Облачная платформаAdvanced

Управление разрешениями

Язык статьи: Русский
Показать оригинал
Страница переведена автоматически и может содержать неточности. Рекомендуем сверяться с английской версией.

Если вы хотите назначить различным сотрудникам предприятия разные разрешения доступа к ресурсам DEW, приобретённым на облачной платформе, вы можете использовать Identity and Access Management (IAM) для выполнения детального управления разрешениями. IAM предоставляет аутентификацию, управление разрешениями и контроль доступа, помогая вам безопасно получать доступ к ресурсам облачных сервисов.

С помощью IAM вы можете использовать свою учётную запись для создания IAM‑пользователей для своих сотрудников и предоставлять разрешения для контроля их доступа к определённым типам ресурсов. Например, некоторым разработчикам программного обеспечения в вашем предприятии необходимо использовать ресурсы DEW, но им запрещено удалять их или выполнять какие‑либо операции высокого риска. Чтобы добиться этого, вы можете создать IAM‑пользователей для разработчиков и предоставить им только те разрешения, которые необходимы для использования ресурсов DEW.

Если системная учётная запись удовлетворяет вашим требованиям и вам не требуется создавать отдельного IAM‑пользователя для контроля разрешений, вы можете пропустить этот раздел. Это не повлияет на другие функции DEW.

Разрешения DEW

По умолчанию новые IAM пользователи не имеют назначенных разрешений. Вам нужно добавить пользователя в одну или несколько групп и прикрепить политики разрешений или роли к этим группам. Пользователи наследуют разрешения от своих групп и могут выполнять указанные операции в облачных сервисах на основе разрешений.

DEW — это сервис уровня проекта, развернутый и доступный в определённых физических регионах. Чтобы назначить разрешения группе пользователей, укажите область как проекты, привязанные к региону, и выберите проекты, для которых разрешения вступят в силу. If Все проекты выбрано, разрешения вступят в силу для группы пользователей во всех проектах, привязанных к региону. Пользователям необходимо переключиться на авторизованный регион при доступе к KMS.

Вы можете предоставлять пользователям разрешения, используя роли и политики.

  • Роли: тип механизмов авторизации с грубым уровнем детализации, определяющий разрешения, связанные с обязанностями пользователя. Этот механизм предоставляет только ограниченное количество ролей уровня сервисов для авторизации. При использовании ролей для предоставления разрешений необходимо также назначать другие роли, от которых зависят разрешения, чтобы они вступили в силу. Однако роли не являются идеальным выбором для детализированной авторизации и безопасного контроля доступа.
  • Политики: Тип механизма детализированной авторизации, который определяет разрешения, необходимые для выполнения операций над конкретными облачными ресурсами при определённых условиях. Этот механизм позволяет более гибкую авторизацию на основе политик, отвечая требованиям безопасного контроля доступа. Например, вы можете предоставить пользователям KMS только разрешения для управления определённым типом облачных серверов. Большинство политик содержат разрешения для конкретных API, а разрешения определяются с использованием действий API.

Для получения подробностей см. Таблица 1, Таблица 2, и Таблица 3.

Таблица 1 Системно-определённые роли и политики, поддерживаемые KMS

Роль/Политика

Описание

Тип

KMS Administrator

Разрешения администратора для ключа шифрования

Роль

KMS CMKFullAccess

Все разрешения для ключей шифрования

Политика

KMS CMKReadOnlyAccess

Разрешение только для чтения ключей шифрования

Политика

Таблица 2 Политики системы KPS

Роль/Политика

Описание

Тип

Зависимость

DEW KeypairFullAccess

Все разрешения для KPS. Пользователи с этими разрешениями могут выполнять все операции, разрешённые политиками.

Политика

Нет

DEW KeypairReadOnlyAccess

Разрешения только для чтения KPS в DEW. Пользователи с этим разрешением могут только просматривать данные KPS.

Политика

Нет

Таблица 3 политики системы CSMS

Роль/Политика

Описание

Тип

Зависимость

CSMS FullAccess

Все разрешения CSMS в DEW. Пользователи с этими разрешениями могут выполнять все операции, разрешённые политиками.

Политика

Нет

CSMS ReadOnlyAccess

Разрешения только для чтения CSMS в DEW. Пользователи с этими разрешениями могут выполнять все операции, разрешённые политиками.

Политика

Нет

Таблица 4 Содержит список общих операций, поддерживаемых каждым системно-определённым разрешением DEW. Выберите разрешения по мере необходимости.

Таблица 4 Общие операции, поддерживаемые каждой системно-определённой политикой или ролью

Операция

KMS Администратор

KMS CMKFullAccess

Создать ключ

Включить ключ

Отключить ключ

Запланировать удаление ключа

Отменить запланированное удаление ключа

Изменить псевдоним ключа

Изменить описание ключа

Сгенерировать случайное число

Создать DEK

Создать DEK без plaintext

Зашифровать DEK

Расшифровать DEK

Получить параметры импорта ключа

Импортировать материалы ключа

Удалить материалы ключа

Запрос списка грантов

Запрос отзываемых грантов

Шифрование данных

Расшифрование данных

Запрос экземпляров CMK

Запрос списка ключей

Запрос деталей ключа

Запрос количества экземпляров

Запрос квот

Запрос списка пар ключей

x

x

Создать или импортировать пару ключей

x

x

Запрос пар ключей

x

x

Удалить пару ключей

x

x

Обновить описание пары ключей

x

x

Привязать пару ключей

x

x

Отвязать пару ключей

x

x

Связанные ссылки

  • Что такое IAM?
  • По умолчанию предоставляются два типа политик разрешений: политики по умолчанию и пользовательские политики. Политики по умолчанию заранее определены IAM и не могут быть изменены. Если политики по умолчанию не соответствуют вашим требованиям, вы можете создать пользовательские политики для детального контроля разрешений.
  • Настройте политики разрешений для группы пользователей и добавьте пользователей в группу, чтобы эти пользователи могли получить операционные разрешения, определённые в политиках.
Родительская тема: Обзор сервиса
Предыдущая статья
Механизм защиты персональных данных
Следующая статья
Сопутствующие услуги
Поддержка Юридические документы Политика конфиденциальности
© 2026 Cloud.ru