Criação de um usuário e autorização ao usuário a permissão para acessar o DEW
Esta seção descreve como usar o IAM para implementar o controle de permissões refinadas para seus recursos do DEW. Com o IAM, você pode:
- Criar usuários do IAM para funcionários com base na estrutura organizacional da sua empresa. Cada usuário do IAM tem suas próprias credenciais de segurança para acessar os recursos do DEW.
- Conceder aos usuários somente as permissões necessárias para executar uma tarefa.
- Delegar uma conta da Huawei ou um serviço de nuvem confiáveis para realizar uma O&M profissional e eficiente em seus recursos do DEW.
Se sua conta da Huawei não exigir usuários individuais do IAM, pule este capítulo.
Esta seção descreve o procedimento para conceder permissões (consulte Figura 1).
Pré-requisitos
Antes de conceder permissões a um grupo de usuários, você precisa entender as permissões do DEW disponíveis e conceder permissões com base no cenário da vida real. As tabelas a seguir descrevem as permissões suportadas no DEW.
Para as políticas de sistema de outros serviços, consulte Permissões do sistema.
Função/política | Descrição | Tipo | Dependência |
|---|---|---|---|
KMS Administrator | Todas as permissões do KMS | Função | Nenhuma |
KMS CMKFullAccess | Todas as permissões para chaves do KMS. Os usuários com essas permissões podem executar todas as operações permitidas pelas políticas. | Política | Nenhuma |
KMS CMKReadOnlyAccess | Permissões somente leitura para chaves do KMS. Os usuários com essas permissões podem executar todas as operações permitidas pelas políticas. | Política | Nenhuma |
Função/política | Descrição | Tipo | Dependência |
|---|---|---|---|
DEW KeypairFullAccess | Todas as permissões para o KPS. Os usuários com essas permissões podem executar todas as operações permitidas pelas políticas. | Política do sistema | Nenhuma |
DEW KeypairReadOnlyAccess | Permissões somente leitura para o Key Pair Service (KPS) no DEW. Os usuários com essa permissão só podem visualizar os dados do KPS. | Política do sistema | Nenhuma |
Função/política | Descrição | Tipo | Dependência |
|---|---|---|---|
CSMS FullAccess | Todas as permissões para o Cloud Secret Management Service (CSMS) no DEW. Os usuários com essas permissões podem executar todas as operações permitidas pelas políticas. | Política do sistema | Nenhuma |
CSMS ReadOnlyAccess | Permissões somente leitura para o Cloud Secret Management Service (CSMS) no DEW. Os usuários com essas permissões podem executar todas as operações permitidas pelas políticas. | Política do sistema | Nenhuma |
Tabela 4 descreve as operações comuns suportadas por cada permissão definida pelo sistema de DEW. Selecione as permissões conforme necessário.
Operação | KMS Administrator | KMS CMKFullAccess | DEW KeypairFullAccess | DEW KeypairReadOnlyAccess |
|---|---|---|---|---|
Criar uma chave | √ | √ | x | x |
Ativar uma chave | √ | √ | x | x |
Desativar uma chave | √ | √ | x | x |
Agendar exclusão de chaves | √ | √ | x | x |
Cancelar a exclusão da chave agendada | √ | √ | x | x |
Modificar um alias de chave | √ | √ | x | x |
Modificar descrição da chave | √ | √ | x | x |
Gerar um número aleatório | √ | √ | x | x |
Criar uma DEK | √ | √ | x | x |
Criar uma DEK sem texto não criptografado | √ | √ | x | x |
Criptografar uma DEK | √ | √ | x | x |
Descriptografar uma DEK | √ | √ | x | x |
Obter parâmetros para importar uma chave | √ | √ | x | x |
Importar materiais de chave | √ | √ | x | x |
Excluir materiais de chave | √ | √ | x | x |
Criar uma concessão | √ | √ | x | x |
Revogar uma concessão | √ | √ | x | x |
Retirar uma concessão | √ | √ | x | x |
Consultar a lista de concessões | √ | √ | x | x |
Consultar concessões recuperáveis | √ | √ | x | x |
Criptografar dados | √ | √ | x | x |
Descriptografar dados | √ | √ | x | x |
Enviar mensagens de assinatura | √ | √ | x | x |
Autenticar assinatura | √ | √ | x | x |
Ativar rotação de chaves | √ | √ | x | x |
Modificar intervalo de rotação da chave | √ | √ | x | x |
Desativar rotação de chaves | √ | √ | x | x |
Consultar status da rotação da chave | √ | √ | x | x |
Consultar instâncias de CMK | √ | √ | x | x |
Consultar tags de chave | √ | √ | x | x |
Consultar tags do projeto | √ | √ | x | x |
Adicionar ou excluir tags de chave em lote | √ | √ | x | x |
Adicionar tags a uma chave | √ | √ | x | x |
Excluir tags de chave | √ | √ | x | x |
Consultar a lista de chaves | √ | √ | x | x |
Consultar detalhes da chave | √ | √ | x | x |
Consultar chave pública | √ | √ | x | x |
Consultar quantidade da instância | √ | √ | x | x |
Consultar cotas | √ | √ | x | x |
Consultar a lista de pares de chaves | x | x | √ | √ |
Criar ou importar um par de chaves | x | x | √ | x |
Consultar pares de chaves | x | x | √ | √ |
Excluir um par de chaves | x | x | √ | x |
Atualizar descrição do par de chaves | x | x | √ | x |
Vincular um par de chaves | x | x | √ | x |
Desvincular um par de chaves | x | x | √ | x |
Consultar uma tarefa de vinculação | x | x | √ | √ |
Consultar tarefas com falha | x | x | √ | √ |
Excluir todas as tarefas com falha | x | x | √ | x |
Excluir uma tarefa com falha | x | x | √ | x |
Consultar tarefas em execução | x | x | √ | √ |
Processo de autorização
- Criação de um grupo de usuários e atribuição de permissões
Criar um grupo de usuários no console do IAM e conceder ao grupo de usuários a permissão KMS CMKFullAccess (indicando permissões completas para chaves).
- Criação de um usuário do IAM
Criar um usuário no console do IAM e adicionar o usuário ao grupo de usuários criado em 1.
- Fazer logon e verificar as permissões.
Fazer logon no console como usuário recém-criado e verificar se o usuário só tem permissões de leitura para DEW.
- Escolha Service List > Data Encryption Workshop. No painel de navegação, escolha Key Pair Service. Se aparecer uma mensagem indicando falta de permissões, a política KMS CMKFullAccess entrou em vigor.
- Clique em Service List e selecione um serviço diferente do DEW. Se uma mensagem for exibida indicando que você não tem permissão para acessar o serviço, a política KMS CMKFullAccess entrou em vigor.
