Antes de começar
Audiência pretendida
O serviço Identity and Access Management (IAM) é destinado a administradores, incluindo:
- Administrador da conta (com permissões completas para todos os serviços, incluindo o IAM)
- Usuários do IAM adicionados ao grupo de admin (com permissões completas para todos os serviços, incluindo o IAM)
- Usuários do IAM atribuídos à função Security Administrator (com permissões para acessar o IAM)
Se você quiser visualizar, auditar e rastrear os registros das principais operações realizadas no IAM, ative o Cloud Trace Service (CTS). Para mais detalhes, consulte Ativação de CTS.
Acessar o console do IAM
- Faça logon na Huawei Cloud e clique em Console no canto superior direito.
Figura 1 Acessar o console
- No console de gerenciamento, passe o mouse sobre o nome de usuário no canto superior direito e escolha Identity and Access Management na lista suspensa.
Conta
Uma conta é criada depois que você se registra com sucesso na Huawei Cloud. Sua conta possui recursos e paga pelo uso desses recursos. Ela tem permissões de acesso total aos seus recursos. Você não pode modificar ou excluir sua conta no IAM, mas você pode fazer isso em Minha conta.
Depois de fazer logon na sua conta, você verá um usuário marcado como Enterprise administrator na página Users do console do IAM.
Usuário do IAM
Você pode criar usuários no IAM como administrador e atribuir permissões para recursos específicos. Conforme mostrado na figura a seguir, James é um usuário do IAM criado pelo administrador. Os usuários do IAM podem fazer logon na Huawei Cloud usando seu nome de conta, nomes de usuário e senhas e, em seguida, usar recursos com base nas permissões atribuídas. Os usuários do IAM não possuem recursos e não podem fazer pagamentos. Você usa sua conta para pagar as contas deles.
Relação entre uma conta e seus usuários do IAM
Uma conta e seus usuários do IAM têm um relacionamento pai-filho. A conta é proprietária dos recursos e faz pagamentos pelos recursos usados pelos usuários do IAM. Ela tem permissões completas para esses recursos.
Os usuários do IAM são criados pelo administrador da conta e só têm as permissões concedidas pelo administrador. O administrador pode modificar ou revogar as permissões dos usuários do IAM a qualquer momento. Os recursos usados pelos usuários do IAM na sua conta são cobrados na sua conta. Os usuários do IAM não precisam fazer pagamentos por conta própria.
Grupo de usuários
Você pode usar grupos de usuários para atribuir permissões a usuários do IAM. Depois que um usuário do IAM é adicionado a um grupo de usuários, o usuário tem as permissões do grupo e pode executar operações em serviços de nuvem conforme especificado pelas permissões. Se um usuário for adicionado a vários grupos de usuários, o usuário herdará as permissões atribuídas a todos esses grupos.
O grupo de usuários padrão admin tem todas as permissões necessárias para usar todos os recursos da nuvem. Os usuários desse grupo podem executar operações em todos os recursos, incluindo, entre outros, a criação de grupos de usuários e usuários, a modificação de permissões e o gerenciamento de recursos.
Permissão
O IAM fornece permissões comuns para diferentes serviços, como permissões de administrador e somente leitura. Novos usuários do IAM não têm permissões atribuídas por padrão. O administrador deve adicioná-los a um ou mais grupos e anexar políticas de permissões ou funções a esses grupos para que os usuários do IAM possam herdar permissões dos grupos. Os usuários do IAM também podem atribuir permissões a si mesmos. Em seguida, os usuários do IAM podem executar operações específicas em serviços de nuvem.
- Funções: um tipo de mecanismo de autorização de alta granularidade que define permissões de nível de serviço com base nas responsabilidades do usuário. Há apenas um número limitado de funções para conceder permissões aos usuários. Ao usar funções para conceder permissões, você também precisa atribuir funções de dependência. As funções não são uma escolha adequada para autorização refinada e controle de acesso seguro.
- Políticas: um tipo de mecanismo de autorização refinado que define as permissões necessárias para realizar operações em recursos de nuvem específicos sob determinadas condições. Esse mecanismo permite uma autorização mais flexível baseada em políticas com base em um princípio de privilégio mínimo (PoLP). Por exemplo, você pode conceder aos usuários do Elastic Cloud Server (ECS) apenas as permissões necessárias para gerenciar um determinado tipo de recursos do ECS.
Quando um usuário do IAM que recebeu apenas permissões de ECS acessa outros serviços, uma mensagem semelhante à seguinte será exibida.