Criação de um usuário e concessão de permissões de EIP
Atualmente, as permissões de serviço EIP estão incluídas nas permissões da VPC. Gerenciamento de permissões
- Criar usuários do IAM para o pessoal com base na estrutura organizacional da sua empresa. Cada usuário do IAM tem suas próprias credenciais de identidade para acessar os recursos da VPC.
- Conceder aos usuários apenas as permissões necessárias para executar uma determinada tarefa com base em suas responsabilidades de trabalho.
- Confiar uma HUAWEI ID ou serviço de nuvem para executar O&M eficiente em seus recursos da VPC.
Se o seu ID da HUAWEI cumprir os seus requisitos de permissões, pode ignorar esta secção.
Figura 1 mostra o fluxo do processo para conceder permissões.
Pré-requisitos
Antes de conceder permissões a grupos de usuários, saiba mais sobre Permissões de EIP para EIP.
Para conceder permissões para outros serviços, saiba mais sobre todas as permissões definidas pelo sistema suportadas pelo IAM.
Fluxo do processo
-
No console do IAM, crie um grupo de usuários e conceda-lhe permissões (EIP ReadOnlyAccess como exemplo).
-
Crie um usuário de IAM e adicione-o ao grupo de usuários criado.
- Faça logon como usuário do IAM e verifique permissões.
Na região autorizada, execute as seguintes operações:
- Escolha Service List > Elastic IP. Em seguida, clique em Buy EIP no console de EIP. Se aparecer uma mensagem indicando que você não tem permissões suficientes para executar a operação, a política EIPReadOnlyAccess está em vigor.
- Escolha outro serviço na Service List. Se aparecer uma mensagem indicando que você não tem permissões suficientes para acessar o serviço, a política EIPReadOnlyAccess está em vigor.
Exemplo de políticas personalizadas
- Exemplo 1: conceder permissões para atribuir e visualizar EIPs
{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ " vpc:publicIps:create vpc:publicIps:list " ] } ] } - Exemplo 2: conceder permissão para negar a exclusão do EIP.
Uma política com apenas permissões "Deny" deve ser usada junto com outras políticas. Se as permissões concedidas a um usuário do IAM contiverem "Allow" e "Deny", as permissões "Deny" terão precedência sobre as permissões "Allow".
Suponha que você deseja conceder as permissões da política VPC FullAccess a um usuário, mas deseja impedi-lo de liberar EIPs. Você pode criar uma política personalizada para negar a liberação de EIP e anexar ambas as políticas ao usuário. Como uma negação explícita em qualquer política substitui qualquer permissão, o usuário pode executar todas as operações em EIPs, exceto liberá-las. Política de exemplo que nega a liberação do EIP:
{ "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "vpc:publicIps:delete" ] } ] }
- Exemplo 3: criar uma política personalizada contendo várias ações.
Uma política personalizada pode conter as ações de um ou vários serviços do mesmo tipo (global ou em nível de projeto). Exemplo de política contendo várias ações:
{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:servers:delete", "vpc:publicIps:update", "vpc:publicIps:create" ] }, { "Effect": "Deny", "Action": [ "vpc:publicIps:delete" ] } ] }
