O que é o IAM?
O Identity and Access Management (IAM) é o serviço de controle de acesso da Huawei Cloud. Ele permite criar e gerenciar usuários, grupos e permissões, definindo quem pode acessar quais recursos e com quais ações.
O IAM é equivalente ao AWS IAM. É um serviço gratuito e fundamental para a segurança de qualquer conta Huawei Cloud.
Conceitos fundamentais
| Conceito | Descrição |
|---|---|
| Account (Conta raiz) | Conta principal criada no cadastro. Tem acesso total. Não deve ser usada no dia a dia. |
| IAM User | Usuário criado dentro da conta para pessoas ou aplicações. Tem credenciais próprias. |
| User Group | Agrupa usuários com as mesmas permissões. Facilita o gerenciamento em escala. |
| Policy (Política) | Documento JSON que define permissões (Allow/Deny) sobre recursos e ações. |
| Agency (Função/Role) | Permite que um serviço ou conta assuma permissões temporárias. Equivalente ao IAM Role da AWS. |
| Project | Unidade de isolamento de recursos dentro de uma região. Permite separar ambientes (dev, prod). |
Tipos de políticas
- System-defined policies: políticas pré-criadas pela Huawei Cloud (ex: FullAccess, ReadOnlyAccess). Não podem ser editadas.
- Custom policies: políticas criadas pelo administrador com permissões específicas. Máximo controle granular.
- Fine-grained policies: controle por ação específica de API (ex: permitir apenas listar buckets OBS, sem criar ou deletar).
Princípio do menor privilégio
O IAM implementa o Principle of Least Privilege (PoLP): cada usuário ou serviço deve ter apenas as permissões mínimas necessárias para realizar seu trabalho. Isso reduz o impacto de credenciais comprometidas.
- Nunca use a conta raiz para operações do dia a dia
- Crie usuários IAM individuais para cada pessoa
- Use grupos para gerenciar permissões em escala
- Revise e remova permissões não utilizadas periodicamente
MFA — Autenticação Multifator
O IAM suporta MFA (Multi-Factor Authentication) para adicionar uma camada extra de segurança. Além da senha, o usuário precisa de um código gerado por um aplicativo autenticador (ex: Google Authenticator).
- Recomendado obrigatoriamente para a conta raiz
- Pode ser exigido por política para todos os usuários IAM
- Suporta TOTP (Time-based One-Time Password)
IAM vs AWS IAM
| Conceito | Huawei Cloud IAM | AWS IAM |
|---|---|---|
| Usuário | IAM User | IAM User |
| Grupo | User Group | IAM Group |
| Permissão | Policy | Policy |
| Função temporária | Agency | IAM Role |
| Conta raiz | Account | Root Account |
| Isolamento de recursos | Project | Account / OU |
| Acesso programático | Access Key + Secret Key | Access Key + Secret Key |
Casos de uso
- Criar usuários separados para cada membro da equipe
- Dar ao time de desenvolvimento acesso somente a ECS e RDS, sem acesso a faturamento
- Permitir que o serviço FunctionGraph acesse o OBS automaticamente via Agency
- Separar ambientes de desenvolvimento e produção usando Projects
- Auditar quem fez o quê usando CTS (Cloud Trace Service) integrado ao IAM
🎯 Pontos importantes para o exame HCIA
- IAM é gratuito — não há cobrança pelo serviço em si
- A conta raiz (Account) tem acesso total e não deve ser usada no dia a dia
- Agency é o equivalente ao IAM Role da AWS — permite acesso temporário entre serviços
- Políticas são documentos JSON com Effect (Allow/Deny), Action e Resource
- O Princípio do Menor Privilégio é a base da segurança IAM
- MFA deve ser habilitado na conta raiz obrigatoriamente
- IAM é um serviço global — não pertence a uma região específica