Если вы хотите назначить различным сотрудникам предприятия разные уровни доступа к ресурсам DEW, приобретённым на облачной платформе, вы можете использовать Identity and Access Management (IAM) для выполнения уточнённого управления разрешениями. IAM предоставляет аутентификацию личности, управление разрешениями и контроль доступа, помогая обеспечить безопасный доступ к вашим ресурсам.
С помощью IAM вы можете использовать свою учётную запись для создания IAM‑пользователей для ваших сотрудников и предоставлять разрешения, контролирующие их доступ к определённым типам ресурсов. Например, если у вас есть разработчики программного обеспечения и вы хотите предоставить им разрешение на доступ к DEW, но запретить удалять DEW или его ресурсы, вы можете создать политику IAM, чтобы назначить разработчикам разрешение на доступ к DEW, но предотвратить удаление связанных с DEW данных.
Если системная учётная запись удовлетворяет вашим требованиям и вам не требуется создавать отдельного пользователя IAM для контроля разрешений, вы можете пропустить этот раздел. Это не повлияет на другие функции DEW.
Разрешения DEW
По умолчанию новые пользователи IAM не имеют назначенных разрешений. Вам необходимо добавить пользователя в одну или несколько групп и присоединить к этим группам политики разрешений или роли. Пользователи наследуют разрешения от своих групп и могут выполнять указанные операции над облачными сервисами в соответствии с разрешениями.
DEW — это сервис уровня проекта, развернутый и доступный в конкретных физических регионах. Чтобы назначить разрешения группе пользователей, укажите область как регионо-специфические проекты и выберите проекты, для которых разрешения вступят в силу. Если Все проекты Все проекты выбраны, разрешения вступят в силу для группы пользователей во всех регионо-специфических проектах. Пользователям необходимо переключаться на авторизованный регион при доступе к KMS.
Вы можете предоставить пользователям разрешения, используя роли и политики.
- Роли: Тип механизма авторизации с грубым гранулированием, определяющий разрешения, связанные с обязанностями пользователя. Этот механизм предоставляет лишь ограниченное количество ролей уровня сервиса для авторизации. При использовании ролей для предоставления разрешений необходимо также назначать другие роли, от которых зависят эти разрешения, чтобы они вступили в силу. Однако роли не являются оптимальным выбором для детализированной авторизации и безопасного контроля доступа.
- Политики: тип детализированного механизма авторизации, определяющего разрешения, необходимые для выполнения операций над определёнными облачными ресурсами при определённых условиях. Этот механизм обеспечивает более гибкую авторизацию на основе политик, отвечая требованиям безопасного контроля доступа. Например, вы можете предоставить пользователям KMS только разрешения для управления определённым типом облачных серверов. Большинство политик содержат разрешения для конкретных API, и разрешения определяются с помощью действий API.
Роль/Политика | Описание | Тип |
|---|---|---|
Администратор KMS | Разрешения администратора для ключа шифрования | Роль |
KMS CMKFullAccess | Все разрешения для ключей шифрования | Политика |
KMS CMKReadOnlyAccess | Разрешение только на чтение ключей шифрования | Политика |
Роль/Политика | Описание | Тип | Зависимость |
|---|---|---|---|
DEW KeypairFullAccess | Все разрешения для KPS. Пользователи с этими разрешениями могут выполнять все операции, разрешённые политиками. | Политика | Нет |
DEW KeypairReadOnlyAccess | Разрешения только на чтение для KPS в DEW. Пользователи с этим разрешением могут только просматривать данные KPS. | Политика | Нет |
Роль/Политика | Описание | Тип | Зависимость |
|---|---|---|---|
CSMS FullAccess | Все разрешения для CSMS в DEW. Пользователи с этими разрешениями могут выполнять все операции, разрешённые политиками. | Политика | Нет |
CSMS ReadOnlyAccess | Разрешения только для чтения для CSMS в DEW. Пользователи с этими разрешениями могут выполнять все операции, разрешённые политиками. | Политика | Нет |
Таблица 4 список общих операций, поддерживаемых каждым системно-определённым разрешением DEW. Выберите разрешения по мере необходимости.
Операция | Администратор KMS | KMS CMKFullAccess |
|---|---|---|
Создать ключ | √ | √ |
Включить ключ | √ | √ |
Отключить ключ | √ | √ |
Запланировать удаление ключа | √ | √ |
Отменить запланированное удаление ключа | √ | √ |
Изменить алиас ключа | √ | √ |
Изменить описание ключа | √ | √ |
Сгенерировать случайное число | √ | √ |
Создать DEK | √ | √ |
Создать DEK без открытого текста | √ | √ |
Зашифровать DEK | √ | √ |
Расшифровать DEK | √ | √ |
Получить параметры для импорта ключа | √ | √ |
Импортировать материалы ключа | √ | √ |
Удалить материалы ключа | √ | √ |
Запрос списка грантов | √ | √ |
Запрос отзываемых грантов | √ | √ |
Зашифровать данные | √ | √ |
Расшифровать данные | √ | √ |
Запрос экземпляров CMK | √ | √ |
Запрос списка ключей | √ | √ |
Запрос деталей ключа | √ | √ |
Запрос количества экземпляров | √ | √ |
Запрос квот | √ | √ |
Запрос списка пар ключей | x | x |
Создать или импортировать пару ключей | x | x |
Запрос пар ключей | x | x |
Удалить пару ключей | x | x |
Обновить описание пары ключей | x | x |
Привязать пару ключей | x | x |
Отвязать пару ключей | x | x |
Related Links
- What Is IAM
- Предоставляются два типа политик разрешений по умолчанию: политики по умолчанию и пользовательские политики. Политики по умолчанию предопределены IAM и не могут быть изменены. Если политики по умолчанию не соответствуют вашим требованиям, вы можете создать пользовательские политики для детализированного контроля разрешений.
- Настройте политики разрешений для группы пользователей и добавьте пользователей в группу, чтобы они могли получить операционные разрешения, определённые в политике.