Políticas personalizadas do DMS for Kafka
Políticas personalizadas podem ser criadas para complementar as políticas definidas pelo sistema do DMS for Kafka. Para as ações que podem ser adicionadas para políticas personalizadas, consulte Políticas de permissões e ações suportadas.
Você pode criar políticas personalizadas de uma das seguintes maneiras:
- Editor visual: selecione serviços em nuvem, ações, recursos e condições de solicitação. Isso não requer conhecimento de sintaxe de política.
- JSON: edite políticas de JSON do rascunho ou com base em uma política existente.
Para obter detalhes, consulte Criação de uma política personalizada. A seção a seguir contém exemplos de políticas personalizadas comuns do DMS for Kafka.
- As políticas de permissões do DMS for Kafka são baseadas no DMS. Portanto, ao atribuir permissões, selecione as políticas de permissões do DMS.
- Devido ao armazenamento em cache de dados, uma política envolvendo ações do OBS (Object Storage Service) terá efeito cinco minutos depois de ser anexada a um usuário, grupo de usuários ou projeto.
Exemplo de políticas personalizadas
- Exemplo 1: permitir que os usuários excluam e reiniciem instâncias
{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "dms:instance:modifyStatus", "dms:instance:delete" ] } ] }
- Exemplo 2: negar exclusão de instância
Uma política com apenas permissões "Deny" deve ser usada em conjunto com outras políticas para entrar em vigor. Se as permissões atribuídas a um usuário contiverem ambos "Allow" e "Deny", as permissões "Deny" terão precedência sobre as permissões "Allow".
Por exemplo, se quiser atribuir todas as permissões da política DMS FullAccess a um usuário, exceto excluir instâncias, você pode criar uma política personalizada para negar somente a exclusão de instância. Quando você aplica a política DMS FullAccess e a política personalizada negando exclusão de instância, como "Deny" sempre tem precedência sobre "Allow", o "Deny" será aplicada para essa permissão conflitante. O usuário poderá então executar todas as operações em instâncias, exceto excluir instâncias. O seguinte é um exemplo de uma política de negar:
{ "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "dms:instance:delete" ] } ] }