Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Atualizado em 2024-08-30 GMT+08:00

Permissões

Se você precisar atribuir permissões diferentes para o IAM aos funcionários em sua organização, o IAM é uma boa opção para o gerenciamento de permissões refinado. O IAM fornece autenticação de identidade, gerenciamento de permissões e controle de acesso, ajudando você a proteger o acesso aos seus recursos da Huawei Cloud.

Com o IAM, você pode criar usuários do IAM em sua conta e atribuir permissões a esses usuários para controlar seu acesso a recursos específicos. Por exemplo, você pode conceder permissões para permitir que determinados planejadores de projetos em sua empresa visualizem dados do IAM, mas não permitir que eles realizem operações de alto risco, por exemplo, excluir usuários e projetos do IAM. Para obter todas as permissões dos serviços suportados pelo IAM, consulte Permissões definidas pelo sistema.

Permissões do IAM

Os novos usuários do IAM não têm nenhuma permissão atribuída por padrão. Primeiro você precisa adicioná-los a um ou mais grupos e anexar políticas ou funções a esses grupos. Em seguida, os usuários herdam permissões dos grupos e podem executar operações especificadas em serviços de nuvem com base nas permissões atribuídas a eles.

O IAM é um serviço global implementado em todas as regiões. Quando você define o escopo de autorização como Global services, os usuários têm permissão para acessar o IAM em todas as regiões.

Você pode conceder permissões usando funções e políticas.

  • Funções: uma estratégia de autorização de alta granularidade fornecida pelo IAM para atribuir permissões com base nas responsabilidades de trabalho dos usuários. Apenas um número limitado de funções em nível de serviço está disponível para autorização. Os serviços de nuvem dependem uns dos outros. Ao conceder permissões usando funções, você também precisa anexar quaisquer dependências de função existentes. As funções não são ideais para autorização refinada e acesso de privilégio mínimo.
  • Políticas: uma estratégia de autorização refinada que define as permissões necessárias para realizar operações em recursos específicos de nuvem sob determinadas condições. Esse tipo de autorização é mais flexível e é ideal para acesso de privilégio mínimo. Por exemplo, você pode conceder permissão somente aos usuários para gerenciar ECSs de um determinado tipo. A maioria das políticas refinadas contém permissões para APIs específicas, e as permissões são definidas usando ações da API. Para as ações de API suportadas pelo IAM, consulte Permissões e ações suportadas.

Tabela 1 lista todas as permissões definidas pelo sistema para o IAM.

Tabela 1 Permissões definidas pelo sistema para o IAM

Nome da função/política

Descrição

Tipo

Conteúdo

FullAccess

Permissões completas para todos os serviços que suportam autorização baseada em política. Os usuários com essas permissões podem executar operações em todos os serviços.

Política definida pelo sistema

Conteúdo da política FullAccess

IAM ReadOnlyAccess

Permissões somente leitura para o IAM. Os usuários com essas permissões só podem visualizar os dados do IAM.

Política definida pelo sistema

Conteúdo da política IAM ReadOnlyAccess

Security Administrator

Administrador do IAM com permissões completas, incluindo permissões para criar e excluir usuários do IAM.

Função definida pelo sistema

Conteúdo da função Security Administrator

Agent Operator

Operador de IAM (parte delegada) com permissões para alternar funções e acessar recursos de uma parte delegante.

Função definida pelo sistema

Conteúdo da função Agent Operator

Tenant Guest

Permissões somente leitura para todos os serviços, exceto o IAM.

Política definida pelo sistema

Conteúdo da função Tenant Guest

Tenant Administrator

Permissões de administrador para todos os serviços, exceto o IAM.

Política definida pelo sistema

Conteúdo da função Tenant Administrator

Tabela 2 lista as operações comuns suportadas por permissões definidas pelo sistema para o IAM.

Tenant Guest e Tenant Administrator são funções básicas fornecidas pelo IAM e não contêm permissões específicas para o IAM. Portanto, as duas funções não estão listadas na tabela a seguir.

Tabela 2 Operações comuns suportadas por permissões definidas pelo sistema

Operação

Security Administrator

Agent Operator

FullAccess

IAM ReadOnlyAccess

Criação de usuários do IAM

Suportada

Não suportada

Suportada

Não suportada

Consulta de detalhes do usuário do IAM

Suportada

Não suportada

Suportada

Suportada

Modificação de informações do usuário do IAM

Suportada

Não suportada

Suportada

Não suportada

Consulta de configurações de segurança de usuários do IAM

Suportada

Não suportada

Suportada

Suportada

Modificação das configurações de segurança de usuários do IAM

Suportada

Não suportada

Suportada

Não suportada

Exclusão de usuários do IAM

Suportada

Não suportada

Suportada

Não suportada

Criação de grupos de usuários

Suportada

Não suportada

Suportada

Não suportada

Consulta de detalhes do grupo de usuários

Suportada

Não suportada

Suportada

Suportada

Modificação de informações do grupo de usuários

Suportada

Não suportada

Suportada

Não suportada

Adição de usuários a grupos de usuários

Suportada

Não suportada

Suportada

Não suportada

Remoção de usuários de grupos de usuários

Suportada

Não suportada

Suportada

Não suportada

Exclusão de grupos de usuários

Suportada

Não suportada

Suportada

Não suportada

Atribuição de permissões a grupos de usuários

Suportada

Não suportada

Suportada

Não suportada

Remoção de permissões de grupos de usuários

Suportada

Não suportada

Suportada

Não suportada

Criação de políticas personalizadas

Suportada

Não suportada

Suportada

Não suportada

Modificação de políticas personalizadas

Suportada

Não suportada

Suportada

Não suportada

Exclusão de políticas personalizadas

Suportada

Não suportada

Suportada

Não suportada

Consulta de detalhes da permissão

Suportada

Não suportada

Suportada

Suportada

Criação de agências

Suportada

Não suportada

Suportada

Não suportada

Consulta de agências

Suportada

Não suportada

Suportada

Suportada

Modificação de agências

Suportada

Não suportada

Suportada

Não suportada

Mudança de funções

Não suportada

Suportada

Suportada

Não suportada

Exclusão de agências

Suportada

Não suportada

Suportada

Não suportada

Concessão de permissões a agências

Suportada

Não suportada

Suportada

Não suportada

Remoção de permissões de agências

Suportada

Não suportada

Suportada

Não suportada

Criação de projetos

Suportada

Não suportada

Suportada

Não suportada

Consulta de projetos

Suportada

Não suportada

Suportada

Suportada

Modificação de projetos

Suportada

Não suportada

Suportada

Não suportada

Exclusão de projetos

Suportada

Não suportada

Suportada

Não suportada

Criação de provedores de identidade

Suportada

Não suportada

Suportada

Não suportada

Importação de arquivos de metadados

Suportada

Não suportada

Suportada

Não suportada

Consulta de arquivos de metadados

Suportada

Não suportada

Suportada

Suportada

Consulta de provedores de identidade

Suportada

Não suportada

Suportada

Suportada

Consulta de protocolos

Suportada

Não suportada

Suportada

Suportada

Consulta de mapeamentos

Suportada

Não suportada

Suportada

Suportada

Atualização de provedores de identidade

Suportada

Não suportada

Suportada

Não suportada

Atualização de protocolos

Suportada

Não suportada

Suportada

Não suportada

Atualização de mapeamentos

Suportada

Não suportada

Suportada

Não suportada

Exclusão de provedores de identidade

Suportada

Não suportada

Suportada

Não suportada

Exclusão de protocolos

Suportada

Não suportada

Suportada

Não suportada

Exclusão de mapeamentos

Suportada

Não suportada

Suportada

Não suportada

Consulta de cotas

Suportada

Não suportada

Suportada

Não suportada

O gerenciamento de chaves de acesso está desativado por padrão.Quando o gerenciamento de chaves de acesso está ativado, somente os administradores podem gerenciar as chaves de acesso. Se os usuários do IAM precisarem criar, ativar, desativar ou excluir suas próprias chaves de acesso, eles deverão pedir ao administrador para desativar o gerenciamento de chaves de acesso.

Se um usuário do IAM quiser gerenciar as chaves de acesso de outros usuários do IAM, consulte Tabela 3. Por exemplo, se o usuário A do IAM quiser criar uma chave de acesso para o usuário B do IAM, o usuário A do IAM deve ter a permissão Security Administrator ou FullAccess.

Tabela 3 Operações da chave de acesso suportadas por políticas ou funções definidas pelo sistema

Operação

Security Administrator

Agent Operator

FullAccess

IAM ReadOnlyAccess

Criação de chaves de acesso (para outros usuários do IAM)

Suportada

Não suportada

Suportada

Não suportada

Consulta de chaves de acesso (de outros usuários do IAM)

Suportada

Não suportada

Suportada

Suportada

Modificação de chaves de acesso (para outros usuários do IAM)

Suportada

Não suportada

Suportada

Não suportada

Exclusão de chaves de acesso (para outros usuários do IAM)

Suportada

Não suportada

Suportada

Não suportada

Conteúdo da política FullAccess

{
    "Version": "1.1",
    "Statement": [
        {
            "Action": [
                "*:*:*"
            ],
            "Effect": "Allow"
        }
    ]
}

Conteúdo da política IAM ReadOnlyAccess

{
    "Version": "1.1",
    "Statement": [
        {
            "Action": [
                "iam:*:get*",
                "iam:*:list*",
                "iam:*:check*"
            ],
            "Effect": "Allow"
        }
    ]
}

Conteúdo da função Security Administrator

{
    "Version": "1.0",
    "Statement": [
        {
            "Action": [
                "iam:agencies:*",
                "iam:credentials:*",
                "iam:groups:*",
                "iam:identityProviders:*",
                "iam:mfa:*",
                "iam:permissions:*",
                "iam:projects:*",
                "iam:quotas:*",
                "iam:roles:*",
                "iam:users:*",
                "iam:securitypolicies:*"
            ],
            "Effect": "Allow"
        }
    ]
}

Conteúdo da função Agent Operator

{
    "Version": "1.0",
    "Statement": [
        {
            "Action": [
                "iam:tokens:assume"
            ],
            "Effect": "Allow"
        }
    ]
}

Conteúdo da função Tenant Guest

{
    "Version": "1.1",
    "Statement": [
        {
            "Action": [
                "obs:*:get*",
                "obs:*:list*",
                "obs:*:head*"
            ],
            "Effect": "Allow"
        },
        {
            "Condition": {
                "StringNotEqualsIgnoreCase": {
                    "g:ServiceName": [
                        "iam"
                    ]
                }
            },
            "Action": [
                "*:*:get*",
                "*:*:list*",
                "*:*:head*"
            ],
            "Effect": "Allow"
        }
    ]
}

Conteúdo da função Tenant Administrator

{
    "Version": "1.1",
    "Statement": [
        {
            "Action": [
                "obs:*:*"
            ],
            "Effect": "Allow"
        },
        {
            "Condition": {
                "StringNotEqualsIgnoreCase": {
                    "g:ServiceName": [
                        "iam"
                    ]
                }
            },
            "Action": [
                "*:*:*"
            ],
            "Effect": "Allow"
        }
    ]
}