Permissões
Descrição
Se você precisar conceder permissão ao seu pessoal corporativo para acessar seus recursos do LTS, use o Identity and Access Management (IAM). O IAM fornece autenticação de identidade, gerenciamento de permissões refinado e controle de acesso. O IAM ajuda você a proteger o acesso aos seus recursos do LTS.
Com o IAM, você pode criar usuários do IAM e conceder a eles permissão para acessar apenas recursos específicos. Por exemplo, se você quiser que alguns desenvolvedores de software da sua empresa possam usar recursos do LTS, mas não que eles possam excluir recursos ou realizar outras operações de alto risco, você pode criar usuários do IAM e conceder permissão para usar recursos do LTS, mas não permissão para excluí-los.
Se sua conta da Huawei não exigir usuários individuais do IAM para gerenciamento de permissões, você pode ignorar esta seção.
O IAM é um serviço gratuito. Você paga apenas pelos recursos na sua conta. Para obter mais informações sobre o IAM, consulte Visão geral de serviço do IAM.
Por que a "Permissão insuficiente" é exibida após a autorização do projeto corporativo?
Projetos de IAM/projetos empresariais: o escopo de autorização de uma política personalizada. Uma política personalizada pode ser aplicada a projetos do IAM ou projetos empresariais ou a ambos. As políticas que contêm ações para projetos do IAM e empresariais podem ser usadas e entrar em vigor para o IAM e o Enterprise Management. As políticas que contêm ações somente para projetos do IAM podem ser usadas e só entram em vigor para o IAM. Para obter detalhes, consulte Quais são as diferenças entre IAM e Enterprise Management?
No LTS, apenas as APIs de grupo de logs, fluxo de logs e recursos de painel oferecem suporte à autorização de projetos empresariais. Para outras APIs que oferecem suporte apenas à autorização de projeto do IAM:
- Clique em By IAM Project durante a autorização.
Figura 1 Visualização de registros de autorização por projeto do IAM
- Ao selecionar o escopo de autorização, selecione Region-specific projects de acordo com o princípio de autorização mínima.
Permissões do LTS
Novos usuários do IAM não têm permissões atribuídas por padrão. Primeiro, você precisa adicioná-los a um ou mais grupos e, em seguida, anexar políticas ou funções a esses grupos. Os usuários herdam as permissões dos grupos e podem executar operações especificadas no LTS com base nas permissões que lhes foram atribuídas.
O LTS é um serviço de nível de projeto implementado para regiões específicas. Quando você define Scope como Region-specific projects e seleciona os projetos especificados nas regiões especificadas, os usuários só têm permissões para o LTS nos projetos selecionados. Se você selecionar All projects, os usuários terão permissões para o LTS em todos os projetos específicos da região. Ao acessar o LTS, os usuários precisam alternar para a região autorizada.
Você pode conceder permissões usando funções e políticas.
- Funções: uma estratégia de autorização de alta granularidade que define permissões por responsabilidade do trabalho. Apenas um número limitado de funções em nível de serviço está disponível para autorização. Os serviços em nuvem frequentemente dependem uns dos outros. Ao conceder permissões usando funções, você também precisa anexar quaisquer dependências de função existentes. As funções não são ideais para autorização refinada e acesso de privilégio mínimo.
- Políticas: uma estratégia de autorização refinada que define as permissões necessárias para realizar operações em recursos específicos de nuvem sob determinadas condições. Esse tipo de autorização é mais flexível e é ideal para acesso de privilégio mínimo.
As permissões do sistema suportadas pelo LTS estão listadas em Tabela 1.
|
Nome da função/política |
Descrição |
Tipo |
Dependências |
|---|---|---|---|
|
LTS FullAccess |
Permissões completas para o LTS. Os usuários com essas permissões podem executar operações no LTS. |
Política definida pelo sistema |
CCE Administrator, OBS Administrator, FunctionGraph FullAccess e AOM FullAccess |
|
LTS ReadOnlyAccess |
Permissões somente leitura para LTS. Os usuários com essas permissões podem apenas visualizar os dados do LTS. |
Política definida pelo sistema |
CCE Administrator, OBS Administrator e AOM FullAccess |
|
LTS Administrator |
Permissões de administrador para LTS. |
Função definida pelo sistema |
Tenant Guest e Tenant Administrator |
Tabela 2 lista as operações comuns suportadas pelas permissões definidas pelo sistema para o LTS.
|
Operação |
LTS FullAccess |
LTS ReadOnlyAccess |
LTS Administrator |
|---|---|---|---|
|
Consulta de um grupo de logs |
√ |
√ |
√ |
|
Criação de um grupo de logs |
√ |
× |
√ |
|
Modificação de um grupo de logs |
√ |
× |
√ |
|
Exclusão de um grupo de logs |
√ |
× |
√ |
|
Consulta de um fluxo de log |
√ |
√ |
√ |
|
Criação de um fluxo de log |
√ |
× |
√ |
|
Modificação de um fluxo de log |
√ |
× |
√ |
|
Exclusão de um fluxo de log |
√ |
× |
√ |
|
Configuração da coleta de logs de hosts |
√ |
× |
√ |
|
Exibição de um painel |
√ |
√ |
√ |
|
Criação de um painel |
√ |
× |
√ |
|
Modificação de um painel |
√ |
× |
√ |
|
Exclusão de um painel |
√ |
× |
√ |
|
Consulta de configurações de estruturação de logs |
√ |
√ |
√ |
|
Configuração da estruturação de log |
√ |
× |
√ |
|
Ativação da análise rápida |
√ |
× |
√ |
|
Desativação da análise rápida |
√ |
× |
√ |
|
Configuração de delimitadores |
√ |
× |
√ |
|
Consulta de um filtro |
√ |
√ |
√ |
|
Desativação de um filtro |
√ |
× |
√ |
|
Ativação de um filtro |
√ |
× |
√ |
|
Exclusão de um filtro |
√ |
× |
√ |
|
Consulta de uma regra de alarme |
√ |
√ |
√ |
|
Criação de uma regra de alarme |
√ |
× |
√ |
|
Modificação de uma regra de alarme |
√ |
× |
√ |
|
Exclusão de uma regra de alarme |
√ |
× |
√ |
|
Exibição de uma tarefa de transferência de log |
√ |
√ |
√ |
|
Criação de uma tarefa de transferência de log |
√ |
× |
√ |
|
Modificação de uma tarefa de transferência de log |
√ |
× |
√ |
|
Exclusão de uma tarefa de transferência de log |
√ |
× |
√ |
|
Ativação de uma tarefa de transferência de log |
√ |
× |
√ |
|
Desativação de uma tarefa de transferência de log |
√ |
× |
√ |
|
Instalação do ICAgent |
√ |
× |
√ |
|
Atualização do ICAgent |
√ |
× |
√ |
|
Desinstalação do ICAgent |
√ |
× |
√ |
Para usar uma política personalizada de granularidade fina, faça logon no IAM como administrador e selecione as permissões de granularidade fina do LTS conforme necessário.
Tabela 3 descreve as dependências de permissão de granularidade fina do LTS.
|
Permissão |
Descrição |
Dependência |
|---|---|---|
|
lts:agents:list |
Listar agentes |
Nenhuma |
|
lts:buckets:get |
Consultar um bucket especificado |
Nenhuma |
|
lts:groups:put |
Modificar um grupo de logs especificado |
Nenhuma |
|
lts:transfers:create |
Criar uma tarefa de transferência de logs |
obs:bucket:PutBucketAcl obs:bucket:GetBucketAcl obs:bucket:GetEncryptionConfiguration obs:bucket:HeadBucket dis:streams:list dis:streamPolicies:list |
|
lts:groups:get |
Consultar um grupo de logs especificado |
Nenhuma |
|
lts:transfers:put |
Modificar uma tarefa de transferência de logs |
obs:bucket:PutBucketAcl obs:bucket:GetBucketAcl obs:bucket:GetEncryptionConfiguration obs:bucket:HeadBucket dis:streams:list dis:streamPolicies:list |
|
lts:resourceTags:delete |
Excluir tags de recurso |
Nenhuma |
|
lts:ecsOsLogPaths:list |
Listar caminhos de log do SO de uma imagem especificada |
Nenhuma |
|
lts:structConfig:create |
Criar uma configuração de estruturação de LTS |
Nenhuma |
|
lts:agentsConf:get |
Consultar uma configuração de agente especificada |
Nenhuma |
|
lts:logIndex:list |
Listar índices de log |
Nenhuma |
|
lts:transfers:delete |
Excluir uma tarefa de transferência de log |
Nenhuma |
|
lts:regex:create |
Extrair campos estruturados |
Nenhuma |
|
lts:subscriptions:delete |
Excluir uma assinatura especificada |
Nenhuma |
|
lts:overviewLogsLast:list |
Listar os logs mais recentes de um usuário |
Nenhuma |
|
lts:logIndex:get |
Consultar um índice de log especificado |
Nenhuma |
|
lts:sqlalarmrules:create |
Criar uma regra de alarme |
Nenhuma |
|
lts:agentsConf:create |
Criar uma configuração de agente |
Nenhuma |
|
lts:sqlalarmrules:get |
Consultar uma regra de alarme |
Nenhuma |
|
lts:datasources:batchdelete |
Excluir fontes de dados em lote |
Nenhuma |
|
lts:structConfig:put |
Modificar uma configuração de estruturação do LTS |
Nenhuma |
|
lts:groups:list |
Listar grupos de logs |
Nenhuma |
|
lts:sqlalarmrules:delete |
Excluir uma regra de alarme |
Nenhuma |
|
lts:transfers:action |
Ativar ou desativar uma tarefa de transferência de log |
Nenhuma |
|
lts:datasources:post |
Criar uma fonte de dados |
Nenhuma |
|
lts:topics:create |
Criar um tópico de log |
Nenhuma |
|
lts:resourceTags:get |
Consultar tags de recursos |
Nenhuma |
|
lts:filters:put |
Modificar um filtro de log |
Nenhuma |
|
lts:logs:list |
Listar logs |
Nenhuma |
|
lts:subscriptions:create |
Criar uma assinatura |
Nenhuma |
|
lts:filtersAction:put |
Ativar ou desativar um filtro de log |
Nenhuma |
|
lts:overviewLogsTopTopic:get |
Consultar métricas de dados do tópico com o maior volume de logs |
Nenhuma |
|
lts:datasources:put |
Modificar uma fonte de dados |
Nenhuma |
|
lts:structConfig:delete |
Excluir uma configuração de estruturação do LTS |
Nenhuma |
|
lts:logIndex:delete |
Excluir um índice de log especificado |
Nenhuma |
|
lts:filters:get |
Consultar um filtro de log especificado |
Nenhuma |
|
lts:topics:delete |
Excluir tópicos de log |
Nenhuma |
|
lts:agentSupportedOsLogPaths:list |
Listar os caminhos de log do SO suportados pelo agente |
Nenhuma |
|
lts:topics:put |
Modificar um tópico de log |
Nenhuma |
|
lts:agentHeartbeat:post |
Carregar heartbeats do agente |
Nenhuma |
|
lts:logsByName:upload |
Carregar logs por nome de grupo de logs e nome de tópico |
Nenhuma |
|
lts:buckets:list |
Listar buckets |
Nenhuma |
|
lts:logIndex:post |
Criar um índice de log |
Nenhuma |
|
lts:logContext:list |
Listar contextos de log |
Nenhuma |
|
lts:groups:delete |
Excluir um grupo de log especificado |
Nenhuma |
|
lts:filters:delete |
Excluir um filtro de log |
Nenhuma |
|
lts:resourceTags:put |
Atualizar tags de recurso |
Nenhuma |
|
lts:structConfig:get |
Consultar uma configuração de estruturação de LTS |
Nenhuma |
|
lts:overviewLogTotal:get |
Consultar o volume total de logs do usuário atual |
Nenhuma |
|
lts:subscriptions:put |
Modificar uma assinatura especificada |
Nenhuma |
|
lts:subscriptions:list |
Listar assinaturas |
Nenhuma |
|
lts:datasources:delete |
Excluir uma fonte de dados especificada |
Nenhuma |
|
lts:transfersStatus:get |
Consultar o status da transferência de log |
Nenhuma |
|
lts:logIndex:put |
Modificar um índice de log especificado |
Nenhuma |
|
lts:sqlalarmrules:put |
Modificar uma regra de alarme |
Nenhuma |
|
lts:logs:upload |
Carregar logs |
Nenhuma |
|
lts:agentDetails:list |
Listar logs de diagnóstico do agente |
Nenhuma |
|
lts:agentsConf:put |
Modificar uma configuração de agente |
Nenhuma |
|
lts:logstreams:list |
Filtrar recursos de fluxo de log |
Nenhuma |
|
lts:subscriptions:get |
Consultar uma assinatura especificada |
Nenhuma |
|
lts:disStreams:list |
List DIS streams |
Nenhuma |
|
lts:groupTopics:put |
Criar um grupo de logs e um tópico |
Nenhuma |
|
lts:resourceInstance:list |
Listar instâncias de recursos |
Nenhuma |
|
lts:transfers:list |
Listar tarefas de transferência |
Nenhuma |
|
lts:topics:get |
Consultar um tópico de log especificado |
Nenhuma |
|
lts:agentsConf:delete |
Excluir uma configuração de agente especificada |
Nenhuma |
|
lts:agentEcs:list |
Listar ECSs |
Nenhuma |
|
lts:indiceLogs:list |
Pesquisar logs |
Nenhuma |
|
lts:topics:list |
Listar tópicos de log |
Nenhuma |
