Criação de um política personalizada
Você pode criar políticas personalizadas para complementar políticas definidas pelo sistema e implementar um controle de acesso mais refinado.
Você pode criar políticas personalizadas de uma das seguintes maneiras:
- Editor visual: Selecione um serviço de nuvem, especifique ações e recursos e adicione condições de solicitação. Você não precisa ter conhecimento da sintaxe JSON.
- JSON: Crie uma política no formato JSON a partir do zero ou com base em uma política existente.
Esta seção descreve como criar políticas personalizadas na página Permissions > Policies/Roles. Você também pode criar políticas personalizadas durante a autorização (consulte Figura 1) sem encerrar a operação atual.`
Criação de uma política personalizada no editor visual
- Faça login no console do IAM.
- No console do IAM, escolha Permissions > Policies/Roles no painel de navegação e clique em Create Custom Policy no canto superior direito.
Figura 2 Criação de um política personalizada
- Insira um nome de política.
Figura 3 Inserção de um nome de política
- Selecione Visual editor para Policy View.
- Defina o conteúdo da política.
- Selecione Allow ou Deny.
- Selecione um serviço de nuvem.
- Apenas um serviço de nuvem pode ser selecionado para cada bloco de permissão. Para configurar permissões para vários serviços de nuvem, clique em Add Permissions ou alterne para a visualização JSON (consulte Criação de uma política personalizada na visualização JSON).
- Uma política personalizada pode conter permissões para serviços globais ou de nível de projeto. Para definir as permissões necessárias para acessar serviços globais e de nível de projeto, coloque as permissões em duas políticas separadas para autorização refinada.
- Selecione as ações.
- (Opcional) Selecione todos os recursos ou selecione recursos específicos especificando seus caminhos.
Os serviços de nuvem que permitem autorização para recursos específicos incluem: Object Storage Service (OBS), Intelligent EdgeFabric (IEF), Data Lake Insight (DLI), Graph Engine Service (GES), FunctionGraph, Distributed Message Service (DMS), IoT Device Access (IoTDA), Key Management Service (KMS), Autonomous Driving Cloud Service (Octopus), and Data Warehouse Service (DWS). Para obter detalhes, consulte Serviços de nuvem suportados pelo IAM.
Tabela 1 Tipo de recurso Parâmetro
Descrição
Específico
Permissões para recursos específicos. Por exemplo, para definir permissões para buckets cujos nomes começam com TestBucket, especificar o caminho do recurso do bucket como OBS:*:*:bucket:TestBucket*.
NOTA:- Especificação de recursos do bucket
Formato: "OBS:*:*:bucket:Bucket name".
Para recursos do bucket, o IAM gera automaticamente o prefixo do caminho do recurso: obs:*:*:bucket:. Para o caminho de um bucket específico, adicione o bucket name ao final. Você também pode usar um caractere curinga (*) para indicar qualquer bucket. Por exemplo, obs:*:*:bucket:* indica qualquer bucket OBS.
- Especificação de recursos do objeto
Formato: "OBS:*:*:object:Bucket name or object name".
Para recursos do objeto, o IAM gera automaticamente o prefixo do caminho do recurso: obs:*:*:object:. Para o caminho de um objeto específico, adicione o bucket name/object name ao final do caminho do recurso. Você também pode usar um caractere curinga (*) para indicar qualquer objeto em um bucket. Por exemplo, obs:*:*:object:my-bucket/my-object/* indica qualquer objeto no diretório my-object do bucket my-bucket.
Todos
Permissões para todos os recursos.
- (Opcional) Adicione condições de solicitação especificando chaves de condição, operadores e valores.
Tabela 2 Parâmetros de condição Nome
Descrição
Chave de condição
Uma chave no elemento Condition de uma instrução. Existem chaves de condição globais e de nível de serviço. As chaves de condição globais (começando com g:) estão disponíveis para operações de todos os serviços, enquanto as chaves de condição de nível de serviço (começando com um nome de abreviação de serviço, como obs:) estão disponíveis apenas para operações do serviço correspondente. Para obter detalhes, consulte o guia do usuário do serviço de nuvem correspondente, por exemplo, OBS Request Conditions.
Operador
Usado em conjunto com uma chave de condição e um valor de condição para formar uma declaração de condição completa.
Valor
Usado em conjunto com uma chave de condição e um operador que requer uma palavra-chave, para formar uma declaração de condição completa.
Figura 4 Adição de uma condição de solicitação
Tabela 3 Chaves de condição globais Chave de condição global
Tipo
Descrição
g:CurrentTime
Tempo
Hora em que uma solicitação de autenticação é recebida. O tempo é expresso no formato definido pela ISO 8601, por exemplo, 2012-11-11T23:59:59Z.
g:DomainName
String
Nome da conta.
g:MFAPresent
Boolean
Se deseja obter um token por meio da autenticação MFA.
g:MFAAge
Número
Período de validade de um token obtido através da autenticação MFA. Esta condição deve ser usada em conjunto com g:MFAPresent.
g:ProjectName
String
Nome do projeto.
g:ServiceName
String
Nome do serviço.
g:UserId
String
ID do usuário do IAM.
g:UserName
String
Nome de usuário do IAM.
- (Opcional) Alterne para a visualização JSON e modifique o conteúdo da política no formato JSON.
Se o conteúdo da política modificada estiver incorreto, verifique e modifique o conteúdo novamente ou clique em Reset para cancelar as modificações.
- (Opcional) Para adicionar outro bloco de permissão para a política, clique em Add Permissions. Como alternativa, clique no ícone de adição (+) à direita de um bloco de permissão existente para clonar suas permissões.
- (Opcional) Inserir uma breve descrição para a política.
- Clique em OK.
- Atribuição da política a um grupo de usuários. Em seguida, os utilizadores do grupo herdam as permissões definidas nesta política.
Você pode anexar políticas personalizadas a um grupo de usuários da mesma forma que você anexa políticas definidas pelo sistema. Para obter detalhes, consulte Criação de um grupo de usuários e atribuição de permissões.
Criação de uma política personalizada na visualização JSON
- Faça login no console do IAM.
- No console do IAM, escolha Permissions > Policies/Roles no painel de navegação e clique em Create Custom Policy no canto superior direito.
Figura 5 Criação de uma política personalizada
- Insira um nome de política.
Figura 6 Inserção de um nome de política
- Selecione JSON para Policy View.
- (Opcional) Clique em Select Existing Policy/Role e selecione uma política/função para usá-la como modelo, por exemplo, selecione EVS FullAccess.
Se você selecionar várias políticas, todas as devem ter o mesmo escopo, ou seja, Global services ou Project-level services. Para definir as permissões necessárias para acessar serviços globais e de nível de projeto, coloque as permissões em duas políticas personalizadas separadas para autorização refinada.
- Clique em OK.
- Modifique a instrução no modelo.
- Effect: Configure-o como Allow ou Deny.
- Action: Insira as ações listadas na tabela de ações da API (consulte Figura 7) do serviço EVS, por exemplo, evs:volumes:create.
- A versão de cada política personalizada é fixada em 1.1.
- Para obter detalhes sobre as ações de API suportadas por cada serviço, consulte Permissões do sistema.
- (Opcional) Inserir uma breve descrição para a política.
- Clique em OK. Se a lista de políticas for exibida, a política será criada com êxito. Se uma mensagem indicando o conteúdo incorreto da política for exibida, modifique a política.
- Atribuição da política a um grupo de usuários. Em seguida, os utilizadores do grupo herdam as permissões definidas nesta política.
Você pode anexar políticas personalizadas a um grupo de usuários da mesma forma que você anexa políticas definidas pelo sistema. Para obter detalhes, consulte Criação de um grupo de usuários e atribuição de permissões.
