Criar um usuário e autorizar o usuário a acessar o DEW
Este capítulo descreve como usar o IAM para implementar o controle de permissões refinado para seus recursos DEW. Com o IAM, você pode:
- Criar usuários do IAM para funcionários com base na estrutura organizacional da sua empresa. Cada usuário do IAM tem suas próprias credenciais de segurança para acessar os recursos do DEW.
- Conceder aos usuários somente as permissões necessárias para executar uma tarefa.
- Delegar uma conta confiável da HUAWEI CLOUD ou um serviço em nuvem para realizar O&M profissional e eficiente em seus recursos do DEW.
Se sua conta da HUAWEI CLOUD não exigir usuários individuais do IAM, pule este capítulo.
Esta seção descreve o procedimento para conceder permissões (consulte Figura 1).
Pré-requisitos
Antes de autorizar permissões para um grupo de usuários, você precisa saber quais permissões do DEW podem ser adicionadas ao grupo de usuários. Tabela 1 lista as políticas do sistema do DEW.
Para as políticas de sistema de outros serviços, consulte Permissões do sistema.
Nome da função/política |
Descrição |
Tipo |
Dependência |
---|---|---|---|
KMS Administrator |
Permissões de administrador para o KMS |
Função do sistema |
Nenhum |
KMS CMKFullAccess |
Permissões completas para KMS. Os usuários com essas permissões podem executar todas as operações permitidas pelas políticas. |
Política do sistema |
Nenhum |
DEW KeypairFullAccess |
Permissões completas para o KPS. Os usuários com essas permissões podem executar todas as operações permitidas pelas políticas. |
Política do sistema |
Nenhum |
DEW KeypairReadOnlyAccess |
Permissões somente leitura para o KPS. Os utilizadores com esta permissão só podem ver os dados do KPS. |
Política do sistema |
Nenhum |
Tabela 2 descreve as operações comuns suportadas por cada permissão definida pelo sistema de DEW. Selecione as permissões conforme necessário.
Operação |
KMS Administrator |
KMS CMKFullAccess |
DEW KeypairFullAccess |
DEW KeypairReadOnlyAccess |
---|---|---|---|---|
Criar uma chave |
√ |
√ |
x |
x |
Ativar uma chave |
√ |
√ |
x |
x |
Desativar uma chave |
√ |
√ |
x |
x |
Agendar exclusão de chave |
√ |
√ |
x |
x |
Cancelar a exclusão da chave agendada |
√ |
√ |
x |
x |
Modificar um alias de chave |
√ |
√ |
x |
x |
Modificar descrição da chave |
√ |
√ |
x |
x |
Gerar um número aleatório |
√ |
√ |
x |
x |
Criar uma DEK |
√ |
√ |
x |
x |
Criar uma DEK sem texto não criptografado |
√ |
√ |
x |
x |
Criptografar uma DEK |
√ |
√ |
x |
x |
Descriptografar uma DEK |
√ |
√ |
x |
x |
Obter parâmetros para importar uma chave |
√ |
√ |
x |
x |
Importar materiais de chave |
√ |
√ |
x |
x |
Excluir materiais de chave |
√ |
√ |
x |
x |
Criar uma concessão |
√ |
√ |
x |
x |
Revogar uma concessão |
√ |
√ |
x |
x |
Retirar uma concessão |
√ |
√ |
x |
x |
Consultar a lista de concessões |
√ |
√ |
x |
x |
Consultar concessões removível |
√ |
√ |
x |
x |
Criptografar dados |
√ |
√ |
x |
x |
Descriptografar dados |
√ |
√ |
x |
x |
Enviar mensagens de assinatura |
√ |
√ |
x |
x |
Autenticar assinatura |
√ |
√ |
x |
x |
Ativar a rotação de chaves |
√ |
√ |
x |
x |
Modificar intervalo de rotação da chave |
√ |
√ |
x |
x |
Desativar rotação de chaves |
√ |
√ |
x |
x |
Consultar status da rotação da chave |
√ |
√ |
x |
x |
Consultar instâncias de CMK |
√ |
√ |
x |
x |
Consultar tags de chave |
√ |
√ |
x |
x |
Consultar tags de projeto |
√ |
√ |
x |
x |
Adicionar ou excluir tags de chave em lote |
√ |
√ |
x |
x |
Adicionar tags a uma chave |
√ |
√ |
x |
x |
Excluir tags de chave |
√ |
√ |
x |
x |
Consultar a lista de chaves |
√ |
√ |
x |
x |
Consultar detalhes da chave |
√ |
√ |
x |
x |
Consultar chave pública |
√ |
√ |
x |
x |
Consultar quantidade da instância |
√ |
√ |
x |
x |
Consultar cotas |
√ |
√ |
x |
x |
Consultar a lista de pares de chaves |
x |
x |
√ |
√ |
Criar ou importar um par de chaves |
x |
x |
√ |
x |
Consultar pares de chaves |
x |
x |
√ |
√ |
Excluir um par de chaves |
x |
x |
√ |
x |
Atualizar descrição do par de chaves |
x |
x |
√ |
x |
Vincular um par de chaves |
x |
x |
√ |
x |
Desvincular um par de chaves |
x |
x |
√ |
x |
Consultar uma tarefa de vinculação |
x |
x |
√ |
√ |
Consultar tarefas com falha |
x |
x |
√ |
√ |
Excluir todas as tarefas que falharam |
x |
x |
√ |
x |
Excluir tarefa com falha |
x |
x |
√ |
x |
Consultar tarefas de execução |
x |
x |
√ |
√ |
Processo de autorização
- Criar um grupo de usuários e atribuir permissões.
Crie um grupo de usuários no console do IAM e conceda ao grupo de usuários a permissão KMS CMKFullAccess (indicando permissões completas para chaves).
- Crie um usuário e adicione-o a um grupo de usuários.
Crie um usuário no console do IAM e adicione o usuário ao grupo de usuários criado em 1.