Gerenciamento de permissões
Se você precisar atribuir permissões diferentes a funcionários em sua empresa para acessar seus recursos do SFS na Huawei Cloud , o Identity and Access Management (IAM) é uma boa escolha para o gerenciamento de permissões refinado. O IAM fornece autenticação de identidade, gerenciamento de permissões e controle de acesso, ajudando você a proteger o acesso aos seus recursos da Huawei Cloud .
Com o IAM, você pode usar sua conta da Huawei Cloud para criar usuários do IAM e atribuir permissões aos usuários para controlar seu acesso a recursos específicos. Por exemplo, alguns desenvolvedores de software em sua empresa precisam usar recursos do SFS, mas não devem ter permissão para excluir os recursos ou executar qualquer outra operação de alto risco. Nesse cenário, você pode criar usuários do IAM para os desenvolvedores de software e conceder a eles apenas as permissões necessárias para usar os recursos do SFS.
Se sua conta da Huawei Cloud não exigir usuários individuais do IAM para gerenciamento de permissões, pule esta seção.
O IAM pode ser usado gratuitamente. Você paga apenas pelos recursos em sua conta. Para obter mais informações sobre o IAM, consulte Visão geral do serviço IAM .
Permissões do SFS
Por padrão, os novos usuários do IAM não têm permissões atribuídas. Você precisa adicionar um usuário a um ou mais grupos e anexar políticas de permissões ou funções a esses grupos. Os usuários herdam permissões dos grupos aos quais são adicionados e podem executar operações especificadas em serviços de nuvem com base nas permissões.
O SFS é um serviço de nível de projeto implementado e acessado em regiões físicas específicas. Para atribuir permissões do SFS a um grupo de usuários, especifique o escopo como projetos específicos da região e selecione os projetos para que as permissões entrem em vigor. Se All projects estiver selecionado, as permissões entrarão em vigor para o grupo de usuários em todos os projetos específicos da região. Ao acessar o SFS, os usuários precisam alternar para uma região onde eles foram autorizados a usar esse serviço.
Você pode conceder permissões aos usuários usando funções e políticas.
- Funções: um tipo de mecanismo de autorização de granulação grosseira que define permissões relacionadas às responsabilidades do usuário. Esse mecanismo fornece apenas um número limitado de funções de nível de serviço para autorização. Ao usar funções para conceder permissões, você também precisa atribuir outras funções das quais as permissões dependem para entrar em vigor. No entanto, as funções não são uma escolha adequada para autorização refinada e controle de acesso seguro.
- Políticas: um tipo de mecanismo de autorização refinado que define as permissões necessárias para realizar operações em recursos de nuvem específicos sob determinadas condições. Esse mecanismo permite uma autorização baseada em políticas mais flexível, atendendo aos requisitos de controle de acesso seguro. Por exemplo, você pode conceder aos usuários do ECS apenas as permissões para gerenciar um determinado tipo dos ECS. A maioria das políticas define permissões com base em APIs. Para as ações de API suportadas pelo SFS, consulte Políticas de permissões e ações suportadas .
Nome da função/política |
Descrição |
Tipo |
Dependência |
---|---|---|---|
SFS FullAccess |
Administrator permissions for SFS. Os usuários com essas permissões podem executar todas as operações no sistema de arquivos. |
Política definida pelo sistema |
Nenhum |
SFS ReadOnlyAccess |
Permissões somente leitura. Os usuários com essas permissões só podem visualizar dados do sistema de arquivos. |
Política definida pelo sistema |
Nenhum |
SFS Administrator |
As permissões incluem:
|
Função definida pelo sistema |
A função de inquilino convidado precisa ser atribuída no mesmo projeto. |
Nome da função/política |
Descrição |
Tipo |
Dependência |
---|---|---|---|
SFS Turbo FullAccess |
Permissões de administrador para o SFS Turbo. Os usuários concedidos a essas permissões podem executar todas as operações em sistemas de arquivos do SFS Turbo. |
Política definida pelo sistema |
Nenhum |
SFS Turbo ReadOnlyAccess |
Permissões somente leitura para o SFS Turbo. Os usuários com essas permissões só podem visualizar os dados do sistema de arquivos do SFS Turbo. |
Política definida pelo sistema |
Nenhum |
Tabela 3 lista as operações comuns suportadas por cada política ou função definida pelo sistema do SFS. Selecione as políticas ou funções conforme necessário.
Operação |
SFS FullAccess |
SFS ReadOnlyAccess |
SFS Administrator |
---|---|---|---|
Criar um sistema de arquivos |
√ |
x |
√ |
Consultar um sistema de arquivos |
√ |
√ |
√ |
Modificar um sistema de arquivos |
√ |
x |
√ |
Excluir um sistema de arquivos |
√ |
x |
√ |
Adicionar uma regra de acesso de um sistema de arquivos (Adicionar uma VPC ou adicionar um endereço autorizado a um sistema de arquivos) |
√ |
x |
√ |
Modificar uma regra de acesso de um sistema de arquivos (Modificar a VPC ou o endereço autorizado de um sistema de arquivos). |
√ |
x |
√ |
Excluir uma regra de acesso de um sistema de arquivos (Excluir a VPC ou o endereço autorizado de um sistema de arquivos). |
√ |
x |
√ |
Expandir a capacidade de um sistema de arquivos |
√ |
x |
√ |
Reduzir a capacidade de um sistema de arquivos |
√ |
x |
√ |
Criar tags do sistema de arquivos |
√ |
x |
√ |
Consultar tags do sistema de arquivos |
√ |
√ |
√ |
Excluir tags do sistema de arquivos |
√ |
x |
√ |
Consultar de zonas de disponibilidade |
√ |
√ |
√ |