Gerenciamento de permissões
Você pode usar o Identity and Access Management (IAM) para gerenciar as permissões do NAT Gateway e controlar o acesso aos seus recursos. IAM fornece autenticação de identidade, gerenciamento de permissões e controle de acesso.
Você pode criar usuários de IAM para seus funcionários e atribuir permissões a esses usuários com base em princípio de privilégio mínimo (PoLP) para controlar o acesso a tipos de recursos específicos. Por exemplo, você pode criar usuários do IAM para desenvolvedores de software e atribuir permissões específicas para permitir que eles usem recursos do NAT Gateway, mas impedi-los de excluir recursos ou executar operações de alto risco.
Se sua conta da Huawei Cloudconta não exigir usuários individuais do IAM para gerenciamento de permissões, pule esta seção.
O IAM pode ser usado gratuitamente. Você paga apenas pelos recursos em sua conta. Para obter mais informações sobre o IAM, consulte O que é o IAM?
Permissões do NAT Gateway
Por padrão, os novos usuários do IAM não têm nenhuma permissão atribuída. Para atribuir permissões a esses novos usuários, o administrador da conta precisa adicioná-los a um ou mais grupos e anexar políticas de permissões ou funções a esses grupos.
O NAT Gateway é um serviço de nível de projeto implantado e acessado em regiões físicas específicas. Ao atribuir permissões de NAT Gateway a um grupo de usuários, especifique os projetos específicos da região em que as permissões entrarão em vigor. Se você selecionar All projects, as permissões serão concedidas para todos os projetos específicos da região. Ao acessar o NAT Gateway, os usuários precisam mudar para uma região onde foram autorizados a usar esse serviço.
Você pode conceder permissões aos usuários usando funções e políticas.
- Funções: um tipo de mecanismo de autorização grosseira que fornece apenas um número limitado de funções de nível de serviço. Ao usar funções para conceder permissões, você também precisa atribuir funções de dependência. No entanto, as funções não são uma escolha adequada para autorização refinada e controle de acesso seguro.
- Políticas: um tipo de mecanismo de autorização refinado que define as permissões necessárias para realizar operações em recursos de nuvem específicos sob determinadas condições. Esse mecanismo permite uma autorização baseada em políticas mais flexível para um controle de acesso mais seguro. Por exemplo, o administrador da conta pode conceder aos usuários do NAT Gateway apenas as permissões para gerenciar um determinado tipo de gateways NAT e regras de SNAT. A maioria das políticas define permissões com base em APIs. Para as ações de API suportadas pelo NAT Gateway, consulte Políticas de permissões e ações suportadas.
Nome da política |
Descrição |
Tipo |
Dependência |
|---|---|---|---|
NATFullAccess |
Todas as operações em recursos do NAT Gateway. |
Política definida pelo sistema |
N/A |
NATReadOnlyAccess |
Permissões somente leitura para todos os recursos do NAT Gateway. |
Política definida pelo sistema |
N/A |
NAT Administrator |
Todas as operações em recursos do NAT Gateway. |
Função definida pelo sistema |
Para receber essa permissão, os usuários também devem ter a permissão Tenant Guest. |
Tabela 2 lista as operações comuns suportadas por cada política ou função do sistema NAT Gateway. Selecione as políticas ou funções conforme necessário.
Operação |
NATFullAccess |
NAT ReadOnlyAccess |
NAT Gateway Administrator |
|---|---|---|---|
Criar um gateway NAT |
√ |
x |
√ |
Consultar gateways NAT |
√ |
√ |
√ |
Consultar detalhes do gateway NAT |
√ |
√ |
√ |
Atualizar um gateway NAT |
√ |
x |
√ |
Excluir um gateway NAT |
√ |
x |
√ |
Adicionar uma regra de SNAT |
√ |
x |
√ |
Exibir uma regra de SNAT |
√ |
√ |
√ |
Modificar uma regra de SNAT |
√ |
x |
√ |
Deletar uma regra de SNAT |
√ |
x |
√ |
Adicionar uma regra de DNAT |
√ |
x |
√ |
Visualizar uma regra de DNAT |
√ |
√ |
√ |
Modificar uma regra de DNAT |
√ |
x |
√ |
Excluir uma regra de DNAT |
√ |
x |
√ |
Excluir regras do DNAT em um lote |
√ |
x |
√ |
Importar regras do DNAT usando modelos |
√ |
x |
√ |
Exportar regras do DNAT usando modelos |
√ |
√ |
√ |
Criar uma sub-rede de trânsito |
√ |
x |
√ |
Consultar sub-redes de trânsito |
√ |
√ |
√ |
Consultar detalhes sobre uma sub-rede de trânsito |
√ |
√ |
√ |
Modificar uma sub-rede de trânsito |
√ |
x |
√ |
Excluir uma sub-rede de trânsito |
√ |
x |
√ |
Atribuir um endereço IP de trânsito |
√ |
x |
√ |
Consultar um endereço IP de trânsito |
√ |
√ |
√ |
Liberar um endereço IP de trânsito |
√ |
x |
√ |
Para adicionar ou modificar uma regra do DNAT, sua conta deve ter a permissão NAT FullAccess ou a permissão refinada nat:dnatRules:create/nat:dnatRules:update. Após a configuração de uma regra DNAT, adicione uma regra de grupo de segurança para permitir que a Internet acesse os servidores para os quais a regra DNAT está configurada. Caso contrário, a regra de DNAT não pode entrar em vigor. Portanto, a permissão VPC FullAccess ou a permissão refinada vpc:securityGroups:create é necessária.
