Uso de políticas de identidade do IAM para conceder acesso ao EVS
Permissões definidas pelo sistema na Autorização baseada em políticas fornecida pelo Identity and Access Management (IAM) permite controlar o acesso a recursos do EVS. Com o IAM, você pode:
- Criar usuários ou grupos de usuários do IAM para o pessoal com base na estrutura organizacional da sua empresa. Cada usuário do IAM tem suas próprias credenciais de identidade para acessar os recursos do EVS.
- Conceder aos usuários apenas as permissões necessárias para executar uma determinada tarefa com base em suas responsabilidades de trabalho.
- Confiar uma conta da Huawei Cloud ou serviço de nuvem para executar O&M eficiente em seus recursos de EVS.
Se sua conta da Huawei Cloud atender aos seus requisitos de permissão, você poderá pular esta seção.
Figura 1 mostra o fluxo do processo de autorização baseada em política de identidade.
Pré-requisitos
Antes de conceder permissões, aprenda sobre as permissões definidas pelo sistema em Autorização baseada em políticas para EVS. Para conceder permissões para outros serviços, saiba mais sobre todas as permissões definidas pelo sistema suportadas pelo IAM.
Fluxo do processo
-
No console do IAM, crie um usuário do IAM ou crie um grupo de usuários.
-
Anexe uma política definida pelo sistema (EVSReadOnlyPolicy como exemplo) ao usuário ou grupo de usuários.
- Faça logon como usuário do IAM e verifique permissões.
Na região autorizada, execute as seguintes operações:
- Escolha Service List > Elastic Volume Service. Em seguida, clique em Buy Disk no console do EVS. Se aparecer uma mensagem indicando que você tem permissões insuficientes para executar a operação, a política EVSReadOnlyPolicy está em vigor.
- Escolha outro serviço de Service List. Se aparecer uma mensagem indicando que você não tem permissões suficientes para acessar o serviço, a política EVSReadOnlyPolicy está em vigor.
Exemplo de políticas personalizadas
- Exemplo 1: conceder permissões para criar discos.
{ "Version": "5.0", "Statement": [ { "Effect": "Allow", "Action": [ "evs:volumes:create", "evs:volumes:list", "evs:volumes:get", "evs:types:get", "evs:quotas:get", "ecs:cloudServerFlavors:get", "ecs:cloudServers:listServersDetails" ] } ] } - Exemplo 2: criar uma política personalizada contendo várias ações.
Uma política personalizada pode conter as ações de um ou vários serviços. Exemplo de política contendo várias ações:
{ "Version": "5.0", "Statement": [ { "Effect": "Allow", "Action": [ "evs:volumes:create", "evs:volumes:list" ] }, { "Effect": "Allow", "Action": [ "evs:volumes:create", "evs:volumes:list", "evs:volumes:get", "evs:types:get", "evs:quotas:get", "evs:volumes:use" ] }, { "Effect": "Allow", "Action": [ "ecs:cloudServerFlavors:get", "ecs:cloudServers:listServersDetails", "ecs:cloudServers:showServer", "ecs:cloudServers:attach", "ecs:cloudServers:detachVolume" ] } ] } - Exemplo 3: conceder permissões para criar à força discos criptografados.
Você pode criar uma política personalizada para forçar os usuários a criar apenas discos criptografados.
{ "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "evs:volumes:create" ], "Condition": { "Bool": { "evs:Encrypted": [ "false" ] } } } ] } - Exemplo 4: conceder permissões para criar backups forçados para discos.
Você pode criar uma política personalizada para forçar os usuários a usar o backup em nuvem ao criar discos.
Quando o backup forçado é configurado e você está criando um disco anual/mensal, você deve escolher um cofre de backup existente.
Exemplo de política:
{ "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "evs:volumes:create" ], "Condition": { "Null": { "cbr:VaultId": [ "true" ] } } } ] }
