Gestión de políticas
En este tema se describe cómo crear, editar y suprimir políticas.
Política de IAM necesaria
Si está en el grupo Administradores, tiene el acceso necesario para gestionar políticas.
Si no está familiarizado con las políticas, consulte Introducción a las políticas y Políticas comunes. Si desea obtener más información sobre la escritura de políticas para controlar quién más puede escribir políticas o gestionar otros componentes de IAM, consulte Permitir a un administrador de compartimento gestionar el compartimento, así como Detalles de IAM sin dominios de identidad.
Etiquetado de recursos
Puede aplicar etiquetas a los recursos para facilitar su organización según las necesidades de su negocio. Aplique las etiquetas al crear un recurso o actualice el recurso más tarde con las etiquetas que desee. Para obtener información general sobre la aplicación de etiquetas, consulte Etiquetas de recursos.
Trabajar con políticas
Si aún no lo ha hecho, asegúrese de leer Cómo funcionan las políticas para comprender los conceptos básicos del funcionamiento de las políticas.
Al crear una política, debe especificar el compartimento al que se debe asociar, que será el arrendamiento (compartimento raíz) u otro compartimento. El lugar al que está asociada la política determinará quién puede modificarla o suprimirla posteriormente. Para obtener más información, consulte Anexo de políticas. Al crear la política en la consola, asociará la política a un compartimento creando la política en ese compartimento. Si utiliza la API, especifica el identificador del compartimento en la solicitud CreatePolicy.
Al crear una política, también debe proporcionarle un nombre no modificable. El nombre debe ser único en todas las políticas del compartimento en el que la cree. También debe proporcionar una descripción, que sea una descripción no única y modificable para la política. Oracle también asignará a la política un identificador único denominado Oracle Cloud ID. Para obtener más información, consulte Identificadores de recursos.
Si suprime una política y, a continuación, crea una nueva política con el mismo nombre, se considerarán políticas diferentes porque tendrán diferentes OCID.
Para obtener información sobre cómo escribir una política, consulte Cómo funcionan las políticas y Sintaxis de políticas. Al utilizar la consola para escribir políticas, puede utilizar el creador de políticas para ayudarle a construir la sintaxis de las políticas que desea agregar.
Al crear una política, realizar cambios en una política existente o suprimir una política, los cambios se aplicarán normalmente en el transcurso de 10 segundos.
Puede ver una lista de sus políticas en la Consola o con la API. En la Consola, la lista se filtra automáticamente para mostrar solo las políticas asociadas al compartimento que está visualizando. Para determinar qué políticas se aplican a un grupo concreto, debe ver las sentencias individuales dentro de todas sus políticas. No existe una manera de obtener automáticamente esa información en la consola o la API.
Para obtener información sobre el número de políticas que puede tener, consulte Límites de servicio.
Escritura de sentencias de política con el creador de políticas
El creador de políticas de la consola ayuda a crear rápidamente políticas comunes sin necesidad de escribir manualmente las sentencias de política. El creador de políticas sugiere automáticamente los permisos que un administrador puede otorgar a grupos de usuarios o recursos de su arrendamiento, así como a recursos de destino como instancias, redes y cubos. La mayoría de las políticas sugeridas en el creador de políticas también se pueden encontrar en Políticas comunes, donde puede obtener más detalles sobre el acceso que proporciona cada política y los casos de uso de cada una. Los usuarios que no necesiten las sugerencias que ofrece el creador de políticas o que tienen requisitos de política más complejos pueden omitir la opción básica del creador e ir directamente al editor avanzado, donde pueden introducir directamente las sentencias de política en un cuadro de texto de formato libre.
Funciones del creador de políticas
El creador de políticas proporciona plantillas de políticas que puede completar para crear políticas para su arrendamiento. Una plantilla de política incluye todas las sentencias necesarias para proporcionar los permisos requeridos para realizar una tarea o un juego de tareas relacionadas en un servicio en OCI. Para completar la plantilla, seleccione el grupo en un menú de grupos existentes y seleccione la ubicación en la lista de compartimentos de su arrendamiento.
Las plantillas de políticas del creador de políticas se agrupan por caso de uso, como la gestión de red, la gestión de almacenamiento y la gestión de cuentas, para que sea fácil examinarlas y buscar el juego de permisos que necesita.
Por ejemplo, supongamos que va a configurar los administradores de red de su arrendamiento. Debe otorgar a un grupo de usuarios los permisos necesarios para trabajar con todos los recursos del servicio Networking. Para crear esta política en el creador de políticas:
- En primer lugar, busque la política que desee: en el menú Casos de uso de política, seleccione Gestión de red. Si no está seguro del caso de uso al que pertenece una política, puede dejar esta opción definida en Todo para examinar todas las plantillas.
- En el menú Plantillas de políticas comunes, seleccione Permitir que los administradores de red gestionen una red en la nube.
El creador de políticas mostrará las sentencias de política que se crearán. En este caso, solo hay una sentencia:
Allow {group name} to manage virtual-network-family in {location}
- Ahora, todo lo que debe hacer es seleccionar el grupo y la ubicación de la política: cuando selecciona un grupo, {group name} en la sentencia de política mostrada también se actualiza con la selección.
- Por último, seleccione la ubicación. Puede recorrer la jerarquía de compartimentos para buscar y seleccionar el compartimento adecuado. Para crear la política en el arrendamiento, seleccione el compartimento raíz.
Personalización de políticas
Si descubre que una plantilla no se ajusta exactamente a sus necesidades, puede personalizar las políticas proporcionadas agregando sentencias, eliminando sentencias, agregando condiciones u otros cambios para crear la política que necesita. Haga clic en Personalizar (avanzado) para editar las sentencias en un cuadro de texto de formato libre. Al introducir sentencias directamente en el cuadro de texto, asegúrese de seguir las reglas descritas en Sintaxis de políticas.
Ejemplos de personalización de la política de administradores de red:
- Debe incluir otro grupo, GroupB, para esta política. Para agregar un grupo:
Haga clic en Personalizar (avanzado). En el cuadro de texto, escriba los cambios en la política (siguiendo la sintaxis necesaria).
Allow group GroupA, GroupB to manage virtual-network-family in compartment CompartmentA
- Necesita agregar una condición a la sentencia. Por ejemplo, desea asegurarse de que solo los usuarios verificados por MFA puedan gestionar sus redes. Puede agregar esa condición a la sentencia de la siguiente manera:
Allow group GroupA to manage virtual-network-family in compartment CompartmentA where request.user.mfaTotpVerified='true'
- Necesita agregar otra sentencia a la política. Por ejemplo, desea que se permita a GroupA utilizar instancias. Para agregar otra sentencia, introdúzcala en la siguiente línea:
Allow group GroupA to manage virtual-network-family in compartment CompartmentA Allow group GroupA to use instance-family in compartment CompartmentA
Edición de políticas con el creador de políticas
Después de crear la política, puede introducir cualquier cambio de sentencia que necesite realizar directamente en el texto de la política. El selector de plantillas solo está disponible cuando se crea una nueva política. El editor le permite suprimir, agregar, editar o cambiar el orden de las sentencias.
Uso de la consola
Requisito: el grupo y el compartimento para el que está escribiendo la política ya deben existir.
- Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Políticas. Aparecerá una lista de las políticas del compartimento que está visualizando.
- Haga clic en Crear política.
- Introduzca lo siguiente:
- Nombre: nombre único para la política. El nombre debe ser único en todas las políticas de su arrendamiento. No se puede cambiar más adelante. Evite introducir información confidencial.
- Descripción: una descripción fácil de recordar. Puede cambiar esto más tarde si lo desea.
- Compartimento: si desea asociar la política a un compartimento que no sea el que se está visualizando, selecciónelo en la lista. La ubicación a la que esté asociada la política determina quién puede modificarla o suprimirla más adelante (consulte Asociación de políticas).
- Introduzca las sentencias de política mediante el Creador de política. Utilice la opción Básico si desea elegir entre las plantillas de política comunes, que también puede personalizar. Utilice la opción Personalizar (avanzado) si ya sabe cómo escribir las sentencias que necesita y simplemente desea escribirlas en un cuadro de texto.Para utilizar la opción Básico del creador de políticas:
- Selecciónela en el menú Casos de uso de política para filtrar la lista de plantillas de política. Si no está seguro de qué caso de uso elegir, puede examinar todas las plantillas de la lista Plantillas de políticas comunes.
- Seleccione la plantilla que mejor se ajuste a sus requisitos en la lista Plantillas de políticas comunes.
El creador de políticas mostrará la descripción de la política seleccionada y las sentencias de política que incluye.
- Seleccione el grupo al que se aplica esta política.
- Seleccione una Ubicación. La ubicación es el compartimento al que esta política otorga acceso. El compartimento que elija aquí debe ser el compartimento al que haya elegido asociar la política en el paso 3 o un compartimento dentro de la jerarquía de ese compartimento.
- Si necesita modificar las sentencias de política, haga clic en Personalizar (avanzado).
Para utilizar la opción Personalizar (avanzado):- Haga clic en Personalizar (avanzado).
- Introduzca o edite sentencias de política siguiendo el formato que se describe en Sintaxis de políticas, introduciendo una sentencia por línea.
- Para agregar etiquetas a esta política, haga clic en Mostrar opciones avanzadas. Si tiene permisos para crear un recurso, también los tiene para aplicar etiquetas de formato libre a ese recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si aplicar etiquetas, omita esta opción o pregunte a un administrador. Puede aplicar etiquetas más tarde.
- Si desea crear otra política, seleccione Crear otra política.
- Haga clic en Crear.
La nueva política entrará en vigor normalmente en el transcurso de 10 segundos.
Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Políticas. Se muestra una lista de las políticas del compartimento que está viendo actualmente. Si desea ver las políticas asociadas a un compartimento diferente, seleccione dicho compartimento en la lista de la izquierda. No puede obtener una única lista de todas las políticas; siempre se muestran por compartimento.
Para determinar qué políticas se aplican a un grupo concreto, debe ver las sentencias individuales dentro de todas sus políticas. No existe una manera de obtener automáticamente esa información en la consola.
Esto solo está disponible a través de la API. Una solución alternativa es crear una nueva política con la nueva descripción y suprimir la política antigua.
- Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Políticas. Aparecerá una lista de las políticas del compartimento que está visualizando. Si no encuentra el que está buscando, verifique que está visualizando el compartimento correcto (selecciónelo en la lista en la parte izquierda de la página).
- Haga clic en la política que desea actualizar. Se mostrarán los detalles y las sentencias de la política.
- Haga clic en Editar sentencias de políticas. Utilice la opción de creador de políticas Básico si desea interactuar con las sentencias mediante controles gráficos. Utilice la opción de creador de políticas Avanzado para editar las sentencias en un cuadro de texto simple.
Para utilizar la opción Básico:
- Para revisar una sentencia, introduzca los cambios de acuerdo con el formato de Aspectos básicos de las políticas y Sintaxis de políticas.
- Para agregar una sentencia, haga clic en + Otra sentencia e introduzca la sentencia con el formato necesario.
- Para suprimir una sentencia, haga clic en la X situada junto a la sentencia.
- Para reorganizar el orden de las sentencias, utilice las flechas arriba y abajo para mover las sentencias al orden correcto o tome el manejador para arrastrar y soltar las sentencias a la posición que prefiera.
- Seleccione Avanzada.
- Revise las sentencias de política en el cuadro de texto de acuerdo con el formato de Aspectos básicos de las políticas y Sintaxis de políticas.
- Haga clic en Guardar cambios cuando termine con la edición.
Los cambios tendrán efecto normalmente en el transcurso de 10 segundos.
- Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Políticas. Aparecerá una lista de las políticas del compartimento que está visualizando. Si no encuentra el que está buscando, verifique que está visualizando el compartimento correcto (selecciónelo en la lista en la parte izquierda de la página).
- Para la política que desea suprimir, haga clic en Suprimir.
- Confirme cuando se le solicite.
Los cambios tendrán efecto normalmente en el transcurso de 10 segundos.
Uso de la API
Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte la documentación de la API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.
Las actualizaciones no son inmediatas en todas las regiones
Sus recursos de IAM residen en su región principal. Para aplicar la política en todas las regiones, el servicio IAM replica sus recursos en cada región. Cuando se crea o se cambia una política, un usuario o un grupo, los cambios se aplican en primer lugar en la región principal y después se propagan a las demás regiones. Pueden pasar varios minutos antes de que los cambios surtan efecto en todas las regiones. Por ejemplo, suponga que tiene un grupo con permisos para iniciar instancias en el arrendamiento. Si agrega a UserA a este grupo, UserA podrá iniciar instancias en su región principal en el transcurso de un minuto. Sin embargo, UserA no podrá iniciar instancias en otras regiones hasta que el proceso de replicación haya terminado. Este proceso puede tardar varios minutos. Si UserA intenta iniciar una instancia antes de que se complete la replicación, recibirá un error de falta de autorización.
Utilice estas operaciones de API para gestionar políticas: