Permissões
Se você precisar atribuir permissões diferentes aos funcionários da sua empresa para acessar suas VPCs, o IAM é uma boa opção para o gerenciamento de permissões refinado. O IAM fornece autenticação de identidade, gerenciamento de permissões e controle de acesso, ajudando você a acessar aos seus recursos da Huawei Cloud com segurança.
Com o IAM, você pode criar usuários do IAM e atribuir permissões para controlar seu acesso aos recursos específicos. Por exemplo, se você quiser que alguns desenvolvedores de software em sua empresa usem VPCs, mas não quiser que eles excluam VPCs ou executem outras operações de alto risco, poderá conceder permissões para usar VPCs, mas não permissões para excluí-las.
Se a sua HUAWEI ID não necessitar do IAM para gestão de permissões, pode ignorar esta secção.
O IAM é um serviço gratuito. Você paga apenas pelos recursos na sua conta. Para obter mais informações, consulte Visão geral de serviço IAM.
Permissões de VPC
Novos usuários do IAM não têm permissões atribuídas por padrão. Você precisa em primeiro adicionar um usuário a um ou mais grupos e anexar políticas ou funções a esses grupos. Em seguida, os usuários herdam permissões dos grupos e podem executar operações especificadas em serviços de nuvem com base nas permissões atribuídas a eles.
VPC é um serviço no nível do projeto implementado para regiões específicas. Quando você define Scope como Region-specific projects e seleciona os projetos especificados (por exemplo, ap-southeast-1) nas regiões especificadas (por exemplo, CN-Hong Kong), os usuários só têm permissões para VPCs nos projetos selecionados. Se você definir Scope como All resources, os usuários terão permissões para VPCs em todos os projetos específicos da região. Ao acessar VPCs, os usuários precisam mudar para a região autorizada.
Você pode conceder permissões usando funções e políticas.
- Funções: uma estratégia de autorização grosseira fornecida pelo IAM para atribuir permissões com base nas responsabilidades de trabalho dos usuários. Apenas um número limitado de funções em nível de serviço está disponível para autorização. Ao conceder permissões usando funções, você também precisa anexar funções dependentes. As funções não são ideais para autorização refinada e acesso de privilégio mínimo.
- Políticas: uma estratégia de autorização refinada que define as permissões necessárias para realizar operações em recursos específicos da nuvem sob determinadas condições. Esse tipo de autorização é mais flexível e é ideal para acesso de privilégio mínimo. Por exemplo, você pode conceder aos usuários da VPC somente as permissões para gerenciar um determinado tipo de recursos. A maioria das políticas refinadas contém permissões para APIs específicas, e as permissões são definidas usando ações da API. Para as ações de API suportadas pela VPC, consulte Políticas de permissões e ações suportadas.
Tabela 1 lista todas as permissões definidas pelo sistema para a VPC.
Nome da política |
Descrição |
Tipo de política |
Dependências |
|---|---|---|---|
VPC FullAccess |
Permissões completas para VPC |
Política definida pelo sistema |
Para usar a função de log de fluxo da VPC, os usuários também devem ter a permissão LTS ReadOnlyAccess. |
VPC ReadOnlyAccess |
Permissões somente leitura na VPC. |
Política definida pelo sistema |
Nenhuma |
VPC Administrator |
A maioria das permissões na VPC, excluindo a criação, modificação, exclusão e exibição de grupos de segurança e regras de grupo de segurança. Para receber essa permissão, os usuários também devem ter a permissão Tenant Guest. |
Função definida pelo sistema |
Política Tenant Guest, que deve ser anexada ao mesmo projeto que VPC Administrator. |
Tabela 2 lista as operações comuns compatíveis com as permissões definidas pelo sistema para VPC.
Operação |
VPC ReadOnlyAccess |
VPC Administrator |
VPC FullAccess |
|---|---|---|---|
Criar uma VPC |
x |
√ |
√ |
Modificar uma VPC |
x |
√ |
√ |
Excluir uma VPC |
x |
√ |
√ |
Exibir informações da VPC |
√ |
√ |
√ |
Criar uma sub-rede |
x |
√ |
√ |
Exibir informações de sub-rede |
√ |
√ |
√ |
Modificar uma sub-rede |
x |
√ |
√ |
Excluir uma sub-rede |
x |
√ |
√ |
Criar um grupo de segurança |
x |
x |
√ |
Exibir informações do grupo de segurança |
√ |
x |
√ |
Modificar um grupo de segurança |
x |
x |
√ |
Excluir um grupo de segurança |
x |
x |
√ |
Adicionar uma regra de grupo de segurança |
x |
x |
√ |
Exibir uma regra de grupo de segurança |
√ |
x |
√ |
Modificar uma regra de grupo de segurança |
x |
x |
√ |
Excluir uma regra de grupo de segurança |
x |
x |
√ |
Criar uma ACL da rede |
x |
√ |
√ |
Visualizar uma ACL da rede |
√ |
√ |
√ |
Modificar uma ACL da rede |
x |
√ |
√ |
Excluir uma ACL da rede |
x |
√ |
√ |
Adicionar uma regra de ACL da rede |
x |
√ |
√ |
Modificar uma regra de ACL da rede |
x |
√ |
√ |
Excluir uma regra de ACL da rede |
x |
√ |
√ |
Criar uma conexão de emparelhamento de VPC |
x |
√ |
√ |
Modificar uma conexão de emparelhamento de VPC |
x |
√ |
√ |
Excluir uma conexão de emparelhamento de VPC |
x |
√ |
√ |
Consultar uma conexão de emparelhamento de VPC |
√ |
√ |
√ |
Aceitar uma solicitação de conexão de emparelhamento de VPC |
x |
√ |
√ |
Recusar uma solicitação de conexão de emparelhamento de VPC |
x |
√ |
√ |
Criar uma tabela de rotas |
x |
√ |
√ |
Excluir uma tabela de rotas |
x |
√ |
√ |
Modificar uma tabela de rotas |
x |
√ |
√ |
Associar uma tabela de rotas a uma sub-rede |
x |
√ |
√ |
Adicionar uma rota |
x |
√ |
√ |
Modificar uma rota |
x |
√ |
√ |
Excluir uma rota |
x |
√ |
√ |
Criar um log de fluxo de VPC |
x |
√ |
√ |
Exibir um log de fluxo de VPC |
√ |
√ |
√ |
Ativar ou desativar um log de fluxo de VPC |
x |
√ |
√ |
Excluir um log de fluxo de VPC |
x |
√ |
√ |
