Gerenciamento de permissões
Você pode usar o Identity and Access Management (IAM) para gerenciar as permissões do DMS for Kafka e controlar o acesso aos seus recursos. IAM fornece autenticação de identidade, gerenciamento de permissões e controle de acesso.
Você pode criar usuários de IAM para seus funcionários e atribuir permissões a esses usuários com base em princípio de privilégio mínimo (PoLP) para controlar o seu acesso a tipos de recursos específicos. Por exemplo, você pode criar usuários do IAM para desenvolvedores de software e atribuir permissões específicas para permitir que eles usem os recursos da instância do Kafka, mas impedir que eles possam excluir recursos ou realizar operações de alto risco.
Se sua HUAWEI ID não exigir usuários individuais de IAM para gerenciamento de permissões, pule esta seção.
O IAM pode ser usado gratuitamente. Você paga apenas pelos recursos na sua conta.
Para obter mais informações, consulte Visão geral do serviço IAM.
As políticas de permissões do DMS for Kafka são baseadas no DMS. Portanto, ao atribuir permissões, selecione as políticas de permissões do DMS.
Permissões do DMS for Kafka
Por padrão, os novos usuários do IAM não têm nenhuma permissão atribuída. Para atribuir permissões a esses novos usuários, adicione-os a um ou mais grupos e anexe políticas de permissões ou funções a esses grupos.
DMS for Kafka é um serviço em nível de projeto implantado e acessado em regiões físicas específicas. Ao atribuir permissões do DMS for Kafka a um grupo de usuários, especifique os projetos específicos da região onde as permissões entrarão em vigor. Se você selecionar All projects, as permissões serão concedidas para todos os projetos específicos da região. Ao acessar o DMS for Kafka, os usuários precisam mudar para uma região onde foram autorizados a usar esse serviço.
- Funções: um tipo de mecanismo de autorização de alta granularidade que fornece apenas um número limitado de funções de nível de serviço. Ao usar funções para conceder permissões, você também precisa atribuir funções de dependência. No entanto, as funções não são uma escolha adequada para autorização refinada e controle de acesso seguro.
- Políticas: um tipo de mecanismo de autorização refinado que define as permissões necessárias para realizar operações em recursos em nuvem específicos sob determinadas condições. Esse mecanismo permite uma autorização baseada em políticas mais flexível para um controle de acesso mais seguro. Por exemplo, você pode conceder aos usuários de DMS for Kafka somente as permissões para gerenciar instâncias. A maioria das políticas define permissões com base em APIs. Para as ações de API suportadas por DMS for Kafka, consulte Políticas de permissões e ações suportadas.
Tabela 1 lista todas as funções e políticas definidas pelo sistema suportadas pelo DMS for Kafka.
Nome da função/política |
Descrição |
Tipo |
Dependência |
|---|---|---|---|
DMS FullAccess |
Permissões de administrador para DMS. Os usuários com essas permissões podem executar todas as operações no DMS. |
Política definida pelo sistema |
Nenhuma |
DMS UserAccess |
Permissões comuns de usuário para o DMS, excluindo permissões para criar, modificar, excluir, despejar, e escalar instâncias. |
Política definida pelo sistema |
Nenhuma |
DMS ReadOnlyAccess |
Permissões somente leitura para DMS. Os usuários com essas permissões só podem exibir dados do DMS. |
Política definida pelo sistema |
Nenhuma |
DMS VPCAccess |
Permissões de operação de VPC para atribuir a agências do DMS. |
Política definida pelo sistema |
Nenhuma |
DMS KMSAccess |
Permissões de operação de KMS para atribuir a agências do DMS. |
Política definida pelo sistema |
Nenhuma |
DMS Administrator |
Permissões de administrador para DMS. |
Função definida pelo sistema |
Essa função depende das funções Tenant Guest e VPC Administrator. |
As políticas definidas pelo sistema contêm ações do OBS. Devido ao armazenamento em cache de dados, as políticas entram em vigor cinco minutos depois de serem anexadas a um usuário, grupo de usuários ou projeto corporativo.
Tabela 2 lista as operações comuns suportadas por cada política do sistema do DMS for Kafka. Selecione as políticas conforme necessário.
Operação |
DMS FullAccess |
DMS UserAccess |
DMS ReadOnlyAccess |
DMS VPCAccess |
DMS KMSAccess |
|---|---|---|---|---|---|
Criar instâncias |
√ |
× |
× |
× |
× |
Modificar instâncias |
√ |
× |
× |
× |
× |
Deletar instâncias |
√ |
× |
× |
× |
× |
Modificar especificações de instância |
√ |
× |
× |
× |
× |
Ativar o despejo |
√ |
× |
× |
× |
× |
Criar tarefas de despejo |
√ |
√ |
× |
× |
× |
Reiniciar instâncias |
√ |
√ |
× |
× |
× |
Consultar informações da instância |
√ |
√ |
√ |
× |
× |
Autorização refinada
Para usar uma política refinada personalizada, faça logon no console do IAM como administrador e selecione as permissões refinadas desejadas para o DMS. Tabela 3 descreve dependências de permissão refinadas do DMS for Kafka.
Permissão |
Descrição |
Dependência |
|---|---|---|
dms:instance:get |
Exibir detalhes da instância |
Nenhuma |
dms:instance:getConnectorSinkTask |
Exibir detalhes da tarefa de despejo |
Nenhuma |
dms:instance:getBackgroundTask |
Exibir detalhes da tarefa em segundo plano |
Nenhuma |
dms:instance:modifyAuthInfo |
Alterar senha de uma instância |
Nenhuma |
dms:instance:resetAuthInfo |
Redefinir senha de uma instância |
Nenhuma |
dms:instance:scale |
Expandir uma instância |
|
dms:instance:connector |
Ativar o despejo |
|
dms:instance:deleteConnectorSinkTask |
Excluir uma tarefa de despejo |
Nenhuma |
dms:instance:modify |
Modificar uma instância |
|
dms:instance:deleteBackgroundTask |
Excluir uma tarefa em segundo plano |
Nenhuma |
dms:instance:modifyStatus |
Reinicializar uma instância |
Nenhuma |
dms:instance:createConnectorSinkTask |
Criar tarefas de despejo |
Nenhuma |
dms:instance:delete |
Excluir uma instância |
Nenhuma |
dms:instance:create |
Criar uma instância |
|
dms:instance:listConnectorSinkTask |
Exibir a lista de tarefas de despejo |
Nenhuma |
dms:instance:list |
Exibir a lista de instâncias |
Nenhuma |
