Управление разрешениями
С помощью сервиса Identity and Access Management можно создавать IAM-пользователей и предоставлять им различные разрешения на управление доступом к ресурсам NAT-шлюза.
Например, разработчику программного обеспечения необходимо создавать и просматривать NAT-шлюзы, но он не должен удалять их или выполнять какие-либо операции с высоким риском. В этом случае создается IAM-пользователь для разработчика и назначается роль и политика, которые необходимы для NAT-шлюзов.
По умолчанию у новых IAM-пользователей нет разрешений на работу с сервисом. Необходимо добавить пользователя в одну или несколько групп и назначить политики и роли для этих групп. Затем пользователь получает разрешения от групп, в которых он состоит. Этот процесс называется авторизацией. После авторизации пользователь может выполнять операции с облачными ресурсами на основе разрешений.
IAM предоставляет два типа политик:
Fine-grained (детальная). Состоит из разрешений на основе API для операций с определенными типами ресурсов. Обеспечивает более детальный контроль, чем RBAC.
Описание политик:
NAT Admin — все операции с ресурсами NAT-шлюза.
NAT Viewer — разрешение read-only для всех ресурсов NAT-шлюза.
RBAC. Пользователю в группе с назначенной политикой RBAC предоставляются все разрешения, необходимые для этого сервиса, например, разрешения на изменение.
Описание политики:
NAT Gateway Administrator — все операции с ресурсами NAT-шлюза. Для этой политики пользователь также должен иметь разрешение Tenant Guest.
Операция |
NAT Admin |
NAT Viewer |
NAT Gateway Administrator |
|---|---|---|---|
Создание NAT-шлюза |
✓ |
✕ |
✓ |
Просмотр NAT-шлюза |
✓ |
✓ |
✓ |
Просмотр деталей NAT-шлюза |
✓ |
✓ |
✓ |
Изменение NAT-шлюза |
✓ |
✕ |
✓ |
Удаление NAT-шлюза |
✓ |
✕ |
✓ |
Создание группы пользователей
Выберите .
В меню слева выберите User Groups и нажмите Create User Group.
Задайте название и (опционально) описание для пользовательской группы и нажмите ОК. Новая группа пользователей появится в списке.
Чтобы добавить права доступа группе, в строке с группой нажмите .
На вкладке Permissions нажмите Assign Permissions.
В блоке Scope выберите .
В блоке Permissions выберите нужные роли из таблицы.
Нажмите ОК.
Создание и добавление пользователя в группу
В меню слева выберите раздел Users и нажмите Create User.
Укажите имя пользователя, адрес электронной почты, (опционально) номер мобильного телефона и описание.
В блоке Access Type выберите тип доступа:
Programmatic access — ключ доступа позволяет использовать средства разработки (включая API, CLI и SDK), поддерживающие проверку подлинности ключей для доступа к облачным сервисам.
Management console access — пароль применяется для входа в консоль управления.
При активации Management console access выберите один из типов пароля:
Set now — нужно указать и подтвердить новый пароль в полях ниже. При включении опции Require password reset at first login пользователь должен будет изменить пароль на новый при первом входе в систему.
Automatically generated — пароль будет автоматически сгенерирован системой и отправлен на электронную почту пользователя.
Set by user — на указанную ниже электронную почту пользователя будет отправлен одноразовый URL-адрес. Когда пользователь нажмет на данную ссылку, он сможет указать свой пароль для входа в консоль.
Login Protection — при подключении этой функции пользователю дополнительно потребуется ввести проверочный код.
Нажмите Next.
Выберите из списка доступных групп пользователей нужную группу и нажмите Create.
Пользователь создан и добавлен в группу.
для Dev & Test