Permisos
Los permisos son las unidades atómicas de autorización que controlan la capacidad de un usuario para realizar operaciones en recursos. Oracle define todos los permisos en el lenguaje de la política.
Cuando escribe una política que proporciona a un grupo acceso a un determinado tipo de recurso y verbo Verbos, otorga a ese grupo acceso a uno o más permisos predefinidos. El objetivo de los verbos es simplificar el proceso de concesión de varios permisos relacionados que abarquen un amplio juego de accesos o un escenario operativo concreto. En las siguientes secciones se proporcionan más detalles y ejemplos.
Relación con los verbos
Para comprender la relación entre permisos y verbos, veamos un ejemplo. Una sentencia de política que permite a un grupo inspeccionar volúmenes mediante inspect volumes realmente proporciona al grupo el acceso a un permiso denominado VOLUME_INSPECT (los permisos siempre se escriben con letras mayúsculas y guiones bajos). En general, ese permiso permite al usuario obtener información sobre los volúmenes en bloque.
A medida que recorra la progresión inspect > read > use > manage, el nivel de acceso generalmente aumenta y los permisos concedidos son acumulativos. En la siguiente tabla se muestran los permisos incluidos en cada verbo para el tipo de recurso volumes. Tenga en cuenta que no se otorgan permisos adicionales al pasar de inspect a read.
| Inspeccionar volúmenes | Leer volúmenes | Usar volúmenes | Gestionar volúmenes |
|---|---|---|---|
| VOLUME_INSPECT | VOLUME_INSPECT |
VOLUME_INSPECT VOLUME_UPDATE VOLUME_WRITE |
VOLUME_INSPECT VOLUME_UPDATE VOLUME_WRITE VOLUME_CREATE VOLUME_DELETE |
La referencia de política enumera los permisos cubiertos por cada verbo para cada tipo de recurso determinado. Por ejemplo, para volúmenes en bloque y otros recursos cubiertos por los servicios básicos, consulte las tablas de Detalles de combinaciones de verbo + tipo de recurso. Los permisos cubiertos por cada verbo se muestran en la columna izquierda de esas tablas. Las otras secciones de la referencia de política incluyen el mismo tipo de información para los demás servicios.
Relación con operaciones de API
Cada operación de API necesita que el emisor de llamada tenga acceso a uno o más permisos. Por ejemplo, para utilizar ListVolumes o GetVolume, debe tener acceso a un solo permiso: VOLUME_INSPECT. Para asociar un volumen a una instancia, debe tener acceso a varios permisos, algunos de los cuales están relacionados con el tipo de recurso volumes, volume-attachments o instances:
- VOLUME_WRITE
- VOLUME_ATTACHMENT_CREATE
- INSTANCE_ATTACH_VOLUME
En la referencia de política se muestra qué permisos son necesarios para cada operación de API. Por ejemplo, para las operaciones de la API de servicios básicos, consulte la tabla en Permisos necesarios para cada operación de API.
Descripción del acceso de un usuario
El lenguaje de la política está diseñado para permitir escribir sentencias simples que incluyan solo verbos y tipos de recursos, sin tener que establecer los permisos deseados en la sentencia. Sin embargo, es posible que haya situaciones en las que un miembro del equipo de seguridad o auditor desee conocer los permisos específicos de un usuario determinado. Las tablas de la referencia de políticas muestran cada verbo y los permisos asociados. Puede ver los grupos en los que está el usuario y las políticas aplicables a esos grupos y, a partir de esa información, recopilar una lista de los permisos otorgados. Sin embargo, no basta con tener una lista de los permisos para contar con una visión completa. Las condiciones de una sentencia de política pueden ofrecer a un usuario un acceso más allá de los permisos individuales (consulte la siguiente sección). Además, cada sentencia de política especifica un compartimento concreto y puede tener condiciones que delimiten el acceso a determinados recursos en ese compartimento.