Documentación de Oracle Cloud Infrastructure

Introducción a las políticas

Si no está familiarizado con las políticas de Oracle Cloud Infrastructure Identity and Access Management (IAM), este tema proporciona información sobre cómo proceder.

Si va a realizar una prueba de concepto

Si solo está probando Oracle Cloud Infrastructure o está realizando un proyecto de prueba de concepto con recursos de infraestructura, puede que solo necesite unos pocos administradores con acceso completo a todo. En ese caso, basta con crear los nuevos usuarios que necesite y agregarlos al grupo Administradores. Los usuarios podrán realizar cualquier acción con cualquier tipo de recurso. Asimismo, puede crear todos sus recursos directamente en el arrendamiento (el compartimento raíz). Todavía no necesita crear compartimentos ni ninguna otra política, excepto la política de administración de arrendatario, que se incluye automáticamente con su arrendamiento y no se puede cambiar.

Nota

No olvide agregar sus nuevos usuarios al grupo Administradores. Es fácil olvidarse de hacerlo después de crearlos.

Si ya ha pasado la fase de prueba de concepto

Si ya ha pasado la fase de prueba de concepto y desea restringir el acceso a sus recursos, primero:

Preguntas frecuentes de políticas

¿A qué servicios de Oracle Cloud Infrastructure puedo controlar el acceso mediante políticas?

A todos ellos, incluido el propio IAM. Puede encontrar detalles específicos para la escritura de políticas para cada servicio en la Visión general de las políticas de IAM.

¿Los usuarios pueden llevar a cabo alguna acción sin que un administrador escriba previamente una política?

Sí. Todos los usuarios pueden realizar automáticamente las siguientes tareas sin una política explícita:

  • Cambiar o restablecer su propia contraseña de consola.
  • Gestionar sus propias claves de firma de API y otras credenciales.
¿Por qué debo separar los recursos por compartimento? ¿No podría colocar todos los recursos en un compartimento y, a continuación, utilizar políticas para controlar quién tiene acceso a cada recurso?

Puede colocar todos sus recursos en un solo compartimento y utilizar políticas para controlar el acceso, pero entonces perdería las ventajas de medir el uso y la facturación por compartimento, la administración simple de políticas a nivel de compartimento y la separación clara de recursos entre proyectos o unidades de negocio.

¿Puedo controlar o denegar el acceso a un usuario individual?

Sí. Sin embargo, algunos aspectos que hay que conocer primero:

  • Las grandes empresas suelen tener varios usuarios que necesitan permisos similares, por lo que las políticas están diseñadas para proporcionar acceso a grupos de usuarios, no a usuarios individuales. Un usuario obtiene acceso por el hecho de estar en un grupo.
  • Las políticas están diseñadas para permitir el acceso. No hay ninguna "denegación" explícita al escribir una política.

Si necesita otorgar acceso a un usuario determinado, puede agregar una condición a la política que especifique el OCID del usuario en una variable. Esta construcción restringe el acceso otorgado en la política solo al usuario especificado en la condición. Por ejemplo:

allow any-group to read object-family in compartment ObjectStorage where request.user.id ='ocid1.user.oc1..<user_OCID>'

Para obtener más información sobre el uso de condiciones y variables en políticas, consulte Condiciones.

Si necesita restringir el acceso de un usuario concreto, puede:

  • Eliminar al usuario del grupo de interés concreto
  • Suprimir por completo de IAM al usuario (primero deberá eliminar al usuario de todos los grupos)
¿Cómo puedo suprimir un usuario?

Asegúrese primero de que el usuario no está en ningún grupo. Solo entonces podrá suprimir el usuario.

¿Cómo puedo saber qué políticas se aplican a un grupo o usuario concretos?

Deberá examinar las sentencias individuales de todas sus políticas para ver las sentencias que se aplican a cada grupo. Actualmente no hay una forma sencilla de obtener esta información.

¿Cómo puedo saber qué políticas se aplican a un compartimento concreto?

Debe consultar las sentencias individuales en todas las políticas del arrendamiento para ver si alguna se aplica al compartimento concreto. También debe consultar las políticas del compartimento en sí. Las políticas de los compartimentos hermanos no pueden hacer referencia al compartimento de interés, por lo que no necesita comprobar esas políticas.