Plantillas de Política del Creador de Políticas
Esta sección incluye algunas políticas comunes que puede que desee utilizar en su organización.
Estas políticas utilizan nombres de grupo y compartimento de ejemplo. Asegúrese de sustituirlos por sus propios nombres.
Tipo de acceso: capacidad para crear, actualizar y suprimir usuarios y sus credenciales. No incluye la capacidad de colocar a los usuarios en grupos.
Dónde crear la política: en el arrendamiento, ya que los usuarios residen en el arrendamiento.
Allow group HelpDesk to manage users in tenancy
Tipo de acceso: capacidad para mostrar una lista de los recursos en todos los compartimentos. Tenga en cuenta que:
- La operación para mostrar las listas de políticas de IAM incluye el contenido de las propias políticas.
- Las operaciones de listas para los tipos de recursos de redes devuelven toda la información (por ejemplo, el contenido de las listas de seguridad y las tablas de rutas).
- La operación para mostrar listas de instancias necesita el verbo
read
en lugar deinspect
, y el contenido incluye los metadatos proporcionados por el usuario. -
La operación para ver eventos del servicio de auditoría requiere el verbo
read
en lugar deinspect
.
Dónde crear la política: en el arrendamiento. Debido al concepto de herencia de políticas, los auditores pueden inspeccionar el arrendamiento y todos los compartimentos que se encuentren por debajo. O bien, puede otorgar a los auditores acceso solo a compartimentos específicos si no necesitan acceder a todo el arrendamiento.
Allow group Auditors to inspect all-resources in tenancy
Allow group Auditors to read instances in tenancy
Allow group Auditors to read audit-events in tenancy
Tipo de acceso: capacidad para gestionar todos los componentes de la red. Esto incluye redes en la nube, subredes, gateways, circuitos virtuales, listas de seguridad, tablas de rutas, etc. Si los administradores de red necesitan iniciar instancias para probar la conectividad de red, consulte Permitir a los usuarios iniciar instancias informáticas.
Dónde crear la política: en el arrendamiento. Debido al concepto de herencia de políticas, NetworkAdmins puede gestionar una red en la nube en cualquier compartimento. Para reducir el ámbito de acceso a un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Allow group NetworkAdmins to manage virtual-network-family in tenancy
Tipo de acceso: capacidad para gestionar todos los componentes en el equilibrador de carga. Si el grupo necesita iniciar instancias, consulte Permitir a los usuarios iniciar instancias informáticas.
Dónde crear la política: en el arrendamiento. Debido al concepto de Herencia de políticas, NetworkAdmins puede entonces gestionar los equilibradores de carga en cualquier compartimento. Para reducir el ámbito de acceso a un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Allow group NetworkAdmins to manage load-balancers in tenancy
Si el grupo utiliza la consola para gestionar los equilibradores de carga, se necesita una política adicional para utilizar los recursos de red asociados:
Allow group NetworkAdmins to manage load-balancers in tenancy
Allow group NetworkAdmins to use virtual-network-family in tenancy
Si un grupo concreto necesita actualizar un equilibrador de carga existente (por ejemplo, modificar el juego de backends) pero no crearlos ni suprimirlos, utilice esta sentencia:
Allow group LBUsers to use load-balancers in tenancy
Tipo de acceso: capacidad para realizar todas las operaciones con instancias iniciadas en la red en la nube y las subredes del compartimento XYZ, y asociar o desasociar cualquier volumen que ya exista en el compartimento ABC. La primera sentencia también permite al grupo crear y gestionar imágenes de instancia en el compartimento ABC. Si el grupo no necesita asociar o desasociar volúmenes, puede suprimir la sentencia volume-family
.
Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores de los compartimentos individuales (ABC y XYZ) tengan control sobre las sentencias de política individuales para sus compartimentos, consulte Herencia de políticas.
Allow group InstanceLaunchers to manage instance-family in compartment ABC
Allow group InstanceLaunchers to read app-catalog-listing in tenancy
Allow group InstanceLaunchers to use volume-family in compartment ABC
Allow group InstanceLaunchers to use virtual-network-family in compartment XYZ
Para permitir a los usuarios crear nuevas redes y subredes en la nube, consulte Permitir a los administradores de red gestionar una red en la nube.
Para permitir a los usuarios determinar si la capacidad está disponible para una unidad específica antes de crear una instancia, agregue la siguiente sentencia a la política:
Allow group InstanceLaunchers to manage compute-capacity-reports in tenancy
Tipo de acceso: capacidad de iniciar instancias en la red y las subredes en la nube en el compartimento XYZ con solo la imagen personalizada especificada. La política también incluye la capacidad de asociar/desasociar cualquier volumen existente que ya exista en el compartimento ABC. Si el grupo no necesita asociar/desasociar volúmenes, puede suprimir la sentencia volume-family
.
Para especificar varias imágenes personalizadas, puede utilizar Condiciones.
Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores de los compartimentos individuales (ABC y XYZ) tengan control sobre las sentencias de política individuales para sus compartimentos, consulte Herencia de políticas.
Allow group ImageUsers to inspect instance-images in compartment ABC
Allow group ImageUsers to {INSTANCE_IMAGE_READ} in compartment ABC where target.image.id='<image_OCID>'
Allow group ImageUsers to manage instances in compartment ABC
Allow group ImageUsers to read app-catalog-listing in tenancy
Allow group ImageUsers to use volume-family in compartment ABC
Allow group ImageUsers to use virtual-network-family in compartment XYZ
Tipo de acceso: capacidad de realizar todas las tareas con imágenes personalizadas e instancias informáticas. También incluye la capacidad de realizar todas las tareas con cubos, objetos y espacios de nombres de Object Storage en el compartimento Y (para crear imágenes a partir de objetos y crear solicitudes autenticadas previamente en imágenes); asociar/desasociar cualquier volumen existente en el compartimento X; e iniciar instancias en la red y las subredes en la nube en el compartimento Z (para crear nuevas instancias en las que basar una imagen). Si el grupo no necesita asociar/desasociar volúmenes, puede suprimir la sentencia volume-family
.
Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores de los compartimentos individuales (X, Y y Z) tengan control sobre las sentencias de política individuales, consulte Herencia de políticas.
Allow group ImageAdmins to manage instances in compartment X
Allow group ImageAdmins to manage instance-images in compartment X
Allow group ImageAdmins to read app-catalog-listing in tenancy
Allow group ImageAdmins to manage object-family in compartment Y
Allow group ImageAdmins to use volume-family in compartment X
Allow group ImageAdmins to use virtual-network-family in compartment Z
Tipo de acceso: capacidad para hacer todo lo relacionado con las configuraciones de instancias, los pools de instancias y las redes de cluster en todos los compartimentos.
Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a las configuraciones de instancias, los pools de instancias y las redes de cluster en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Allow group InstancePoolAdmins to manage compute-management-family in tenancy
Si un grupo necesita crear configuraciones de instancia utilizando instancias existentes como plantilla y utiliza la API, los SDK o la interfaz de línea de comandos (CLI) para ello, agregue las siguientes sentencias a la política:
Allow group InstancePoolAdmins to read instance-family in tenancy
Allow group InstancePoolAdmins to inspect volumes in tenancy
Si un grupo concreto necesita iniciar, parar o restablecer las instancias en pools de instancias existentes, pero no crear o suprimir pools de instancias, utilice esta sentencia:
Allow group InstancePoolUsers to use instance-pools in tenancy
Si los recursos utilizados por el pool de instancias contienen etiquetas por defecto, agregue la siguiente sentencia a la política para otorgar permiso al grupo para el espacio de nombres de etiqueta Oracle-Tags
:
Allow group InstancePoolUsers to use tag-namespaces in tenancy where target.tag-namespace.name = 'oracle-tags'
Si la configuración de instancia utilizada por el pool de instancias inicia instancias en una reserva de capacidad, agregue la siguiente sentencia a la política:
Allow service compute_management to use compute-capacity-reservations in tenancy
Si el volumen de inicio que se utiliza en la configuración de instancia para crear un pool de instancias está cifrado con una clave de KMS, agregue la siguiente sentencia a la política:
allow service compute, blockstorage, compute_management to use key-family in compartment <compartment_id/<tenant_id>>
Tipo de acceso: capacidad para crear, actualizar y suprimir configuraciones de escala automática.
Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a las configuraciones de escala automática en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Allow group AutoscalingAdmins to manage auto-scaling-configurations in tenancy
Allow group AutoscalingAdmins to manage instance-pools in tenancy
Tipo de acceso: capacidad para mostrar y crear suscripciones a imágenes en el catálogo de imágenes del partner. No incluye la capacidad de crear instancias utilizando imágenes del catálogo de imágenes del partner (consulte Permitir a los usuarios iniciar instancias informáticas).
Dónde crear la política: en el arrendamiento. Para reducir el ámbito de acceso a la creación de suscripciones en un compartimento concreto, especifique dicho compartimento en lugar del arrendamiento en la tercera sentencia.
Allow group CatalogSubscribers to inspect app-catalog-listing in tenancy
Allow group CatalogSubscribers to read app-catalog-listing in tenancy
Allow group CatalogSubscribers to manage app-catalog-listing in tenancy
Tipo de acceso: capacidad de crear conexiones de consola de la instancia.
Dónde crear la política: en el arrendamiento.
Allow group <group_name> to manage instance-console-connection in tenancy
Allow group <group_name> to read instance in tenancy
Tipo de acceso: permite crear, actualizar y suprimir hosts de máquinas virtuales dedicados, así como iniciar instancias en dichos hosts.
Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a las instancias y los hosts de máquina virtual dedicados en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Allow group DedicatedVMHostAdmins to manage dedicated-vm-hosts in tenancy
Allow group DedicatedVMHostAdmins to manage instances in tenancy
Tipo de acceso: capacidad para iniciar instancias en hosts de máquinas virtuales dedicados.
Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a las instancias y los hosts de máquina virtual dedicados en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Allow group DedicatedVMHostAdmins to use dedicated-vm-hosts in tenancy
Allow group DedicatedVMHostAdmins to manage instances in tenancy
Tipo de acceso: capacidad de realizar todas las tareas con volúmenes de almacenamiento de bloques, copias de seguridad de volúmenes y grupos de volúmenes en todos los compartimentos, excepto la copia de copias de seguridad de volúmenes entre regiones. Esto es pertinente si desea tener un único juego de administradores de volúmenes que gestione todos los volúmenes, las copias de seguridad de volúmenes y los grupos de volúmenes de todos los compartimentos. Se necesita la segunda sentencia para asociar/desasociar los volúmenes de las instancias.
Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los volúmenes/copias de seguridad e instancias de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Allow group VolumeAdmins to manage volume-family in tenancy
Allow group VolumeAdmins to use instance-family in tenancy
Si el grupo necesita también copiar copias de seguridad de volúmenes y copias de seguridad de volúmenes de inicio entre regiones, agregue las siguientes sentencias a la política:
Allow group VolumeAdmins to use volume-backups in tenancy where request.permission='VOLUME_BACKUP_COPY'
Allow group VolumeAdmins to use boot-volume-backups in tenancy where request.permission='BOOT_VOLUME_BACKUP_COPY'
Tipo de acceso: permite realizar todas las tareas con copias de seguridad de volúmenes, pero no crear ni gestionar volúmenes en sí. Esto es pertinente si desea tener un solo juego de administradores de copias de seguridad de volúmenes que gestione todas las copias en todos los compartimentos. La primera sentencia proporciona el acceso necesario al volumen del que se está realizando la copia de seguridad; la segunda sentencia permite la creación de la copia de seguridad (y la capacidad de suprimir copias de seguridad). La tercera sentencia permite la creación y gestión de políticas de copia de seguridad definidas por el usuario; la cuarta sentencia permite la asignación y eliminación de políticas de copia de seguridad.
Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los volúmenes y las copias de seguridad de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Allow group VolumeBackupAdmins to use volumes in tenancy
Allow group VolumeBackupAdmins to manage volume-backups in tenancy
Allow group VolumeBackupAdmins to manage backup-policies in tenancy
Allow group VolumeBackupAdmins to manage backup-policy-assignments in tenancy
Si el grupo va a utilizar la consola, la siguiente política proporciona una mejor experiencia de usuario:
Allow group VolumeBackupAdmins to use volumes in tenancy
Allow group VolumeBackupAdmins to manage volume-backups in tenancy
Allow group VolumeBackupAdmins to inspect volume-attachments in tenancy
Allow group VolumeBackupAdmins to inspect instances in tenancy
Allow group VolumeBackupAdmins to manage backup-policies in tenancy
Allow group VolumeBackupAdmins to manage backup-policy-assignments in tenancy
Las dos últimas sentencias no son necesarias para gestionar las copias de seguridad de volúmenes. Sin embargo, permiten que la consola muestre toda la información sobre un volumen determinado y las políticas de copia de seguridad disponibles.
Tipo de acceso: permite realizar todas las tareas con copias de seguridad de volúmenes de inicio, pero no crear ni gestionar volúmenes de inicio en sí. Esto es pertinente si desea tener un solo conjunto de administradores de copias de seguridad de volúmenes de inicio que gestionen todas las copias de seguridad de volúmenes de inicio en todos los compartimentos. La primera sentencia proporciona el acceso necesario al volumen de inicio del que se está realizando la copia de seguridad; la segunda sentencia permite la creación de la copia de seguridad (y la capacidad de suprimir copias de seguridad). La tercera sentencia permite la creación y gestión de políticas de copia de seguridad definidas por el usuario; la cuarta sentencia permite la asignación y eliminación de políticas de copia de seguridad.
Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los volúmenes de inicio y las copias de seguridad de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Allow group BootVolumeBackupAdmins to use volumes in tenancy
Allow group BootVolumeBackupAdmins to manage boot-volume-backups in tenancy
Allow group BootVolumeBackupAdmins to manage backup-policies in tenancy
Allow group BootVolumeBackupAdmins to manage backup-policy-assignments in tenancy
Si el grupo va a utilizar la consola, la siguiente política proporciona una mejor experiencia de usuario:
Allow group BootVolumeBackupAdmins to use volumes in tenancy
Allow group BootVolumeBackupAdmins to manage boot-volume-backups in tenancy
Allow group BootVolumeBackupAdmins to inspect instances in tenancy
Allow group BootVolumeBackupAdmins to manage backup-policies in tenancy
Allow group BootVolumeBackupAdmins to manage backup-policy-assignments in tenancy
Las dos últimas sentencias no son necesarias para gestionar las copias de seguridad de volúmenes. Sin embargo, permiten que la consola muestre toda la información sobre un volumen de inicio determinado y las políticas de copia de seguridad disponibles.
Tipo de acceso: capacidad para crear un grupo de volúmenes a partir de un juego de volúmenes.
Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los volúmenes y grupos de volúmenes en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Allow group VolumeGroupCreators to inspect volumes in tenancy
Allow group VolumeGroupCreators to manage volume-groups in tenancy
Tipo de acceso: capacidad para clonar un grupo de volúmenes a partir de un grupo de volúmenes existente.
Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los volúmenes y grupos de volúmenes en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Allow group VolumeGroupCloners to inspect volumes in tenancy
Allow group VolumeGroupCloners to manage volume-groups in tenancy
Allow group VolumeGroupCloners to manage volumes in tenancy
Tipo de acceso: capacidad para crear una copia de seguridad de grupo de volúmenes.
Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los volúmenes/copias de seguridad y grupos de volúmenes/copias de seguridad de grupos de volúmenes de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Allow group VolumeGroupBackupAdmins to inspect volume-groups in tenancy
Allow group VolumeGroupBackupAdmins to manage volumes in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-group-backups in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-backups in tenancy
Tipo de acceso: capacidad para crear un grupo de volúmenes mediante la restauración de una copia de seguridad de grupo de volúmenes.
Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los volúmenes/copias de seguridad y grupos de volúmenes/copias de seguridad de grupos de volúmenes de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Allow group VolumeGroupBackupAdmins to inspect volume-group-backups in tenancy
Allow group VolumeGroupBackupAdmins to read volume-backups in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-groups in tenancy
Allow group VolumeGroupBackupAdmins to manage volumes in tenancy
Tipo de acceso: capacidad de crear, gestionar o suprimir un sistema de archivos o un clon del sistema de archivos. Las funciones administrativas de un sistema de archivos incluyen la capacidad de cambiarle el nombre, suprimirlo o desconectarse de él.
Dónde crear la política: en el arrendamiento, de forma que la capacidad para crear, gestionar o suprimir un sistema de archivos se pueda conceder fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de estas funciones administrativas a sistemas de archivos en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Allow group StorageAdmins to manage file-family in tenancy
Tipo de acceso: capacidad de crear un sistema de archivos o un clon del sistema de archivos.
Dónde crear la política: en el arrendamiento, de modo que la capacidad para crear un sistema de archivos se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de estas funciones administrativas a sistemas de archivos en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Allow group Managers to manage file-systems in tenancy
Allow group Managers to read mount-targets in tenancy
La segunda sentencia es necesaria cuando los usuarios crean un sistema de archivos mediante la consola. Permite a la consola mostrar una lista de destinos de montaje con los que se puede asociar el nuevo sistema de archivos.
Tipo de acceso: capacidad para realizar todas las tareas con los cubos y objetos de Object Storage en todos los compartimentos.
Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los cubos y objetos de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Allow group ObjectAdmins to manage buckets in tenancy
Allow group ObjectAdmins to manage objects in tenancy
Tipo de acceso: capacidad para escribir objetos en cualquier cubo de Object Storage en el compartimento ABC (imagine una situación en la que el cliente necesite escribir archivos log regularmente en un cubo). Consiste en la capacidad de mostrar los cubos en el compartimento, mostrar los objetos de un cubo y crear un nuevo objeto en un cubo. Aunque la segunda sentencia ofrece acceso amplio con el verbo manage
, el ámbito de ese acceso se limita entonces a los permisos OBJECT_INSPECT
y OBJECT_CREATE
con la condición al final de la sentencia.
Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores del compartimento ABC tengan control sobre la política, consulte Visión general de las políticas de IAM.
Allow group ObjectWriters to read buckets in compartment ABC
Allow group ObjectWriters to manage objects in compartment ABC where any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}
Acceso limitado a un cubo específico: para limitar el acceso a un cubo específico en un compartimento concreto, agregue la condición where target.bucket.name='<bucket_name>'
. La siguiente política permite al usuario mostrar todos los cubos de un compartimento concreto, pero solo se pueden mostrar y cargar objetos en BucketA:
Allow group ObjectWriters to read buckets in compartment ABC
Allow group ObjectWriters to manage objects in compartment ABC where all {target.bucket.name='BucketA', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}
Acceso limitado a cubos con una etiqueta definida específica: para limitar el acceso a los cubos con una etiqueta específica en un compartimento determinado, agregue la condición where target.bucket.tag.<TagNamespace>.<TagKeyDefinition>='<TagValue>'
. La siguiente política permite al usuario mostrar todos los cubos del compartimento ABC. Sin embargo, solo puede mostrar los objetos del cubo y cargar objetos en él con la etiqueta MyTagNamespace.TagKey='MyTagValue'
:
Allow group ObjectWriters to read buckets in compartment ABC
Allow group ObjectWriters to manage objects in compartment ABC where all {target.bucket.tag.MyTagNamespace.TagKey='MyTagValue', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}
Para obtener más información sobre el uso de condiciones, consulte Condiciones.
Tipo de acceso: capacidad para descargar objetos de cualquier cubo de Object Storage en el compartimento ABC. Consiste en la capacidad de mostrar los cubos en el compartimento, mostrar los objetos de un cubo y leer los objetos existentes en un cubo.
Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores del compartimento ABC tengan control sobre la política, consulte Visión general de las políticas de IAM.
Allow group ObjectReaders to read buckets in compartment ABC
Allow group ObjectReaders to read objects in compartment ABC
Acceso limitado a un cubo específico: para limitar el acceso a un cubo específico en un compartimento concreto, agregue la condición where target.bucket.name='<bucket_name>'
. La siguiente política permite al usuario mostrar todos los cubos de un compartimento concreto, pero solo puede leer los objetos en BucketA y descargarlos de este:
Allow group ObjectReaders to read buckets in compartment ABC
Allow group ObjectReaders to read objects in compartment ABC where target.bucket.name='BucketA'
Acceso limitado a cubos con una etiqueta definida específica
Para limitar el acceso a los cubos con una etiqueta específica en un compartimento determinado, agregue la condición where target.bucket.tag.<TagNamespace>.<TagKeyDefinition>='<TagValue>'
. La siguiente política permite al usuario mostrar todos los cubos del compartimento ABC. Sin embargo, solo puede leer los objetos del cubo y descargarlos de este con la etiqueta MyTagNamespace.TagKey='MyTagValue'
:
Allow group ObjectReaders to read buckets in compartment ABC
Allow group ObjectReaders to read objects in compartment ABC where target.bucket.tag.MyTagNamespace.TagKey='MyTagValue'
Para obtener más información sobre el uso de condiciones, consulte Condiciones.
Tipo de acceso: capacidad de un grupo de usuarios para realizar todas las acciones en un cubo de Object Storage y sus objetos.
Dónde crear la política: en el arrendamiento en el que residen los usuarios.
ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*'}
Tipo de acceso: capacidad de un grupo de usuarios para tener acceso de solo lectura a un cubo de Object Storage y sus objetos.
Dónde crear la política: en el arrendamiento en el que residen los usuarios.
ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*', any{request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}
Tipo de acceso: capacidad de un grupo de usuarios de tener acceso de solo escritura a una carpeta de objetos de un cubo. Los usuarios no pueden ver una lista de objetos del cubo ni suprimir ningún objeto que contenga.
Dónde crear la política: en el arrendamiento en el que residen los usuarios.
ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*', any{request.permission='OBJECT_CREATE'}}
Tipo de acceso: capacidad de un grupo de usuarios para tener acceso de lectura y escritura a una carpeta de objetos de un cubo de Object Storage. Los usuarios no pueden generar una lista de objetos en la carpeta ni sobrescribir los objetos existentes en la carpeta.
Dónde crear la política: en el arrendamiento en el que residen los usuarios.
ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*', any{request.permission='OBJECT_CREATE', request.permission='OBJECT_READ'}}
Tipo de acceso: capacidad de un usuario especificado para tener acceso completo a todos los objetos que coinciden con un patrón especificado en un cubo de Object Storage.
Dónde crear la política: en el arrendamiento en el que reside el usuario.
ALLOW any-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = '*.pdf', request.user.id='ocid1.user.oc1..exampleuniqueID'}
- Instancias de Exadata Database Service on Dedicated Infrastructure
- sistemas de base de datos con hardware dedicado
- sistemas de base de datos de máquina virtual
Esto tiene sentido si desea que un único juego de administradores de bases de datos gestione todos los sistemas con hardware dedicado, de máquina virtual y de Exadata en todos los compartimentos.
Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los sistemas de base de datos en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Allow group DatabaseAdmins to manage database-family in tenancy
Tipo de acceso: capacidad para realizar todas las tareas con los recursos de Exadata Database Service on Cloud@Customer en todos los compartimentos. Esto es pertinente si desea tener un único juego de administradores de base de datos que gestionen todos los sistemas Exadata Database Service on Cloud@Customer en todos los compartimentos.
Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso solo a Exadata Database Service on Cloud@Customer
Sistemas en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Allow group ExaCCAdmins to manage database-family in tenancy
Tipo de acceso:
Capacidad de realizar todas las tareas con los recursos de MySQL Database y MySQL HeatWave en todos los compartimentos. La creación y la gestión de sistemas de base de datos MySQL Database también requiere un acceso limitado a las VCN, las subredes y los espacios de nombres de etiquetas en el arrendamiento.
Allow group <group_name> to {
COMPARTMENT_INSPECT,
VCN_READ,
SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH,
NETWORK_SECURITY_GROUP_UPDATE_MEMBERS,
VNIC_CREATE, VNIC_UPDATE, VNIC_DELETE, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP
} in tenancy | compartment <compartment_name> | compartment <compartment_ocid>
Allow group <group_name> to manage mysql-family in tenancy | compartment <compartment_name> | compartment <compartment_ocid>
Allow group <group_name> to use tag-namespaces in tenancy
- Recursos de la base de datos de contenedores externa de OCI
- Recursos de la base de datos conectable externa de OCI
- Recursos de la base de datos sin contenedor externa de OCI
- Conectores de base de datos externa de OCI
Esto es pertinente si desea tener un único juego de administradores de base de datos que gestionen todos los recursos de base de datos externa de OCI en todos los compartimentos.
Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso solo a los recursos de base de datos externa de OCI de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Allow group OnPremDatabaseAdmins to manage external-database-family in tenancy
Tipo de acceso: capacidad de gestionar recursos de Autonomous Database en todos los compartimentos. Es aplicable si desea que un único juego de administradores de bases de datos gestione todos los recursos de Autonomous Database en todos los compartimentos.
Dónde crear la política: en el arrendamiento, para que el acceso se conceda a todos los compartimentos mediante la herencia política. Para reducir el ámbito de acceso a las bases de datos autónomas de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Ejemplo 1: para Roles de usuario asociados a Autonomous Database on Dedicated Exadata Infrastructure. Permite al administrador de conjuntos de Autonomous Database acceder a todos los tipos de carga de trabajo y gestionar los siguientes recursos de infraestructura de Exadata dedicada: bases de datos de contenedores autónomas y clusters de VM autónomos.
Allow group DatabaseAdmins to manage autonomous-database-family in tenancy
El tipo de recurso agregado
autonomous-database-family
no cubre el tipo de recurso cloud-exadata-infrastructures
necesario para aprovisionar Autonomous Database en una infraestructura de Exadata dedicada. Consulte Detalles de política para Exadata Database Service on Dedicated Infrastructure para obtener información sobre los permisos necesarios para gestionar los recursos de infraestructura de Exadata en la nube. Consulte Permitir a los administradores de bases de datos gestionar sistemas de base de datos de Oracle Cloud para obtener una política de ejemplo que cubra los recursos de la infraestructura de Exadata en la nube.Si debe restringir el acceso a los tipos de recurso Cluster de VM autónomo y Base de datos de contenedores autónoma (solo se aplica a la infraestructura de Exadata dedicada), puede hacerlo creando sentencias de política independientes para los administradores de base de datos que permitan el acceso solo a las bases de datos autónomas y sus copias de seguridad. Debido a que una sentencia de política solo puede especificar un tipo de recurso, debe crear sentencias independientes para la base de datos y los recursos de copia de seguridad.
Ejemplo 2: para Autonomous Database on Dedicated Exadata Infrastructure. Permite a los administradores de bases de datos de Autonomous Database acceder a las bases de datos y las copias de seguridad de los distintos tipos de carga de trabajo, pero deniega el acceso a las bases de datos de contenedores autónomas, los clusters de VM autónomos y los recursos de la infraestructura de Exadata en la nube.
Allow group ADB-Admins to manage autonomous-database in tenancy
Allow group ADB-Admins to manage autonomous-backup in tenancy
Para reducir el ámbito de acceso de las bases de datos y las copias de seguridad a un tipo de carga de trabajo específico, utilice una cláusula where
.
Ejemplo 3: Para Autonomous Database on Dedicated Exadata Infrastructure. Limita el acceso de Autonomous Database a las bases de datos y las copias de seguridad para un tipo de carga de trabajo específico.
Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'workload_type'
Allow group ADB-Admins to manage autonomous-backups in tenancy where target.workloadType = 'workload_type'
En los ejemplos de código anteriores, workload_type
es una de las cadenas que se muestran en la siguiente tabla.
Tipo de carga de trabajo de base de datos | Cadena workload_type para políticas |
---|---|
Autonomous Database para el procesamiento de transacciones y cargas de trabajo mixtas | OLTP |
Autonomous Database para análisis y almacenamiento de datos | DW |
Autonomous JSON Database | AJD |
Desarrollo de aplicaciones de Oracle APEX | APEX |
Tipo de acceso: capacidad para realizar todas las tareas con el servicio Vault en todos los compartimentos. Esto es pertinente si desea tener un único conjunto de administradores de seguridad que gestionen todos los almacenes, las claves y los componentes secretos (incluidos secretos, versiones de secretas y grupos de secretos) en todos los compartimentos.
Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso solo a los almacenes, las claves y los componentes secretos de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento. Para reducir el ámbito de acceso solo a almacenes, claves o componentes secretos, incluya solo la sentencia de política que pertenece al tipo de recurso individual o agregado correspondiente, según corresponda.
Allow group SecurityAdmins to manage vaults in tenancy
Allow group SecurityAdmins to manage keys in tenancy
Allow group SecurityAdmins to manage secret-family in tenancy
Tipo de acceso: capacidad para hacer todo tipo de tareas con claves en un almacén específico del compartimento ABC.
Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores del compartimento individual (ABC) tengan control sobre las sentencias de política individuales para su compartimento, consulte Asociación de políticas.
Allow group SecurityAdmins to manage keys in compartment ABC where target.vault.id='<vault_OCID>'
Tipo de acceso: capacidad para mostrar, ver y realizar operaciones criptográficas con una clave específica en un compartimento.
Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores del compartimento individual (ABC) tengan control sobre las sentencias de política individuales para su compartimento, consulte Asociación de políticas.
Allow group SecurityAdmins to use keys in compartment ABC where target.key.id='<key_OCID>'
Tipo de acceso: capacidad para asociar un cubo de Object Storage, un volumen de Block Volume, el sistema de archivos de File Storage, un cluster de Kubernetes o un pool de flujos de Streaming a una clave específica autorizada para su uso en un compartimento específico. Con esta política, un usuario del grupo especificado no tiene permiso para utilizar la clave en sí. En su lugar, por asociación, la clave la puede utilizar Object Storage, Block Volume, File Storage, Kubernetes Engine o Streaming en nombre del usuario para:
- Crear o actualizar un cubo, un volumen o un sistema de archivos cifrados y para cifrar o descifrar datos en el cubo, volumen o sistema de archivos.
- Cree clusters de Kubernetes con secretos de Kubernetes cifrados en reposo en el almacén de clave-valor de etcd.
- Cree una pool de flujos para cifrar los datos de los flujos en el pool de flujos.
Esta política requiere que también tenga una política asociada que permita a Object Storage, Block Volume, File Storage, Kubernetes Engine o Streaming utilizar la clave para realizar operaciones criptográficas.
Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores del compartimento individual (ABC) tengan control sobre las sentencias de política individuales para su compartimento, consulte Asociación de políticas.
Allow group ObjectWriters, VolumeWriters, FileWriters, ClusterWriters, StreamWriters to use key-delegate in compartment ABC where target.key.id = '<key_OCID>'
Tipo de acceso: capacidad para mostrar, ver y realizar operaciones criptográficas con todas las claves en el compartimento ABC. Puesto que Object Storage es un servicio regional, tiene puntos finales regionales. Como tal, debe especificar el nombre del servicio regional para cada región en la que esté utilizando Object Storage con cifrado de Vault. Esta política también requiere una política complementaria que permita a un grupo de usuarios utilizar la clave delegada que utilizará Object Storage, Block Volume, Kubernetes Engine o Streaming.
Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores del compartimento individual (ABC) tengan control sobre las sentencias de política individuales para su compartimento, consulte Asociación de políticas.
Allow service blockstorage, objectstorage-<region_name>, oke, streaming to use keys in compartment ABC where target.key.id = '<key_OCID>'
Para Object Storage, sustituya <region_name> por el identificador de región adecuado, por ejemplo:
-
objectstorage- us-phoenix-1
-
objectstorage- us-ashburn-1
-
objectstorage- eu-frankfurt-1
-
objectstorage- uk-london-1
- objectstorage-ap-tokyo-1
Para determinar el valor de nombre de una región de Oracle Cloud Infrastructure, consulte Regiones y dominios de disponibilidad.
Para Kubernetes Engine, el nombre de servicio utilizado en la política es oke
.
Para Streaming, el nombre de servicio utilizado en la política es streaming
.
Tipo de acceso: capacidad para mostrar, ver y realizar operaciones criptográficas con todas las claves en el compartimento ABC. Esta política también requiere una política complementaria que permita a un grupo de usuarios utilizar la clave delegada que utilizará File Storage.
Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores del compartimento individual (ABC) tengan control sobre las sentencias de política individuales para su compartimento, consulte Asociación de políticas.
-
Cree un grupo dinámico para los sistemas de archivos con una regla como la siguiente:
ALL { resource.type='filesystem', resource.compartment.id = '<file_system_compartment_OCID>' }
Nota
Si tiene más de una regla en el grupo dinámico, asegúrese de utilizar la opciónMatch any rules defined below
. -
Cree una política de IAM que proporcione al grupo dinámico de sistemas de archivos acceso a las claves de Vault:
allow dynamic-group <dynamic_group_name> to use keys in compartment ABC
Tipo de acceso: capacidad para hacer todo tipo de tareas con secretos en un almacén específico del compartimento ABC.
Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores del compartimento individual (ABC) tengan control sobre las sentencias de política individuales para su compartimento, consulte Asociación de políticas.
Allow group SecurityAdmins to manage secret-family in compartment ABC where target.vault.id='<vault_OCID>'
Tipo de acceso: capacidad para leer, actualizar y rotar todos los secretos en cualquier almacén del arrendamiento.
Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso solo a los almacenes, las claves y los secretos de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Allow group SecretsUsers to use secret-family in tenancy
Tipo de acceso: capacidad para gestionar la afiliación de un grupo. No incluye la capacidad de crear o suprimir usuarios, o bien gestionar sus credenciales (consulte Permitir al servicio de ayuda gestionar usuarios).
Las dos primeras sentencias permiten a GroupAdmins mostrar todos los usuarios y grupos del arrendamiento, mostrar los usuarios de un grupo concreto y mostrar los grupos en los que está un usuario concreto.
Las dos últimas sentencias permiten a GroupAdmins cambiar la afiliación a un grupo. La condición al final de las dos últimas sentencias permite a GroupAdmins gestionar la afiliación a todos los grupos excepto el grupo Administradores (consulte Grupo de administradores, política y roles de administrador). Debe proteger la afiliación a ese grupo porque confiere poder para hacer cualquier operación en el arrendamiento.
En principio, las dos últimas sentencias también deberían abarcar la funcionalidad de listado básica que activan las dos primeras sentencias. Para comprender mejor cómo funcionan las condiciones y por qué necesita también las dos primeras sentencias, consulte Variables no aplicables al resultado de una solicitud en una solicitud rechazada.
Dónde crear la política: en el arrendamiento, ya que los usuarios y grupos residen en el arrendamiento.
Allow group GroupAdmins to inspect users in tenancy
Allow group GroupAdmins to inspect groups in tenancy
Allow group GroupAdmins to use users in tenancy where target.group.name != 'Administrators'
Allow group GroupAdmins to use groups in tenancy where target.group.name != 'Administrators'
No se necesita ninguna política para permitir a los usuarios gestionar sus propias credenciales. Todos los usuarios pueden cambiar y restablecer sus propias contraseñas, gestionar sus propias claves de API y gestionar sus propios tokens de autenticación. Para obtener más información, consulte Credenciales de usuario.
Tipo de acceso: permite gestionar todos los aspectos de un compartimento concreto. Por ejemplo, un grupo denominado A-Admins podría gestionar todos los aspectos de un compartimento denominado Project-A, incluida la escritura de políticas adicionales que afectan al compartimento. Para obtener más información, consulte Anexo de políticas.
Dónde crear la política: en el arrendamiento.
Allow group A-Admins to manage all-resources in compartment Project-A
Tipo de acceso: capacidad para gestionar recursos en una región específica. Recuerde que los recursos IAM deben gestionarse en la región principal. Si la región especificada no es la región principal, el administrador no podrá gestionar los recursos de IAM. Para obtener más información sobre la región principal, consulte Gestión de regiones.
Dónde crear la política: en el arrendamiento.
Allow group PHX-Admins to manage all-resources in tenancy where request.region='phx'
La política anterior permite a PHX-Admins gestionar todos los aspectos de todos los recursos del oeste de EE. UU. (Phoenix).
Los miembros del grupo PHX-Admins solo pueden gestionar los recursos de IAM si la región principal del arrendamiento es Oeste de EE. UU. (Phoenix).
Tipo de acceso: capacidad para ver las versiones resumidas de anuncios sobre el estado operativo de los servicios de Oracle Cloud Infrastructure.
Dónde crear la política: en el arrendamiento.
Allow group AnnouncementListers to inspect announcements in tenancy
La política anterior permite a AnnouncementListers ver una lista de anuncios resumidos.
Tipo de acceso: capacidad para ver los detalles de los anuncios sobre el estado operativo de los servicios de Oracle Cloud Infrastructure.
Dónde crear la política: en el arrendamiento.
Allow group AnnouncementReaders to read announcements in tenancy
La política anterior permite a AnnouncementReaders ver una lista de anuncios resumidos y los detalles de anuncios específicos.
Tipo de acceso: capacidad de gestionar suscripciones que entregan anuncios sobre el estado operativo de los servicios de Oracle Cloud Infrastructure.
Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Debido al concepto de herencia de políticas, el grupo al que otorga acceso puede gestionar las suscripciones a anuncios en cualquier compartimento. Para reducir el ámbito de acceso a los anuncios para un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Allow group AnnouncementAdmins to manage announcement-subscriptions in tenancy
La política anterior permite a AnnouncementAdmins ver una lista de anuncios de resumen y los detalles de anuncios específicos.
Tipo de acceso: capacidad para realizar todas las tareas con el servicio Streaming en todos los compartimentos.
Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los flujos de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Allow group StreamAdmins to manage stream-family in tenancy
Tipo de acceso: capacidad para emitir mensajes en flujos con el servicio Streaming en todos los compartimentos.
Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los flujos de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Allow group StreamUsers to use stream-push in tenancy
Tipo de acceso: capacidad de emitir mensajes en un flujo con el servicio Streaming.
Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los flujos de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Allow group StreamUsers to use stream-push in tenancy where target.stream.id = '<stream_OCID>'
Tipo de acceso: capacidad de emitir mensajes en un flujo con el servicio Streaming.
Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los flujos de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Allow group StreamUsers to use stream-push in tenancy where target.streampool.id = '<streampool_OCID>'
Tipo de acceso: capacidad para consumir mensajes de flujos con el servicio Streaming en todos los compartimentos.
Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los flujos de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Allow group StreamUsers to use stream-pull in tenancy
Tipo de acceso: capacidad para ver definiciones de métricas en un compartimento específico. Para obtener más información sobre métricas, consulte Visión general de la función Métricas.
Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a las definiciones de métrica en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Allow group MetricReaders to inspect metrics in compartment ABC
Tipo de acceso: capacidad para ver y recuperar métricas de supervisión para recursos soportados en un compartimento específico. Para obtener más información sobre métricas, consulte Visión general de la función Métricas.
Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a las métricas de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Allow group MetricReaders to read metrics in compartment ABC
Tipo de acceso: capacidad para ver y recuperar métricas de supervisión para recursos de un espacio de nombres de métrica específico. Para obtener más información sobre métricas, consulte Visión general de la función Métricas.
Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso al espacio de nombres de métrica especificado a un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Allow group MetricReaders to read metrics in compartment ABC where target.metrics.namespace='oci_computeagent'
La política anterior permite a MetricReaders
ver y recuperar puntos de datos de métricas de todas las instancias informáticas activadas para supervisión del compartimento ABC
.
Tipo de acceso: capacidad para publicar métricas personalizadas en un espacio de nombres de métrica específico para el servicio Monitoring. Para obtener instrucciones, consulte Publicación de métricas personalizadas.
Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a las métricas de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Allow group MetricPublishers to use metrics in tenancy where target.metrics.namespace='mycustomnamespace'
La política anterior permite a MetricPublishers
publicar puntos de datos para el espacio de nombres de métrica personalizado mycustomnamespace
en el arrendamiento.
Tipo de acceso: capacidad de llamar a la API de Monitoring para acceder a métricas de supervisión. Las instancias en las que se originan las solicitudes de API deben ser miembros del grupo dinámico indicado en la política. Para obtener más información, consulte Llamada a servicios desde una instancia y Visión general de la función Métricas.
Dónde crear la política: en el arrendamiento.
Allow dynamic-group MetricInstances to read metrics in tenancy
La política anterior permite a las aplicaciones que se ejecutan en instancias informáticas del grupo dinámico MetricInstances
enviar solicitudes de API al servicio Monitoring en el arrendamiento.
Tipo de acceso: capacidad para ver alarmas de recursos soportados en el arrendamiento. No incluye la capacidad de crear alarmas ni de crear o suprimir temas. Para obtener más información sobre alarmas, consulte Visión general de la función Alarmas.
Dónde crear la política: en el arrendamiento. Debido al concepto de Herencia de políticas, AlarmUsers podrá ver las alarmas de cualquier compartimento. Para reducir el ámbito de acceso a un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Allow group AlarmUsers to read alarms in tenancy
Allow group AlarmUsers to read metrics in tenancy
Tipo de acceso: capacidad para ver y crear alarmas con temas de notificación existentes para recursos soportados en el arrendamiento. No incluye la capacidad de crear o suprimir temas. Para obtener más información sobre alarmas, consulte Visión general de la función Alarmas.
Todas las sentencias son necesarias para permitir a AlarmUsers crear alarmas.
Dónde crear la política: en el arrendamiento. Debido al concepto de Herencia de políticas, AlarmUsers podrá ver y crear alarmas en cualquier compartimento. Para reducir el ámbito de acceso a un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Allow group AlarmUsers to manage alarms in tenancy
Allow group AlarmUsers to read metrics in tenancy
Allow group AlarmUsers to use ons-topics in tenancy
Tipo de acceso: capacidad para ver y crear alarmas (con temas nuevos o existentes) para recursos soportados en el arrendamiento. También incluye la capacidad de crear suscripciones en el arrendamiento, publicar mensajes (mensajes de notificación transmitidos) en todas las suscripciones del arrendamiento y mover alarmas a distintos compartimentos del arrendamiento. Para obtener más información sobre alarmas, consulte Visión general de la función Alarmas.
Dónde crear la política: en el arrendamiento. Debido al concepto de Herencia de políticas, AlarmUsers podrá ver y crear alarmas en cualquier compartimento. Para reducir el ámbito de acceso a un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Allow group AlarmUsers to manage alarms in tenancy
Allow group AlarmUsers to read metrics in tenancy
Allow group AlarmUsers to manage ons-topics in tenancy
Tipo de acceso: capacidad para ver informes de uso del arrendamiento. Para obtener más información sobre los informes de uso, consulte Visión general de los informes de uso y costos.
Dónde crear la política: se trata de una política especial de varios arrendamientos y se debe crear en el arrendamiento. Para obtener más información, consulte Acceso a los informes de uso y costos.
define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
endorse group Administrators to read objects in tenancy usage-report
Tipo de acceso: capacidad para ver costos del arrendamiento. Consulte Comprobación de los gastos y el uso.
Dónde crear la política: en el arrendamiento para que los usuarios de <Example_Group> puedan ver los costos de toda la cuenta.
Allow group <Example_Group> to read usage-reports in tenancy
Tipo de acceso: capacidad para obtener, crear, actualizar y suprimir temas en el arrendamiento, así como para mover temas a diferentes compartimentos en el arrendamiento. También incluye la capacidad de crear suscripciones en el arrendamiento y publicar mensajes (mensajes de notificación transmitidos) en todas las suscripciones del arrendamiento.
Dónde crear la política: en el arrendamiento.
Allow group A-Admins to manage ons-topics in tenancy
Tipo de acceso: capacidad para mostrar, crear, actualizar y suprimir suscripciones a temas en el arrendamiento. Capacidad para mover suscripciones a diferentes compartimentos en el arrendamiento.
Dónde crear la política: en el arrendamiento.
Allow group A-Admins to manage ons-subscriptions in tenancy
Tipo de acceso: capacidad para enviar mensajes de notificación a todas las suscripciones del arrendamiento, así como mostrar, crear, actualizar y suprimir suscripciones en el arrendamiento.
Dónde crear la política: en el arrendamiento.
Allow group A-Admins to use ons-topics in tenancy
Tipo de acceso: capacidad de crear, desplegar y gestionar aplicaciones y funciones de OCI Functions mediante Cloud Shell. Estas sentencias de política proporcionan al grupo acceso a Cloud Shell, los repositorios de Oracle Cloud Infrastructure Registry, los logs, las métricas, las funciones, las redes y el rastreo.
Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso solo a los recursos de un compartimento concreto, puede especificar el compartimento en lugar del arrendamiento para la mayoría de las sentencias de política. Sin embargo, to use cloud-shell
, to manage repos
y to read objectstorage-namespaces
siempre deben estar en el ámbito del arrendamiento.
Allow group functions-developers to use cloud-shell in tenancy
Allow group functions-developers to manage repos in tenancy
Allow group functions-developers to read objectstorage-namespaces in tenancy
Allow group functions-developers to manage logging-family in tenancy
Allow group functions-developers to read metrics in tenancy
Allow group functions-developers to manage functions-family in tenancy
Allow group functions-developers to use virtual-network-family in tenancy
Allow group functions-developers to use apm-domains in tenancy
Allow group functions-developers to read vaults in tenancy
Allow group functions-developers to use keys in tenancy
Allow service faas to use apm-domains in tenancy
Allow service faas to read repos in tenancy where request.operation='ListContainerImageSignatures'
Allow service faas to {KEY_READ} in tenancy where request.operation='GetKeyVersion'
Allow service faas to {KEY_VERIFY} in tenancy where request.operation='Verify'
Tipo de acceso: capacidad para mostrar reglas de eventos.
Dónde crear la política: en el arrendamiento.
Allow group RuleReaders to read cloudevents-rules in tenancy
La política anterior permite a RuleReaders mostrar reglas en el arrendamiento.
Tipo de acceso: capacidad de gestionar reglas de eventos, incluidas la creación, supresión y actualización de reglas.
Dónde crear la política: en el arrendamiento.
Esta línea permite al usuario inspeccionar el acceso a los recursos en compartimentos para seleccionar acciones.
allow group <RuleAdmins> to inspect compartments in tenancy
Esta línea proporciona al usuario acceso a etiquetas definidas para aplicar etiquetas de filtro a las reglas.
allow group <RuleAdmins> to use tag-namespaces in tenancy
Estas líneas proporcionan al usuario acceso a los recursos de streaming para acciones.
allow group <RuleAdmins> to inspect streams in tenancy
allow group <RuleAdmins> to use stream-push in tenancy
allow group <RuleAdmins> to use stream-pull in tenancy
Estas líneas proporcionan al usuario acceso a recursos de funciones para acciones.
allow group <RuleAdmins> to use virtual-network-family in tenancy
allow group <RuleAdmins> to manage function-family in tenancy
Esta línea proporciona al usuario acceso a temas de notificaciones para acciones.
allow group <RuleAdmins> to use ons-topic in tenancy
Esta línea proporciona al usuario acceso de administración a reglas para eventos.
allow group <RuleAdmins> to manage cloudevents-rules in tenancy
Tipo de acceso: acceso de solo lectura a todos los Cloud Guard. En la política de ejemplo, el grupo es "CloudGuard_ReadOnly".
allow group CloudGuard_ReadOnly to read cloud-guard-family in tenancy
allow group CloudGuard_ReadOnly to read compartments in tenancy
allow group CloudGuard_ReadOnly to read announcements in tenancy
Tipo de acceso: acceso de solo lectura a los problemas de Cloud Guard. En la política de ejemplo, el grupo es "CloudGuard_ReadOnlyProblems".
allow group CloudGuard_ReadOnlyProblems to read cloud-guard-family in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-detectors in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-targets in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-resource-types in tenancy
allow group CloudGuard_ReadOnlyProblems to read announcements in tenancy
allow group CloudGuard_ReadOnlyProblems to read compartments in tenancy
allow group CloudGuard_ReadOnlyProblems to read cloud-guard-config in tenancy
Tipo de acceso: acceso de solo lectura a recetas de detector de Cloud Guard. En la política de ejemplo, el grupo es "CloudGuard_ReadOnlyDetectors".
allow group CloudGuard_ReadOnlyDetectors to read cloud-guard-detector-recipes in tenancy
allow group CloudGuard_ReadOnlyDetectors to read announcements in tenancy
allow group CloudGuard_ReadOnlyDetectors to read compartments in tenancy
allow group CloudGuard_ReadOnlyDetectors to read cloud-guard-config in tenancy
Tipo de acceso: acceso de solo lectura a Cloud Guard en un solo compartimento. En la política de ejemplo, el grupo es "CloudGuard_ReadOnly_SingleCompartment" y el nombre del compartimento es "cgDemo_RestrictedAccess".
allow group CloudGuard_ReadOnly_SingleCompartment to read compartments in tenancy where target.compartment.name = 'cgDemo_RestrictedAccess'
allow group CloudGuard_ReadOnly_SingleCompartment to read cloud-guard-family in compartment cgDemo_RestrictedAccess
allow group CloudGuard_ReadOnly_SingleCompartment to read announcements in compartment cgDemo_RestrictedAccess
allow group CloudGuard_ReadOnly_SingleCompartment to read cloud-guard-config in tenancy
Tipo de acceso: capacidad de gestionar todos los recursos del servicio Bastion en todos los compartimentos. Esto es pertinente si desea que un único juego de administradores de seguridad gestione todos los bastiones y sesiones en todos los compartimentos.
Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso solo a los bastiones y las sesiones de bastión de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Allow group SecurityAdmins to manage bastion in tenancy
Allow group SecurityAdmins to manage bastion-session in tenancy
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy
Tipo de acceso: capacidad de gestionar todas las sesiones en todos los bastiones y en todos los compartimentos, incluida la creación de sesiones, la conexión a estas y su terminación.
Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso solo a las sesiones de bastión de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Allow group SecurityAdmins to use bastion in tenancy
Allow group SecurityAdmins to manage bastion-session in tenancy
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy
Tipo de acceso: capacidad de gestionar sesiones en un bastión de un compartimento específico y solo para sesiones que proporcionen conectividad a una instancia de Compute específica.
Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas.
Allow group SecurityAdmins to use bastion in compartment ABC
Allow group SecurityAdmins to manage bastion-session in compartment ABC where ALL {target.resource.ocid='<instance_OCID>', target.bastion-session.username='<session_username>'}
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy
Tipo de acceso: capacidad para mostrar, crear, actualizar y suprimir conectores en el arrendamiento. Capacidad para mover conectores a diferentes compartimentos en el arrendamiento.
Dónde crear la política: en el arrendamiento.
Allow group A-Admins to manage serviceconnectors in tenancy
Tipo de acceso: capacidad para llamar a operaciones de ingesta de Ops Insights solo en el nivel de arrendamiento.
Dónde crear la política: en el arrendamiento.
allow group opsi-users to use opsi-database-insights in tenancy
where any
{request.operation='IngestSqlBucket',
request.operation='IngestSqlText',
request.operation='IngestSqlPlanLines'}
Capacidad de crear, suprimir y modificar espacios de trabajo en un compartimento.
allow group <group-name> to manage dis-workspaces in <compartment-name>
allow group <group-name> to manage dis-work-requests in <compartment-name>
allow group <group-name> to manage tag-namespaces in <compartment-name>
Capacidad de crear, suprimir y modificar espacios de trabajo dentro de una red virtual.
allow service dataintegration to use virtual-network-family in <compartment-name>
allow group <group-name> to manage dis-workspaces in <compartment-name>
allow group <group-name> to manage dis-work-requests in <compartment-name>
allow group <group-name> to use virtual-network-family in <compartment-name>
allow group <group-name> to manage tag-namespaces in <compartment-name>
Capacidad de crear y utilizar activos de datos de Object Storage en todos los espacios de trabajo.
allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to use object-family in <compartment-name>
Para otorgar acceso a un espacio de trabajo individual, especifique el OCID del espacio de trabajo al que desea permitir el acceso. Por ejemplo:
allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
Capacidad de crear y utilizar activos de datos de base de datos autónoma en todos los espacios de trabajo.
allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to use object-family in <compartment-name>
allow any-group to manage buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.permission='PAR_MANAGE'}
Para otorgar acceso a un espacio de trabajo individual, especifique el OCID del espacio de trabajo al que desea permitir el acceso. Por ejemplo:
allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-group to manage buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>', request.permission='PAR_MANAGE'}
Capacidad de buscar los componentes de Data Integration en un espacio de trabajo determinado.
Esta política se debe aplicar en el nivel de arrendamiento (compartimento raíz).
allow service dataintegration to {TENANCY_INSPECT} in tenancy
allow service dataintegration to {DIS_METADATA_INSPECT} in tenancy
Capacidad de mover espacios de trabajo a un nuevo compartimento.
allow service dataintegration to inspect compartments in <compartment-name>
allow group <group-name> to manage dis-workspaces in <compartment-name>
Capacidad de publicar las diferentes tareas dentro de todos los espacios de trabajo en el servicio Data Flow de OCI.
allow any-group to manage dataflow-application in <compartment-name> where ALL {request.principal.type='disworkspace'}
Para otorgar acceso a un espacio de trabajo individual, especifique el OCID del espacio de trabajo al que desea permitir el acceso. Por ejemplo:
allow any-group to manage dataflow-application in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
Capacidad de utilizar secretos de OCI Vault en todos los espacios de trabajo.
allow any-group to read secret-bundles in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to read secret-bundles in <compartment-name>
Para otorgar acceso a un espacio de trabajo individual, especifique el OCID del espacio de trabajo. Por ejemplo:
allow any-group to read secret-bundles in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}