Documentación de Oracle Cloud Infrastructure

Referencia de políticas

Obtenga una visión general de los temas de referencia de políticas de IAM, incluidos los verbos, los tipos de recursos y las variables generales.

Esta referencia incluye:

Para obtener instrucciones sobre cómo crear y gestionar políticas mediante la consola o la API, consulte Visión general del trabajo con políticas.

Verbos

Los verbos se incluyen en orden de menor a mayor grado de capacidad. El significado exacto de cada verbo depende del tipo de recurso con el que está emparejado. En las tablas posteriores de esta sección se muestran las operaciones de API cubiertas por cada combinación de verbo y tipo de recurso.

Verbo Usuario de destino Tipos de acceso cubiertos
inspect Auditores de terceros Capacidad para mostrar recursos, sin acceso a información confidencial o metadatos especificados por el usuario que pueden formar parte de ese recurso. Importante: la operación para mostrar las políticas incluye el contenido de las propias políticas. Las operaciones de listas para los tipos de recursos de redes devuelven toda la información (por ejemplo, el contenido de las listas de seguridad y las tablas de rutas).
read Auditores internos Incluye inspect y la capacidad de obtener metadatos especificados por el usuario y el propio recurso.
use Usuarios finales diarios de recursos Incluye read y la capacidad de trabajar con recursos existentes (las acciones varían según el tipo de recurso). Incluye la capacidad de actualizar el recurso, excepto los tipos de recursos en los que la operación "update" tiene el mismo efecto que la operación "create" (por ejemplo, UpdatePolicy, UpdateSecurityList y más), en cuyo caso la capacidad "update" solo está disponible con el verbo manage. En general, este verbo no incluye la capacidad de crear o suprimir ese tipo de recurso.
manage Administradores Incluye todos los permisos para el recurso.

Tipos de recursos

A continuación, se muestran algunos tipos de recursos familiares comunes. Para ver los tipos de recursos individuales que forman cada familia, siga los enlaces.

IAM no tiene tipos de recurso family, solo individuales. Consulte Visión general de las políticas de IAM o Detalles de IAM sin dominios de identidad, en función de si su arrendamiento tiene dominios de identidad o no.

Variables generales para todas las solicitudes

Se utilizan variables al agregar condiciones a una política. Para obtener más información, consulte Condiciones. Estas son las variables generales aplicables a todas las solicitudes.

Nombre Tipo Descripción
request.user.id Entidad (OCID) OCID del usuario solicitante.
request.user.name Cadena Nombre del usuario solicitante.
request.user.mfaTotpVerified Booleana

Verifica si el usuario ha sido verificado mediante autenticación multifactor (MFA). Para restringir el acceso solo a usuarios verificados mediante MFA, agregue la condición

where request.user.mfaTotpVerified='true'

Consulte Gestión de autenticación multifactor para obtener información sobre la configuración de MFA.
request.groups.id Lista de entidades (OCID) Los OCID de los grupos en los que está el usuario solicitante.
request.permission Cadena El permiso subyacente que se solicita (consulte Permisos).
request.operation Cadena El nombre de la operación de API que se solicita (por ejemplo, ListUsers).
request.networkSource.name Cadena Nombre del grupo de orígenes de red que especifica las direcciones IP permitidas desde las que puede proceder la solicitud. Consulte Gestión de orígenes de red para obtener más información.
request.utc-timestamp Cadena Hora UTC a la que se envía la solicitud, especificada en formato ISO 8601. Consulte Restricción del acceso a los recursos en función del marco temporal para obtener más información.
request.utc-timestamp.month-of-year Cadena Mes en el que se envía la solicitud especificado en formato numérico ISO 8601 (por ejemplo, '1', '2', '3', ... '12'). Consulte Restricción del acceso a los recursos en función del marco temporal para obtener más información.
request.utc-timestamp.day-of-month Cadena Día del mes en el que se envía la solicitud especificado en formato numérico: '1' - '31'. Consulte Restricción del acceso a los recursos en función del marco temporal para obtener más información.
request.utc-timestamp.day-of-week Cadena Día de la semana en el que se envía la solicitud especificado en inglés (por ejemplo, 'Monday', 'Tuesday', 'Wednesday', etc.) Consulte Restricción del acceso a los recursos en función del marco temporal para obtener más información.
request.utc-timestamp.time-of-day Cadena Intervalo de tiempo UTC durante el cual se envía la solicitud en formato ISO 8601 (por ejemplo, '01:00:00Z' Y '02:01:00Z'). Consulte Restricción del acceso a los recursos en función del marco temporal para obtener más información.
request.region Cadena

La clave de 3 letras de la región en la que se realiza la solicitud. Los valores permitidos son:

Nota: Para las políticas de cuota, se debe especificar el nombre de región en lugar de los siguientes valores de clave de 3 letras. Consulte también Cuotas de ejemplo para obtener más información.

  • AMS: se usa para Noroeste de Países Bajos (Ámsterdam)
  • ARN: se utiliza para Suecia central (Estocolmo)
  • AUH: se utiliza para Emiratos Árabes Unidos central (Abu Dabi)
  • BEG - uso para Serbia Central (Jovanovac)
  • BOG - uso para Colombia Central (Bogotá)
  • BOM - usar para Oeste de India (Mumbai)
  • CDG: se utiliza para Francia Central (París)
  • CWL: se utiliza para Oeste de Reino Unido (Newport)
  • DXB: se utiliza para Emiratos Árabes Unidos oriental (Dubái)
  • FRA - usar para Centro de Alemania (Fráncfort)
  • GRU - uso para Este de Brasil (São Paulo)
  • HYD: se utiliza para Sur de India (Hyderabad)
  • IAD - usar para Este de EE. UU. (Ashburn)
  • ICN: - se usa para Centro de Corea del Sur (Seúl)
  • JED: se utiliza para Oeste de Arabia Saudí (Yidda)
  • JNB: se utiliza para Centro de Sudáfrica (Johannesburgo)
  • KIX: se usa para Centro de Japón (Osaka)
  • LHR - se usa para Sur de Reino Unido (Londres)
  • LIN: se utiliza para Italia noroccidental (Milán)
  • MAD - uso para el centro de España (Madrid)
  • MEL: se usa para Sureste de Australia (Melbourne)
  • MRS: se utiliza para Sur de Francia (Marsella)
  • MTY - uso para el noreste de México (Monterrey)
  • MTZ: se utiliza para Centro de Israel (Jerusalén)
  • NRT - se usa para Este de Japón(Tokio)
  • ORD: uso para el medio oeste de EE. UU. (Chicago)
  • PHX - se usa para Oeste de EE. UU. (Phoenix)
  • QRO: se usa para Centro de México (Querétaro)
  • RUH: uso para Saudi Arabia Central (Riyadh)
  • SCL: uso para Chile central (Santiago)
  • SIN: se utiliza para Singapur (Singapur)
  • SJC: se utiliza para Oeste de EE. UU. (San José)
  • SYD - se usa para Este de Australia (Sídney)
  • VAP - uso para Chile Oeste (Valparaíso)
  • VCP: se utiliza para Sureste de Brasil (Vinhedo)
  • XSP: uso para el oeste de Singapur (Singapur)
  • YNY: se utiliza para Norte de Corea del Sur (Chuncheon)
  • YUL: se usa para Sureste de Canadá (Montreal)
  • YYZ - se usa para Sureste de Canadá (Toronto)
  • ZRH - se usa para Norte de Suiza (Zúrich)
request.ad Cadena El nombre del dominio de disponibilidad en el que se realiza la solicitud. Para obtener una lista de nombres de dominio de disponibilidad, utilice la operación ListAvailabilityDomains.
request.principal.compartment.tag Cadena Se evalúan las etiquetas aplicadas al compartimento al que pertenece el recurso de solicitud para buscar una coincidencia. Para obtener instrucciones de uso, consulte Uso de etiquetas para gestionar el acceso.
request.principal.group.tag Cadena Las etiquetas aplicadas a los grupos a los que pertenece el usuario se evalúan para buscar una coincidencia. Para obtener instrucciones de uso, consulte Uso de etiquetas para gestionar el acceso.
target.compartment.name Cadena El nombre del compartimento especificado en target.compartment.id.
target.compartment.id Entidad (OCID)

El OCID del compartimento que contiene el recurso principal.

Nota: target.compartment.id y target.compartment.name no se pueden utilizar con una operación de API "List" para filtrar la lista según el acceso del usuario solicitante al compartimento.

target.resource.compartment.tag Cadena  Se evalúa la etiqueta aplicada al compartimento de destino de la solicitud. Para obtener instrucciones de uso, consulte Uso de etiquetas para gestionar el acceso.
target.resource.tag Cadena  Se evalúa la etiqueta aplicada al recurso de destino de la solicitud. Para obtener instrucciones de uso, consulte Uso de etiquetas para gestionar el acceso.