Gestión de grupos dinámicos
En este tema, se describe cómo gestionar grupos dinámicos y definir las reglas para determinar los miembros de un grupo dinámico.
Acerca de los grupos dinámicos
Los grupos dinámicos permiten agrupar instancias informáticas de Oracle Cloud Infrastructure como actores "principales" (de manera similar a los grupos de usuarios). A continuación, puede crear políticas para permitir que las instancias realicen llamadas de API a los servicios de Oracle Cloud Infrastructure. Al crear un grupo dinámico, en lugar de agregar miembros explícitamente al grupo, define un conjunto de reglas de coincidencia para definir los miembros del grupo. Por ejemplo, una regla puede especificar que todas las instancias de un compartimento concreto sean miembros del grupo dinámico. Los miembros pueden cambiar de forma dinámica a medida que se inician y terminan instancias en ese compartimento.
Política de IAM necesaria
Si está en el grupo Administradores, tendrá el acceso necesario para gestionar grupos dinámicos.
Si no está familiarizado con las políticas, consulte Introducción a las políticas y Políticas comunes. Si desea obtener más información sobre la escritura de políticas para grupos dinámicos u otros componentes de IAM, consulte Detalles de IAM sin dominios de identidad.
Etiquetado de recursos
Puede aplicar etiquetas a los recursos para facilitar su organización según las necesidades de su negocio. Aplique las etiquetas al crear un recurso o actualice el recurso más tarde con las etiquetas que desee. Para obtener información general sobre la aplicación de etiquetas, consulte Etiquetas de recursos.
Trabajar con grupos dinámicos
Al crear un grupo dinámico, debe proporcionar un nombre único no modificable para el grupo dinámico. El nombre debe ser único en todos los grupos de su arrendamiento. También debe dotar al grupo dinámico de una descripción (aunque puede ser una cadena vacía), que es una descripción no única y modificable. Oracle también asignará al grupo un ID único denominado Oracle Cloud ID (OCID). Para obtener más información, consulte Identificadores de recursos.
Si suprime un grupo dinámico y, a continuación, crea otro grupo dinámico con el mismo nombre, se considerarán grupos diferentes porque tendrán diferentes OCID.
Un grupo dinámico no tiene permisos hasta que se escribe al menos una política que proporcione ese permiso de grupo dinámico para el arrendamiento o compartimento. Al escribir la política, puede especificar el grupo dinámico mediante el nombre único o el OCID del grupo dinámico. De acuerdo con la nota anterior, incluso si especifica el nombre de grupo dinámico en la política, IAM utiliza internamente el OCID para determinar el grupo dinámico. Para obtener más información sobre la escritura de políticas, consulte Gestión de políticas.
Puede suprimir un grupo dinámico, pero solo si el grupo está vacío.
Actualización de grupos dinámicos
Puede actualizar las reglas de coincidencia que definen los miembros de un grupo dinámico. Por ejemplo, puede cambiar una regla de coincidencia que incluya todas las instancias de un compartimento para excluir una instancia concreta. O bien, puede actualizar una regla para incluir un nuevo valor de etiqueta.
Cuando realice un cambio en una regla de coincidencia, debe dejar que pase alrededor de una hora para que se aplique la política actualizada. Por ejemplo, si actualiza etiquetas en una instancia para incluir o excluir esa instancia de un grupo dinámico, debe esperar a que dicha política se aplique para incluirla o excluirla.
Límite de grupos dinámicos
Una única instancia informática puede pertenecer a un máximo de 5 grupos dinámicos.
Puede tener un máximo de 50 grupos dinámicos en su arrendamiento.
Uso de la consola
- Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Dominios. En Dominio de identidad, haga clic en Grupos dinámicos.
- Haga clic en Crear grupo dinámico.
- Introduzca lo siguiente:
- Nombre: nombre único para el grupo. El nombre debe ser único en todos los grupos de su arrendamiento (grupos dinámicos y grupos de usuarios). No podrá cambiarlo más tarde. Evite introducir información confidencial.
- Descripción: una descripción fácil de recordar.
- Introduzca las reglas de coincidencia. Los recursos que cumplen los criterios de reglas son miembros del grupo.
- Regla 1: introduzca una regla siguiendo las directrices de Escritura de reglas de coincidencia para definir grupos dinámicos. Puede introducir manualmente la regla en el cuadro de texto o iniciar el creador de reglas.
Introduzca reglas adicionales según sea necesario. Para agregar una regla, haga clic en +Regla adicional.
- Si tiene permisos para crear un recurso, también los tiene para aplicar etiquetas de formato libre a ese recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si aplicar etiquetas, omita esta opción o pregunte a un administrador. Puede aplicar etiquetas más tarde.
-
Haga clic en Crear grupo dinámico.
Se verifica la sintaxis de la regla de coincidencia, pero no los OCID. Asegúrese de que los OCID introducidos sean correctos.
A continuación, para otorgar permisos de grupo dinámico, debe escribir una política. Consulte Escritura de políticas para grupos dinámicos.
- Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Dominios. En Dominio de identidad, haga clic en Grupos dinámicos. Se mostrará una lista de los grupos dinámicos de su arrendamiento.
- Localice el grupo dinámico en la lista.
- Para el grupo dinámico que desea suprimir, haga clic en Suprimir.
- Confirme cuando se le solicite.
- Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Dominios. En Dominio de identidad, haga clic en Grupos dinámicos. Se mostrará una lista de los grupos de su arrendamiento.
- Haga clic en el grupo dinámico que desea actualizar. Se mostrarán los detalles del grupo dinámico.
- Haga clic en Editar grupo dinámico.
- Edite la descripción. Cuando haya terminado, haga clic en Crear.
- Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Dominios. En Dominio de identidad, haga clic en Grupos dinámicos. Se mostrará una lista de los grupos dinámicos de su arrendamiento.
- Haga clic en el grupo dinámico que desea actualizar. Se mostrarán los detalles del grupo dinámico.
- Haga clic en Editar todas las reglas de coincidencia.
- Edite la regla de coincidencia en el cuadro de texto; o bien, utilice el creador de reglas si el cambio está soportado por el creador de reglas.
Escritura de reglas de coincidencia para definir grupos dinámicos
Las reglas de coincidencia definen los recursos que pertenecen al grupo dinámico. En la consola, puede introducir la regla manualmente en el cuadro de texto proporcionado, o bien utilizar el creador de reglas. El creador de reglas permite realizar selecciones y entradas en un cuadro de diálogo y, a continuación, escribir la regla automáticamente según los datos introducidos.
Puede definir los miembros del grupo dinámico en función de lo siguiente:
- ID de compartimento: incluir (o excluir) las instancias que residen en ese compartimento en función del OCID del compartimento.
- ID de instancia: incluir (o excluir) una instancia en función de su OCID de instancia.
- espacio de nombres de etiqueta y clave de etiqueta: incluir (o excluir) instancias etiquetadas con un espacio de nombres de etiqueta y una clave de etiqueta específicos. Se incluyen todos los valores de etiqueta. Por ejemplo, incluir todas las instancias etiquetadas con el espacio de nombres de etiqueta
department
y la clave de etiquetaoperations
. - espacio de nombres de etiqueta, clave de etiqueta y valor de etiqueta: incluir (o excluir) instancias etiquetadas con un valor específico para el espacio de nombres de etiqueta y la clave de etiqueta. Por ejemplo, incluir todas las instancias etiquetadas con el espacio de nombres de etiqueta
department
y la clave de etiquetaoperations
, con el valor '45
'. - resource.compartment.id: OCID del compartimento en el que reside el recurso
- resource.id: OCID del recurso
- resource.type: tipo del recurso
Una regla de coincidencia tiene la siguiente sintaxis:
Para una sola condición:
variable =|!= 'value'
Para varias condiciones:
any|all {<condition>,<condition>,...}
Las variables soportadas son:
-
instance.compartment.id
: el OCID del compartimento donde reside la instancia. -
instance.id
: el OCID de la instancia -
tag.<tagnamespace>.<tagkey>.value
: el espacio de nombres de etiqueta y la clave de etiqueta. Por ejemplo,tag.department.operations.value
. -
tag.<tagnamespace>.<tagkey>.value='<tagvalue>'
: espacio de nombres de etiqueta, clave de etiqueta y valor de etiqueta. Por ejemplo,tag.department.operations.value='45'
Algunos ejemplos:
Para incluir todas las instancias que están en un compartimento específico, agregue una regla con la siguiente sintaxis:
instance.compartment.id = '<compartment_ocid>'
Puede escribir la regla directamente en el cuadro de texto o utilizar el creador de reglas.
Entrada de ejemplo en un cuadro de texto:
instance.compartment.id = 'ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv'
Para agregar la misma regla mediante el creador de reglas de la consola:
- En Incluir instancias que coincidan con: seleccione Todas las siguientes.
- Para Coincidir instancias con: seleccione OCID de compartimento.
- En Valor: introduzca el OCID del compartimento. En este ejemplo, debe introducir
ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv
Todas las instancias que existen actualmente o que se crean en el compartimento (identificado por el OCID) son miembros de este grupo.
Para incluir todas las instancias que residen en dos o más compartimentos, agregue una regla con la siguiente sintaxis:
Any {instance.compartment.id = '<compartment_ocid>', instance.compartment.id = '<compartment_ocid>'}
separando cada entrada de compartimento con una coma.
Puede escribir la regla directamente en el cuadro de texto o utilizar el creador de reglas.
Entrada de ejemplo en el cuadro de texto:
Any {instance.compartment.id = 'ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv', instance.compartment.id = 'ocid1:compartment:oc1:phx:samplecompartmentocidythksk89ekslsoelu2'}
Para agregar la misma regla mediante el creador de reglas de la consola:
- En Incluir instancias que coincidan con: seleccione Cualquiera de las siguientes.
- En Hacer coincidir instancias con: seleccione OCID de compartimento.
- En Valor: introduzca el OCID del compartimento. En este ejemplo, debe introducir
ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv
- Haga clic en +Línea adicional. Introduzca lo siguiente en la segunda línea:
- En Hacer coincidir instancias con: seleccione OCID de compartimento.
- En Valor: introduzca el OCID de compartimento adicional. En este ejemplo, debe introducir
ocid1:compartment:oc1:phx:samplecompartmentocidythksk89ekslsoelu2
Las instancias que existen actualmente o que se crean posteriormente en cualquiera de los compartimentos especificados son miembros de este grupo.
Para incluir todas las instancias que están etiquetadas con un espacio de nombres de etiqueta y una clave de etiqueta específicos, agregue una regla con la siguiente sintaxis:
tag.<tagnamespace>.<tagkey>.value
Se incluyen todas las instancias asignadas a la combinación tagnamespace.tagkey. Tenga en cuenta que el valor de etiqueta no se evalúa, por lo que todos los valores se incluyen.
Ejemplo: Supongamos que tiene un espacio de nombres de etiqueta denominado department
y una clave de etiqueta denominada operations
. Desea incluir todas las instancias que están etiquetadas con el espacio de nombres y la clave de etiqueta.
Introduzca la siguiente regla en el cuadro de texto:
tag.department.operations.value
Todas las instancias que existen actualmente o que se crean con el espacio de nombres de etiqueta y la clave de etiqueta department.operations
son miembros de este grupo.
Para incluir todas las instancias de un compartimento específico que estén etiquetadas con un espacio de nombres, una clave y un valor de etiqueta específicos, agregue una regla con la siguiente sintaxis:
All {instance.compartment.id = '<compartment_ocid>', tag.<tagnamespace>.<tagkey>.value='<tagvalue>'}
Se incluyen todas las instancias que están en el compartimento identificado y que tienen asignado tagnamespace.tagkey con el valor de etiqueta especificado.
Ejemplo: Supongamos que tiene un espacio de nombres de etiqueta denominado department
y una clave de etiqueta denominada operations
. Desea incluir todas las instancias etiquetadas con el valor 45, que están en un compartimento concreto.
Introduzca la siguiente sentencia en el cuadro de texto:
All {instance.compartment.id='ocid1:compartment:oc1:phx:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv,',
tag.department.operations.value='45'}
Uso del creador de reglas
El creador de reglas es una herramienta disponible en la consola para ayudarle a escribir reglas de coincidencia. El creador de reglas proporciona menús y cuadros de texto para que introduzca las entradas y, a continuación, escribe la regla automáticamente. El creador de reglas tiene algunas limitaciones, por lo que no puede utilizarlo en todos los casos.
Limitaciones del creador de reglas
El creador de reglas no soporta lo siguiente:
- Reglas de exclusión: el creador de reglas le permite seleccionar ID de compartimento e ID de instancia únicamente para incluir.
- Reglas basadas en etiquetas: el creador de reglas no permite seleccionar etiquetas para incluirlas en la regla. Para agregar una regla basada en valores de etiqueta, debe introducir la regla en el cuadro de texto Regla utilizando la sintaxis anterior.
Inicio del creador de reglas
Al hacer clic en Crear grupo dinámico, el creador de reglas se muestra en el cuadro de diálogo Crear grupo dinámico.
Para crear una regla de coincidencia con el creador de reglas:
- En la sección Reglas de coincidencia, haga clic en Creador de reglas.
-
En el menú Incluir instancias que coincidan con, seleccione Todas las siguientes o Cualquiera de las siguientes.
Todas las siguientes incluye solo las instancias que coinciden con todas las sentencias de la regla.
Cualquiera de las siguientes incluye las instancias que coinciden con cualquiera de las sentencias de la regla.
Nota
Puede seleccionar las siguientes variables de instancia y compartimento:- instance.compartment.id y instance.id son aplicables al hacer coincidir instancias
- resource.compartment.id, resource.id y resource.type son aplicables al hacer coincidir recursos
- Las variables tag.* se aplican tanto a instancias como a recursos
-
Seleccione un tipo de recurso en el menú Hacer coincidir instancias con y, a continuación, introduzca el OCID del recurso en el campo Valor:
OCID de compartimento incluye las instancias del compartimento que especifique.
OCID de instancia incluye las instancias con los OCID especificados.
-
Haga clic en +Línea adicional para agregar más sentencias a esta regla.
Al agregar varias sentencias a una regla, recuerde que Cualquiera de las siguientes incluye las instancias que coinciden con cualquiera de las sentencias. Si selecciona Todas las siguiente, las instancias deben coincidir con todas las especificaciones de las sentencias que se van a incluir en el grupo.
Ejemplos de uso del creador de reglas
Para incluir todas las instancias de un compartimento específico mediante el creador de reglas:
- Seleccione Todas las siguientes.
- En Hacer coincidir instancias con: seleccione OCID de compartimento.
- En Valor: introduzca el OCID del compartimento, por ejemplo,
ocid1:compartment:oc1:phx:samplecompartmentocidythksk89ekslsoelu2
Todas las instancias que existen actualmente o que se crean posteriormente en el compartimento (identificado por el OCID) son miembros de este grupo.
Para incluir todas las instancias que residen en cualquiera de dos o más compartimentos mediante el creador de reglas:
- En el menú Incluir instancias que coincidan con, seleccione Cualquiera de las siguientes.
- En la primera línea, introduzca:
- En Hacer coincidir instancias con, seleccione OCID de compartimento.
- En Valor, introduzca el OCID del compartimento, por ejemplo:
ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv
- Haga clic en +Línea adicional. Introduzca lo siguiente en la segunda línea:
- En Hacer coincidir instancias con, seleccione OCID de compartimento
- En Valor, introduzca el OCID del compartimento, por ejemplo:
ocid1:compartment:oc1:phx:samplecompartmentocidythksk89ekslsoelu2
- Continúe agregando líneas adicionales según sea necesario para cada compartimento que desee incluir.
Las instancias que existen actualmente o que se crean en cualquiera de los compartimentos especificados son miembros de este grupo.
Uso de la API
Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte la documentación de la API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.
Utilice estas operaciones de API para gestionar grupos dinámicos: