Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Atualizado em 2024-06-26 GMT+08:00

Permissões

Se você precisar atribuir permissões diferentes aos funcionários da sua empresa para acessar suas VPCs, o IAM é uma boa opção para o gerenciamento de permissões refinado. O IAM fornece autenticação de identidade, gerenciamento de permissões e controle de acesso, ajudando você a acessar aos seus recursos da Huawei Cloud com segurança.

Com o IAM, você pode criar usuários do IAM e atribuir permissões para controlar seu acesso aos recursos específicos. Por exemplo, se você quiser que alguns desenvolvedores de software em sua empresa usem VPCs, mas não quiser que eles excluam VPCs ou executem outras operações de alto risco, poderá conceder permissões para usar VPCs, mas não permissões para excluí-las.

Se a sua HUAWEI ID não necessitar do IAM para gestão de permissões, pode ignorar esta secção.

O IAM é um serviço gratuito. Você paga apenas pelos recursos na sua conta. Para obter mais informações, consulte Visão geral de serviço IAM.

Permissões de VPC

Novos usuários do IAM não têm permissões atribuídas por padrão. Você precisa em primeiro adicionar um usuário a um ou mais grupos e anexar políticas ou funções a esses grupos. Em seguida, os usuários herdam permissões dos grupos e podem executar operações especificadas em serviços de nuvem com base nas permissões atribuídas a eles.

VPC é um serviço no nível do projeto implementado para regiões específicas. Quando você define Scope como Region-specific projects e seleciona os projetos especificados (por exemplo, ap-southeast-1) nas regiões especificadas (por exemplo, CN-Hong Kong), os usuários só têm permissões para VPCs nos projetos selecionados. Se você definir Scope como All resources, os usuários terão permissões para VPCs em todos os projetos específicos da região. Ao acessar VPCs, os usuários precisam mudar para a região autorizada.

Você pode conceder permissões usando funções e políticas.

  • Funções: uma estratégia de autorização grosseira fornecida pelo IAM para atribuir permissões com base nas responsabilidades de trabalho dos usuários. Apenas um número limitado de funções em nível de serviço está disponível para autorização. Ao conceder permissões usando funções, você também precisa anexar funções dependentes. As funções não são ideais para autorização refinada e acesso de privilégio mínimo.
  • Políticas: uma estratégia de autorização refinada que define as permissões necessárias para realizar operações em recursos específicos da nuvem sob determinadas condições. Esse tipo de autorização é mais flexível e é ideal para acesso de privilégio mínimo. Por exemplo, você pode conceder aos usuários da VPC somente as permissões para gerenciar um determinado tipo de recursos. A maioria das políticas refinadas contém permissões para APIs específicas, e as permissões são definidas usando ações da API. Para as ações de API suportadas pela VPC, consulte Políticas de permissões e ações suportadas.

Tabela 1 lista todas as permissões definidas pelo sistema para a VPC.

Tabela 1 Permissões definidas pelo sistema para VPC

Nome da política

Descrição

Tipo de política

Dependências

VPC FullAccess

Permissões completas para VPC

Política definida pelo sistema

Para usar a função de log de fluxo da VPC, os usuários também devem ter a permissão LTS ReadOnlyAccess.

VPC ReadOnlyAccess

Permissões somente leitura na VPC.

Política definida pelo sistema

Nenhuma

VPC Administrator

A maioria das permissões na VPC, excluindo a criação, modificação, exclusão e exibição de grupos de segurança e regras de grupo de segurança.

Para receber essa permissão, os usuários também devem ter a permissão Tenant Guest.

Função definida pelo sistema

Política Tenant Guest, que deve ser anexada ao mesmo projeto que VPC Administrator.

Tabela 2 lista as operações comuns compatíveis com as permissões definidas pelo sistema para VPC.

Tabela 2 Operações comuns compatíveis com as permissões definidas pelo sistema

Operação

VPC ReadOnlyAccess

VPC Administrator

VPC FullAccess

Criar uma VPC

x

Modificar uma VPC

x

Excluir uma VPC

x

Exibir informações da VPC

Criar uma sub-rede

x

Exibir informações de sub-rede

Modificar uma sub-rede

x

Excluir uma sub-rede

x

Criar um grupo de segurança

x

x

Exibir informações do grupo de segurança

x

Modificar um grupo de segurança

x

x

Excluir um grupo de segurança

x

x

Adicionar uma regra de grupo de segurança

x

x

Exibir uma regra de grupo de segurança

x

Modificar uma regra de grupo de segurança

x

x

Excluir uma regra de grupo de segurança

x

x

Criar uma ACLs da rede

x

Visualizar uma ACLs da rede

Modificar uma ACLs da rede

x

Excluir uma ACLs da rede

x

Adicionar uma regra de ACLs da rede

x

Modificar uma regra de ACLs da rede

x

Excluir uma regra de ACLs da rede

x

Criar uma conexão de emparelhamento de VPC

x

Modificar uma conexão de emparelhamento de VPC

x

Excluir uma conexão de emparelhamento de VPC

x

Consultar uma conexão de emparelhamento de VPC

Aceitar uma solicitação de conexão de emparelhamento de VPC

x

Recusar uma solicitação de conexão de emparelhamento de VPC

x

Criar uma tabela de rotas

x

Excluir uma tabela de rotas

x

Modificar uma tabela de rotas

x

Associar uma tabela de rotas a uma sub-rede

x

Adicionar uma rota

x

Modificar uma rota

x

Excluir uma rota

x

Criar um log de fluxo de VPC

x

Exibir um log de fluxo de VPC

Ativar ou desativar um log de fluxo de VPC

x

Excluir um log de fluxo de VPC

x