Gerenciamento de permissões
Se você precisar atribuir permissões diferentes para o IAM aos funcionários da sua organização, o IAM é uma boa opção para o gerenciamento de permissões refinado. O IAM fornece autenticação de identidade, gerenciamento de permissões e controle de acesso, ajudando você a proteger o acesso aos seus recursos da HUAWEI CLOUD.
Com o IAM, você pode criar usuários do IAM em sua conta e atribuir permissões a esses usuários para controlar seu acesso a recursos específicos. Por exemplo, você pode conceder permissões para permitir que determinados planejadores de projeto em sua empresa visualizem dados do IAM, mas não permitir que eles executem operações de alto risco, por exemplo, excluir usuários e projetos do IAM. Para obter todas as permissões dos serviços suportados pelo IAM, consulte Permissões do sistema.
Permissões IAM
Por padrão, os novos usuários do IAM não têm permissões. Para atribuir permissões a novos usuários, adicione-os a um ou mais grupos e conceda permissões a esses grupos. Em seguida, os usuários herdam permissões dos grupos aos quais pertencem e podem executar operações específicas em serviços de nuvem.
O IAM é um serviço global que você pode acessar de todas as regiões. Você pode atribuir permissões do IAM a usuários no projeto de serviço global. Dessa forma, os usuários não precisam mudar de região quando acessam o IAM.
Você pode conceder permissões usando funções e políticas.
- Funções: Um tipo de mecanismo de autorização de granulação grosseira que define permissões em nível de serviço com base nas responsabilidades do usuário. Há apenas um número limitado de funções para conceder permissões aos usuários. Quando você concede permissões usando funções, também precisa atribuir funções de dependência.
- Políticas: um tipo de mecanismo de autorização refinado que define as permissões necessárias para realizar operações em recursos de nuvem específicos sob determinadas condições. Esse mecanismo permite uma autorização baseada em política mais flexível e o controle de acesso seguro. Por exemplo, você pode conceder aos usuários ECS somente as permissões necessárias para gerenciar um determinado tipo de recursos ECS. A maioria das políticas contém permissões para APIs específicas, e as permissões são definidas usando ações da API. Para as ações API suportadas pelo IAM, consulte Permissões e ações suportadas.
Tabela 1 lista todas as funções e políticas definidas pelo sistema suportadas pelo IAM.
Nome da função/política |
Descrição |
Tipo |
Conteúdo |
|---|---|---|---|
FullAccess |
Permissões completas para todos os serviços que suportam autorização baseada em política. Os usuários com essas permissões podem executar operações em todos os serviços. |
Política definida pelo sistema |
|
IAM ReadOnlyAccess |
Permissões somente leitura para o IAM. Os usuários com essas permissões só podem ver dados do IAM. |
Política definida pelo sistema |
|
Security Administrator |
Administrador do IAM com permissões completas, incluindo permissões para criar e excluir usuários do IAM. |
Função definida pelo sistema |
|
Agent Operator |
Operador do IAM (parte delegada) com permissões para alternar funções e acessar recursos de uma parte delegante. |
Função definida pelo sistema |
|
Tenant Guest |
Permissões somente leitura para todos os serviços, exceto o IAM. |
Política definida pelo sistema |
|
Tenant Administrator |
Permissões de administrador para todos os serviços, exceto o IAM. |
Política definida pelo sistema |
Tabela 2 lista as operações comuns suportadas por cada política definida pelo sistema ou função do IAM. Escolha políticas ou funções apropriadas, conforme necessário.
Tenant Guest e Tenant Administrator são funções básicas fornecidas pelo IAM e não contêm permissões específicas do IAM. Portanto, as duas funções não estão listadas na seguinte tabela.
Operação |
Security Administrator |
Agent Operator |
FullAccess |
IAM ReadOnlyAccess |
|---|---|---|---|---|
Criação de usuários do IAM |
Sim |
Não |
Sim |
Não |
Consulta dos detalhes do usuário do IAM |
Sim |
Não |
Sim |
Sim |
Modificação das informações do usuário do IAM |
Sim |
Não |
Sim |
Não |
Consulta das configurações de segurança dos usuários do IAM |
Sim |
Não |
Sim |
Sim |
Modificação das configurações de segurança de usuários do IAM |
Sim |
Não |
Sim |
Não |
Exclusão de usuários do IAM |
Sim |
Não |
Sim |
Não |
Criação dos grupos de usuários |
Sim |
Não |
Sim |
Não |
Consulta dos detalhes do grupo de usuários |
Sim |
Não |
Sim |
Sim |
Modificação das informações do grupo de usuários |
Sim |
Não |
Sim |
Não |
Adição dos usuários a grupos de usuários |
Sim |
Não |
Sim |
Não |
Remoção dos usuários de grupos de usuários |
Sim |
Não |
Sim |
Não |
Eliminação dos grupos de usuários |
Sim |
Não |
Sim |
Não |
Atribuição de permissões a grupos de usuários |
Sim |
Não |
Sim |
Não |
Remoção de permissões de grupos de usuários |
Sim |
Não |
Sim |
Não |
Criação de políticas personalizadas |
Sim |
Não |
Sim |
Não |
Modificação de políticas personalizadas |
Sim |
Não |
Sim |
Não |
Exclusão de políticas personalizadas |
Sim |
Não |
Sim |
Não |
Consulta de detalhes da permissão |
Sim |
Não |
Sim |
Sim |
Criação de agências |
Sim |
Não |
Sim |
Não |
Consulta de agências |
Sim |
Não |
Sim |
Sim |
Modificação de agências |
Sim |
Não |
Sim |
Não |
Alternação de funções |
Não |
Sim |
Sim |
Não |
Exclusão de agências |
Sim |
Não |
Sim |
Não |
Concessão de permissões a agências |
Sim |
Não |
Sim |
Não |
Remoção de permissões de agências |
Sim |
Não |
Sim |
Não |
Criação dos projetos |
Sim |
Não |
Sim |
Não |
Consulta dos projetos |
Sim |
Não |
Sim |
Sim |
Modificação dos projetos |
Sim |
Não |
Sim |
Não |
Exclusão dos projetos |
Sim |
Não |
Sim |
Não |
Criação dos provedores de identidade |
Sim |
Não |
Sim |
Não |
Importação dos arquivos de metadados |
Sim |
Não |
Sim |
Não |
Consulta dos arquivos de metadados |
Sim |
Não |
Sim |
Sim |
Consulta dos provedores de identidade |
Sim |
Não |
Sim |
Sim |
Consulta dos protocolos |
Sim |
Não |
Sim |
Sim |
Consulta dos mapeamentos |
Sim |
Não |
Sim |
Sim |
Atualização dos provedores de identidade |
Sim |
Não |
Sim |
Não |
Atualização dos protocolos |
Sim |
Não |
Sim |
Não |
Atualização dos mapeamentos |
Sim |
Não |
Sim |
Não |
Exclusão dos provedores de identidade |
Sim |
Não |
Sim |
Não |
Exclusão dos protocolos |
Sim |
Não |
Sim |
Não |
Exclusão dos mapeamentos |
Sim |
Não |
Sim |
Não |
Consulta de cotas |
Sim |
Não |
Sim |
Não |
Somente administradores podem gerenciar chaves de acesso quando chaves de acesso de gerenciamento está habilitado. Se os usuários do IAM precisarem criar, habilitar, desabilitar ou excluir suas próprias chaves de acesso, eles precisarão pedir o administrador para desabilitar o gerenciamento de chaves de acesso O gerenciamento de chaves de acesso é desabilitado por padrão.
Se um usuário do IAM quiser gerenciar as chaves de acesso de outros usuários do IAM, consulte a Tabela 3. Por exemplo, se o usuário do IAM A quiser criar uma chave de acesso para o usuário do IAM B, o usuário do IAM A deve ter a permissão Security Administrator ou FullAccess.
Operação |
Security Administrator |
Agent Operator |
FullAccess |
IAM ReadOnlyAccess |
|---|---|---|---|---|
Criação das chaves de acesso (para outros usuários do IAM) |
Sim |
Não |
Sim |
Não |
Consulta das chaves de acesso (para outros usuários do IAM) |
Sim |
Não |
Sim |
Sim |
Modificação das chaves de acesso (para outros usuários do IAM) |
Sim |
Não |
Sim |
Não |
Exclusão das chaves de acesso (para outros usuários do IAM) |
Sim |
Não |
Sim |
Não |
Conteúdo da Política de FullAccess
{
"Version": "1.1",
"Statement": [
{
"Action": [
"*:*:*"
],
"Effect": "Allow"
}
]
}
Conteúdo da Política de IAM ReadOnlyAccess
{
"Version": "1.1",
"Statement": [
{
"Action": [
"iam:*:get*",
"iam:*:list*",
"iam:*:check*"
],
"Effect": "Allow"
}
]
}
Conteúdo da Função de Security Administrator
{
"Version": "1.0",
"Statement": [
{
"Action": [
"iam:agencies:*",
"iam:credentials:*",
"iam:groups:*",
"iam:identityProviders:*",
"iam:mfa:*",
"iam:permissions:*",
"iam:projects:*",
"iam:quotas:*",
"iam:roles:*",
"iam:users:*",
"iam:securitypolicies:*"
],
"Effect": "Allow"
}
]
}
Conteúdo da Função de Agent Operator
{
"Version": "1.0",
"Statement": [
{
"Action": [
"iam:tokens:assume"
],
"Effect": "Allow"
}
]
}
Conteúdo da Função de Tenant Guest
{
"Version": "1.1",
"Statement": [
{
"Action": [
"obs:*:get*",
"obs:*:list*",
"obs:*:head*"
],
"Effect": "Allow"
},
{
"Condition": {
"StringNotEqualsIgnoreCase": {
"g:ServiceName": [
"iam"
]
}
},
"Action": [
"*:*:get*",
"*:*:list*",
"*:*:head*"
],
"Effect": "Allow"
}
]
}
