
Não suportada |
|
Exclusão de provedores de identidade |
Suportada |
Não suportada |
Suportada |
Não suportada |
|
Exclusão de protocolos |
Suportada |
Não suportada |
Suportada |
Não suportada |
|
Exclusão de mapeamentos |
Suportada |
Não suportada |
Suportada |
Não suportada |
|
Consulta de cotas |
Suportada |
Não suportada |
Suportada |
Não suportada |
O gerenciamento de chaves de acesso está desativado por padrão.Quando o gerenciamento de chaves de acesso está ativado, somente os administradores podem gerenciar as chaves de acesso. Se os usuários do IAM precisarem criar, ativar, desativar ou excluir suas próprias chaves de acesso, eles deverão pedir ao administrador para desativar o gerenciamento de chaves de acesso.
Se um usuário do IAM quiser gerenciar as chaves de acesso de outros usuários do IAM, consulte Tabela 3. Por exemplo, se o usuário A do IAM quiser criar uma chave de acesso para o usuário B do IAM, o usuário A do IAM deve ter a permissão Security Administrator ou FullAccess.
|
Operação |
Security Administrator |
Agent Operator |
FullAccess |
IAM ReadOnlyAccess |
|---|---|---|---|---|
|
Criação de chaves de acesso (para outros usuários do IAM) |
Suportada |
Não suportada |
Suportada |
Não suportada |
|
Consulta de chaves de acesso (de outros usuários do IAM) |
Suportada |
Não suportada |
Suportada |
Suportada |
|
Modificação de chaves de acesso (para outros usuários do IAM) |
Suportada |
Não suportada |
Suportada |
Não suportada |
|
Exclusão de chaves de acesso (para outros usuários do IAM) |
Suportada |
Não suportada |
Suportada |
Não suportada |
Conteúdo da política FullAccess
{
"Version": "1.1",
"Statement": [
{
"Action": [
"*:*:*"
],
"Effect": "Allow"
}
]
}Conteúdo da política IAM ReadOnlyAccess
{
"Version": "1.1",
"Statement": [
{
"Action": [
"iam:*:get*",
"iam:*:list*",
"iam:*:check*"
],
"Effect": "Allow"
}
]
}Conteúdo da função Security Administrator
{
"Version": "1.0",
"Statement": [
{
"Action": [
"iam:agencies:*",
"iam:credentials:*",
"iam:groups:*",
"iam:identityProviders:*",
"iam:mfa:*",
"iam:permissions:*",
"iam:projects:*",
"iam:quotas:*",
"iam:roles:*",
"iam:users:*",
"iam:securitypolicies:*"
],
"Effect": "Allow"
}
]
}Conteúdo da função Agent Operator
{
"Version": "1.0",
"Statement": [
{
"Action": [
"iam:tokens:assume"
],
"Effect": "Allow"
}
]
}Conteúdo da função Tenant Guest
{
"Version": "1.1",
"Statement": [
{
"Action": [
"obs:*:get*",
"obs:*:list*",
"obs:*:head*"
],
"Effect": "Allow"
},
{
"Condition": {
"StringNotEqualsIgnoreCase": {
"g:ServiceName": [
"iam"
]
}
},
"Action": [
"*:*:get*",
"*:*:list*",
"*:*:head*"
],
"Effect": "Allow"
}
]
}
