Criação de um usuário e autorização ao usuário a permissão para acessar o DEW
Esta seção descreve como usar o IAM para implementar o controle de permissões refinadas para seus recursos do DEW. Com o IAM, você pode:
- Criar usuários do IAM para funcionários com base na estrutura organizacional da sua empresa. Cada usuário do IAM tem suas próprias credenciais de segurança para acessar os recursos do DEW.
- Conceder aos usuários somente as permissões necessárias para executar uma tarefa.
- Delegar uma conta da Huawei ou um serviço de nuvem confiáveis para realizar uma O&M profissional e eficiente em seus recursos do DEW.
Se sua conta da Huawei não exigir usuários individuais do IAM, pule este capítulo.
Esta seção descreve o procedimento para conceder permissões (consulte Figura 1).
Pré-requisitos
Antes de conceder permissões a um grupo de usuários, você precisa entender as permissões do DEW disponíveis e conceder permissões com base no cenário da vida real. As tabelas a seguir descrevem as permissões suportadas no DEW.
Para as políticas de sistema de outros serviços, consulte Permissões do sistema.
| Função/política | Descrição | Tipo | Dependência |
|---|---|---|---|
| KMS Administrator | Todas as permissões do KMS | Função | Nenhuma |
| KMS CMKFullAccess | Todas as permissões para chaves do KMS. Os usuários com essas permissões podem executar todas as operações permitidas pelas políticas. | Política | Nenhuma |
| KMS CMKReadOnlyAccess | Permissões somente leitura para chaves do KMS. Os usuários com essas permissões podem executar todas as operações permitidas pelas políticas. | Política | Nenhuma |
| Função/política | Descrição | Tipo | Dependência |
|---|---|---|---|
| DEW KeypairFullAccess | Todas as permissões para o KPS. Os usuários com essas permissões podem executar todas as operações permitidas pelas políticas. | Política do sistema | Nenhuma |
| DEW KeypairReadOnlyAccess | Permissões somente leitura para o Key Pair Service (KPS) no DEW. Os usuários com essa permissão só podem visualizar os dados do KPS. | Política do sistema | Nenhuma |
| Função/política | Descrição | Tipo | Dependência |
|---|---|---|---|
| CSMS FullAccess | Todas as permissões para o Cloud Secret Management Service (CSMS) no DEW. Os usuários com essas permissões podem executar todas as operações permitidas pelas políticas. | Política do sistema | Nenhuma |
| CSMS ReadOnlyAccess | Permissões somente leitura para o Cloud Secret Management Service (CSMS) no DEW. Os usuários com essas permissões podem executar todas as operações permitidas pelas políticas. | Política do sistema | Nenhuma |
Tabela 4 descreve as operações comuns suportadas por cada permissão definida pelo sistema de DEW. Selecione as permissões conforme necessário.
| Operação | KMS Administrator | KMS CMKFullAccess | DEW KeypairFullAccess | DEW KeypairReadOnlyAccess |
|---|---|---|---|---|
| Criar uma chave | √ | √ | x | x |
| Ativar uma chave | √ | √ | x | x |
| Desativar uma chave | √ | √ | x | x |
| Agendar exclusão de chaves | √ | √ | x | x |
| Cancelar a exclusão da chave agendada | √ | √ | x | x |
| Modificar um alias de chave | √ | √ | x | x |
| Modificar descrição da chave | √ | √ | x | x |
| Gerar um número aleatório | √ | √ | x | x |
| Criar uma DEK | √ | √ | x | x |
| Criar uma DEK sem texto não criptografado | √ | √ | x | x |
| Criptografar uma DEK | √ | √ | x | x |
| Descriptografar uma DEK | √ | √ | x | x |
| Obter parâmetros para importar uma chave | √ | √ | x | x |
| Importar materiais de chave | √ | √ | x | x |
| Excluir materiais de chave | √ | √ | x | x |
| Criar uma concessão | √ | √ | x | x |
| Revogar uma concessão | √ | √ | x | x |
| Retirar uma concessão | √ | √ | x | x |
| Consultar a lista de concessões | √ | √ | x | x |
| Consultar concessões recuperáveis | √ | √ | x | x |
| Criptografar dados | √ | √ | x | x |
| Descriptografar dados | √ | √ | x | x |
| Enviar mensagens de assinatura | √ | √ | x | x |
| Autenticar assinatura | √ | √ | x | x |
| Ativar rotação de chaves | √ | √ | x | x |
| Modificar intervalo de rotação da chave | √ | √ | x | x |
| Desativar rotação de chaves | √ | √ | x | x |
| Consultar status da rotação da chave | √ | √ | x | x |
| Consultar instâncias de CMK | √ | √ | x | x |
| Consultar tags de chave | √ | √ | x | x |
| Consultar tags do projeto | √ | √ | x | x |
| Adicionar ou excluir tags de chave em lote | √ | √ | x | x |
| Adicionar tags a uma chave | √ | √ | x | x |
| Excluir tags de chave | √ | √ | x | x |
| Consultar a lista de chaves | √ | √ | x | x |
| Consultar detalhes da chave | √ | √ | x | x |
| Consultar chave pública | √ | √ | x | x |
| Consultar quantidade da instância | √ | √ | x | x |
| Consultar cotas | √ | √ | x | x |
| Consultar a lista de pares de chaves | x | x | √ | √ |
| Criar ou importar um par de chaves | x | x | √ | x |
| Consultar pares de chaves | x | x | √ | √ |
| Excluir um par de chaves | x | x | √ | x |
| Atualizar descrição do par de chaves | x | x | √ | x |
| Vincular um par de chaves | x | x | √ | x |
| Desvincular um par de chaves | x | x | √ | x |
| Consultar uma tarefa de vinculação | x | x | √ | √ |
| Consultar tarefas com falha | x | x | √ | √ |
| Excluir todas as tarefas com falha | x | x | √ | x |
| Excluir uma tarefa com falha | x | x | √ | x |
| Consultar tarefas em execução | x | x | √ | √ |
Processo de autorização
- Criação de um grupo de usuários e atribuição de permissões
Criar um grupo de usuários no console do IAM e conceder ao grupo de usuários a permissão KMS CMKFullAccess (indicando permissões completas para chaves).
- Criação de um usuário do IAM
Criar um usuário no console do IAM e adicionar o usuário ao grupo de usuários criado em 1.
- Fazer logon e verificar as permissões.
Fazer logon no console como usuário recém-criado e verificar se o usuário só tem permissões de leitura para DEW.
- Escolha Service List > Data Encryption Workshop. No painel de navegação, escolha Key Pair Service. Se aparecer uma mensagem indicando falta de permissões, a política KMS CMKFullAccess entrou em vigor.
- Clique em Service List e selecione um serviço diferente do DEW. Se uma mensagem for exibida indicando que você não tem permissão para acessar o serviço, a política KMS CMKFullAccess entrou em vigor.
