Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.

Central de ajuda/ Identity and Access Management/ Visão geral de serviço/ Permissões

Atualizado em 2024-08-30 GMT+08:00

Ver PDF

Permissões

Se você precisar atribuir permissões diferentes para o IAM aos funcionários em sua organização, o IAM é uma boa opção para o gerenciamento de permissões refinado. O IAM fornece autenticação de identidade, gerenciamento de permissões e controle de acesso, ajudando você a proteger o acesso aos seus recursos da Huawei Cloud.

Com o IAM, você pode criar usuários do IAM em sua conta e atribuir permissões a esses usuários para controlar seu acesso a recursos específicos. Por exemplo, você pode conceder permissões para permitir que determinados planejadores de projetos em sua empresa visualizem dados do IAM, mas não permitir que eles realizem operações de alto risco, por exemplo, excluir usuários e projetos do IAM. Para obter todas as permissões dos serviços suportados pelo IAM, consulte Permissões definidas pelo sistema.

Permissões do IAM

Os novos usuários do IAM não têm nenhuma permissão atribuída por padrão. Primeiro você precisa adicioná-los a um ou mais grupos e anexar políticas ou funções a esses grupos. Em seguida, os usuários herdam permissões dos grupos e podem executar operações especificadas em serviços de nuvem com base nas permissões atribuídas a eles.

O IAM é um serviço global implementado em todas as regiões. Quando você define o escopo de autorização como Global services, os usuários têm permissão para acessar o IAM em todas as regiões.

Você pode conceder permissões usando funções e políticas.

Funções: uma estratégia de autorização de alta granularidade fornecida pelo IAM para atribuir permissões com base nas responsabilidades de trabalho dos usuários. Apenas um número limitado de funções em nível de serviço está disponível para autorização. Os serviços de nuvem dependem uns dos outros. Ao conceder permissões usando funções, você também precisa anexar quaisquer dependências de função existentes. As funções não são ideais para autorização refinada e acesso de privilégio mínimo.
Políticas: uma estratégia de autorização refinada que define as permissões necessárias para realizar operações em recursos específicos de nuvem sob determinadas condições. Esse tipo de autorização é mais flexível e é ideal para acesso de privilégio mínimo. Por exemplo, você pode conceder permissão somente aos usuários para gerenciar ECSs de um determinado tipo. A maioria das políticas refinadas contém permissões para APIs específicas, e as permissões são definidas usando ações da API. Para as ações de API suportadas pelo IAM, consulte Permissões e ações suportadas.

Tabela 1 lista todas as permissões definidas pelo sistema para o IAM.

**Tabela 1** Permissões definidas pelo sistema para o IAM
Nome da função/política	Descrição	Tipo	Conteúdo
FullAccess	Permissões completas para todos os serviços que suportam autorização baseada em política. Os usuários com essas permissões podem executar operações em todos os serviços.	Política definida pelo sistema	Conteúdo da política FullAccess
IAM ReadOnlyAccess	Permissões somente leitura para o IAM. Os usuários com essas permissões só podem visualizar os dados do IAM.	Política definida pelo sistema	Conteúdo da política IAM ReadOnlyAccess
Security Administrator	Administrador do IAM com permissões completas, incluindo permissões para criar e excluir usuários do IAM.	Função definida pelo sistema	Conteúdo da função Security Administrator
Agent Operator	Operador de IAM (parte delegada) com permissões para alternar funções e acessar recursos de uma parte delegante.	Função definida pelo sistema	Conteúdo da função Agent Operator
Tenant Guest	Permissões somente leitura para todos os serviços, exceto o IAM.	Política definida pelo sistema	Conteúdo da função Tenant Guest
Tenant Administrator	Permissões de administrador para todos os serviços, exceto o IAM.	Política definida pelo sistema	Conteúdo da função Tenant Administrator

Tabela 2 lista as operações comuns suportadas por permissões definidas pelo sistema para o IAM.

Tenant Guest e Tenant Administrator são funções básicas fornecidas pelo IAM e não contêm permissões específicas para o IAM. Portanto, as duas funções não estão listadas na tabela a seguir.

**Tabela 2** Operações comuns suportadas por permissões definidas pelo sistema
Operação	Security Administrator	Agent Operator	FullAccess	IAM ReadOnlyAccess
Criação de usuários do IAM	Suportada	Não suportada	Suportada	Não suportada
Consulta de detalhes do usuário do IAM	Suportada	Não suportada	Suportada	Suportada
Modificação de informações do usuário do IAM	Suportada	Não suportada	Suportada	Não suportada
Consulta de configurações de segurança de usuários do IAM	Suportada	Não suportada	Suportada	Suportada
Modificação das configurações de segurança de usuários do IAM	Suportada	Não suportada	Suportada	Não suportada
Exclusão de usuários do IAM	Suportada	Não suportada	Suportada	Não suportada
Criação de grupos de usuários	Suportada	Não suportada	Suportada	Não suportada
Consulta de detalhes do grupo de usuários	Suportada	Não suportada	Suportada	Suportada
Modificação de informações do grupo de usuários	Suportada	Não suportada	Suportada	Não suportada
Adição de usuários a grupos de usuários	Suportada	Não suportada	Suportada	Não suportada
Remoção de usuários de grupos de usuários	Suportada	Não suportada	Suportada	Não suportada
Exclusão de grupos de usuários	Suportada	Não suportada	Suportada	Não suportada
Atribuição de permissões a grupos de usuários	Suportada	Não suportada	Suportada	Não suportada
Remoção de permissões de grupos de usuários	Suportada	Não suportada	Suportada	Não suportada
Criação de políticas personalizadas	Suportada	Não suportada	Suportada	Não suportada
Modificação de políticas personalizadas	Suportada	Não suportada	Suportada	Não suportada
Exclusão de políticas personalizadas	Suportada	Não suportada	Suportada	Não suportada
Consulta de detalhes da permissão	Suportada	Não suportada	Suportada	Suportada
Criação de agências	Suportada	Não suportada	Suportada	Não suportada
Consulta de agências	Suportada	Não suportada	Suportada	Suportada
Modificação de agências	Suportada	Não suportada	Suportada	Não suportada
Mudança de funções	Não suportada	Suportada	Suportada	Não suportada
Exclusão de agências	Suportada	Não suportada	Suportada	Não suportada
Concessão de permissões a agências	Suportada	Não suportada	Suportada	Não suportada
Remoção de permissões de agências	Suportada	Não suportada	Suportada	Não suportada
Criação de projetos	Suportada	Não suportada	Suportada	Não suportada
Consulta de projetos	Suportada	Não suportada	Suportada	Suportada
Modificação de projetos	Suportada	Não suportada	Suportada	Não suportada
Exclusão de projetos	Suportada	Não suportada	Suportada	Não suportada
Criação de provedores de identidade	Suportada	Não suportada	Suportada	Não suportada
Importação de arquivos de metadados	Suportada	Não suportada	Suportada	Não suportada
Consulta de arquivos de metadados	Suportada	Não suportada	Suportada	Suportada
Consulta de provedores de identidade	Suportada	Não suportada	Suportada	Suportada
Consulta de protocolos	Suportada	Não suportada	Suportada	Suportada
Consulta de mapeamentos	Suportada	Não suportada	Suportada	Suportada
Atualização de provedores de identidade	Suportada	Não suportada	Suportada	Não suportada
Atualização de protocolos	Suportada	Não suportada	Suportada	Não suportada
Atualização de mapeamentos	Suportada	Não suportada	Suportada	Não suportada
Exclusão de provedores de identidade	Suportada	Não suportada	Suportada	Não suportada
Exclusão de protocolos	Suportada	Não suportada	Suportada	Não suportada
Exclusão de mapeamentos	Suportada	Não suportada	Suportada	Não suportada
Consulta de cotas	Suportada	Não suportada	Suportada	Não suportada

O gerenciamento de chaves de acesso está desativado por padrão.Quando o gerenciamento de chaves de acesso está ativado, somente os administradores podem gerenciar as chaves de acesso. Se os usuários do IAM precisarem criar, ativar, desativar ou excluir suas próprias chaves de acesso, eles deverão pedir ao administrador para desativar o gerenciamento de chaves de acesso.

Se um usuário do IAM quiser gerenciar as chaves de acesso de outros usuários do IAM, consulte Tabela 3. Por exemplo, se o usuário A do IAM quiser criar uma chave de acesso para o usuário B do IAM, o usuário A do IAM deve ter a permissão Security Administrator ou FullAccess.

**Tabela 3** Operações da chave de acesso suportadas por políticas ou funções definidas pelo sistema
Operação	Security Administrator	Agent Operator	FullAccess	IAM ReadOnlyAccess
Criação de chaves de acesso (para outros usuários do IAM)	Suportada	Não suportada	Suportada	Não suportada
Consulta de chaves de acesso (de outros usuários do IAM)	Suportada	Não suportada	Suportada	Suportada
Modificação de chaves de acesso (para outros usuários do IAM)	Suportada	Não suportada	Suportada	Não suportada
Exclusão de chaves de acesso (para outros usuários do IAM)	Suportada	Não suportada	Suportada	Não suportada

Conteúdo da política FullAccess

{
    "Version": "1.1",
    "Statement": [
        {
            "Action": [
                "*:*:*"
            ],
            "Effect": "Allow"
        }
    ]
}

Conteúdo da política IAM ReadOnlyAccess

{
    "Version": "1.1",
    "Statement": [
        {
            "Action": [
                "iam:*:get*",
                "iam:*:list*",
                "iam:*:check*"
            ],
            "Effect": "Allow"
        }
    ]
}

Conteúdo da função Security Administrator

{
    "Version": "1.0",
    "Statement": [
        {
            "Action": [
                "iam:agencies:*",
                "iam:credentials:*",
                "iam:groups:*",
                "iam:identityProviders:*",
                "iam:mfa:*",
                "iam:permissions:*",
                "iam:projects:*",
                "iam:quotas:*",
                "iam:roles:*",
                "iam:users:*",
                "iam:securitypolicies:*"
            ],
            "Effect": "Allow"
        }
    ]
}

Conteúdo da função Agent Operator

{
    "Version": "1.0",
    "Statement": [
        {
            "Action": [
                "iam:tokens:assume"
            ],
            "Effect": "Allow"
        }
    ]
}

Conteúdo da função Tenant Guest

{
    "Version": "1.1",
    "Statement": [
        {
            "Action": [
                "obs:*:get*",
                "obs:*:list*",
                "obs:*:head*"
            ],
            "Effect": "Allow"
        },
        {
            "Condition": {
                "StringNotEqualsIgnoreCase": {
                    "g:ServiceName": [
                        "iam"
                    ]
                }
            },
            "Action": [
                "*:*:get*",
                "*:*:list*",
                "*:*:head*"
            ],
            "Effect": "Allow"
        }
    ]
}

Conteúdo da função Tenant Administrator

{
    "Version": "1.1",
    "Statement": [
        {
            "Action": [
                "obs:*:*"
            ],
            "Effect": "Allow"
        },
        {
            "Condition": {
                "StringNotEqualsIgnoreCase": {
                    "g:ServiceName": [
                        "iam"
                    ]
                }
            },
            "Action": [
                "*:*:*"
            ],
            "Effect": "Allow"
        }
    ]
}

Tópico anterior: Serviços de nuvem com suporte

Próximo tópico: Segurança