Cómo utilizar las políticas IAM desde el área de cliente

Objetivo

Esta guía explica cómo proporcionar derechos de acceso específicos a los usuarios de una cuenta de OVHcloud.

La gestión de los accesos de OVHcloud se basa en un sistema de gestión de políticas. Es posible escribir diferentes políticas que den acceso a los usuarios a funcionalidades específicas en los productos asociados a una cuenta de OVHcloud.

En detalle, una política contiene:

• Una o varias identidades incluidas en esta política.
  • Pueden ser identificadores de cuenta, de usuario o de grupo de usuarios (como los utilizados en Federation - hay disponibles otras guías SSO).
• Uno o varios recursos afectados por esta política.
  • Un recurso es un producto de OVHcloud al que afectará esta política (un dominio, un servidor Nutanix, un Load Balancer, etc.).
• Una o más acciones autorizadas o excluidas por esta política.
  • Las acciones son los derechos específicos afectados por esta política (reinicio de un servidor, creación de una cuenta de correo, baja de una suscripción, etc.)

Por ejemplo, podemos crear una política para dar a un usuario llamado John, para un VPS, acceso a la acción «reiniciar».

Esta guía explica cómo declarar estas políticas desde el área de cliente de OVHcloud y cómo hacer un listado de las identidades, recursos y acciones disponibles para estas políticas.

Requisitos

• Tener una cuenta de OVHcloud
• Saber gestionar los usuarios de la cuenta
• Uno o varios productos de OVHcloud asociados a esta cuenta de OVHcloud (Load Balancer, dominio, VPS, etc.)

Acceso al área de cliente de OVHcloud

• Enlace directo: IAM Policies
• Ruta de navegación: Identidad, seguridad y operaciones > Políticas

Procedimiento

Acceder al menú IAM

Abra la página Políticas IAM.

Si es la primera vez que accede a este menú, aparecerá la siguiente página:

Haga clic directamente en Crear una política o en Crear usuarios, en función de la acción que desee realizar.

Si ya ha creado políticas o usuarios, los encontrará en la primera pestaña Mis políticas. La pestaña Políticas de OVHcloud incluye las políticas no modificables creadas automáticamente por OVHcloud.

Cada política se muestra con su nombre, el número de identidades asociadas y el número de acciones que contiene.

Gestión de políticas

Crear una política

Haga clic en el botón Crear una política.

Aparecerá el siguiente formulario:

• Nombre de la política (obligatorio): Nombre que aparecerá en las interfaces. El nombre debe ser único y no debe contener espacios.
• Identidades : Seleccione las identidades a las que se refiere esta política. Es posible tener como destino más de un tipo de identidad.
• Tipos de productos: seleccione los tipos de producto para definir el ámbito de aplicación de la política. Se pueden incluir uno o varios tipos de producto en la misma política.
• Recursos: añada recursos o grupos de recursos para cubrir la política. Los recursos disponibles se filtran por tipo de producto previamente seleccionado.
• Acciones.

Hay 4 maneras de agregar acciones:

1 - Activar la opción "Permitir todas las acciones"

Al activar esta opción, autoriza todas las acciones relacionadas con los productos seleccionados. Esto incluye todas las acciones existentes, así como las acciones que se añadan en el futuro para estas categorías de productos.

2 - Seleccionar un grupo de permisos administrados

OVHcloud pone a su disposición grupos de permisos preconfigurados y administrados. Puede seleccionar uno o varios grupos seleccionándolos de la lista disponible.

Los detalles del contenido de los grupos de permisos administrados están disponibles en la documentación asociada.

Los grupos de acciones administradas se pueden utilizar como complemento de las acciones unitarias.

3 - Añadir manualmente acciones

Si conoce el nombre de la acción, puede agregarla manualmente.

Puede utilizar una wildcard al principio o al final del nombre de la acción con *.

Por ejemplo, la adición de vps:apiovh:ips/* concederá los siguientes permisos:

• vps:apiovh:ips/edit
• vps:apiovh:ips/delete
• vps:apiovh:ips/get

4 - Seleccionar acciones de la lista

Se pueden seleccionar acciones de la lista.

Las acciones disponibles dependen del tipo de recurso y pertenecen a una de las siguientes cinco categorías:

• Read: enumera los productos y muestra la información relativa a los mismos (p. ej., enumera una IP VPS).
• Create: acción que permite crear algo nuevo en un producto (p. ej., crear un tíquet de soporte).
• Delete: acción que permite eliminar algo de un producto (p. ej., eliminar una instancia de Public Cloud).
• Edit: acción para modificar un elemento existente en un producto (p. ej., modificar la ruta TCP de un Load Balancer).
• Operate: aplicar cambios en la infraestructura del producto (p. ej., reiniciar un servidor dedicado).

Hay un campo de búsqueda disponible para ayudarle a identificar una acción específica en la lista.

Condiciones sobre las políticas

Es posible añadir condiciones a las políticas IAM.

Una política con condiciones es válida cuando todas las condiciones se validan.

Es posible aplicar condiciones sobre:

• una etiqueta del recurso;
• el nombre del recurso;
• el tipo de producto;
• la dirección IP de la solicitud;
• el día de la semana;
• la fecha;
• la hora.

Una vez agregadas, las condiciones se muestran con la sintaxis utilizada en la API

Modificar una política

Para modificar una política existente, haga clic en el botón ... a la derecha de la política y luego en Modificar la política.

A continuación, puede modificar el alcance de la política.

Eliminar una política

Para eliminar una política existente, haga clic en el botón ... a la derecha de la política y luego en Eliminar la política.

Aparecerá una ventana emergente en la que deberá confirmar la eliminación.

Casos de políticas dirigidas a otras cuentas de cliente de OVHcloud

Las directivas de acceso pueden dirigirse a otras cuentas de cliente. La cuenta receptora de esta política podrá gestionar los derechos así recibidos en sus propias políticas de acceso, pero nunca podrá sobrepasar los derechos tal como se definen en la política de acceso.

Por ejemplo, una cuenta xx111-ovh que concede permisos vps:apiovh:ips/* a la cuenta xx222-ovh. La cuenta xx222-ovh podrá conceder el derecho vps:apiovh:ips/delete a sus propios usuarios, pero no podrá conceder el derecho vps:apiovh:reboot.

El acceso al soporte quedará reservado a la cuenta propietaria del recurso.

Gestión de identidades

Para gestionar las identidades disponibles para las políticas, acceda al menú Identidad, Seguridad y Operaciones y, a continuación, a la sección Identidades.

Para más información sobre la gestión de usuarios, consulte la documentación dedicada.

Gestión de grupos de recursos

Las políticas pueden dirigirse a grupos de recursos (en lugar de dirigirse directamente a los recursos). Estos grupos de recursos pueden montar recursos de diferentes productos, por ejemplo, para configurar un entorno de prueba.

Crear un grupo de recursos

Para crear un grupo de recursos, vaya a la sección Políticas y haga clic en la pestaña Grupos de recursos:

Haga clic en Crear grupo de recursos.

• Nombre del grupo de recursos: Nombre que aparecerá en las interfaces. El nombre debe ser único y no debe contener espacios.
• Tipos de productos: lista de tipos de producto que se incluyen en este grupo de recursos.
• Recursos: Lista de recursos que contendrá el grupo.

Editar un grupo de recursos

Para editar un grupo de recursos, haga clic en el nombre del grupo en la lista.

Eliminar un grupo de recursos

Para eliminar un grupo de recursos existente, haga clic en el botón ... a la derecha del grupo y luego en Eliminar grupo de recursos.

Aparecerá una ventana emergente en la que deberá confirmar la eliminación.

Más información

Interactúe con nuestra comunidad de usuarios.