Verbos

El elemento verbal de una sentencia de política especifica el tipo de acceso. Por ejemplo, utilice inspect para permitir que los auditores de terceros muestren los recursos especificados.

Oracle define los verbos para crear políticas de IAM.

De menos a más acceso, los siguientes son verbos posibles:

  • inspect
  • read
  • use
  • manage

Acceso general cubierto por cada verbo

A continuación, se muestran los tipos generales de acceso y los usuarios de destino para cada verbo posible, que se ordenan de menor a mayor acceso. Algunos recursos admiten excepciones. Consulte

Verbo Usuario de destino Tipos de acceso cubiertos
inspect Auditores de terceros Capacidad para mostrar recursos, sin acceso a información confidencial o metadatos especificados por el usuario que pueden formar parte de ese recurso. Importante: la operación para mostrar las políticas incluye el contenido de las propias políticas. Las operaciones de listas para los tipos de recursos de redes devuelven toda la información (por ejemplo, el contenido de las listas de seguridad y las tablas de rutas).
read Auditores internos Incluye inspect y la capacidad de obtener metadatos especificados por el usuario y el propio recurso.
use Usuarios finales diarios de recursos Incluye read y la capacidad de trabajar con recursos existentes (las acciones varían según el tipo de recurso). Incluye la capacidad de actualizar el recurso, excepto los tipos de recursos en los que la operación "update" tiene el mismo efecto que la operación "create" (por ejemplo, UpdatePolicy, UpdateSecurityList y más), en cuyo caso la capacidad "update" solo está disponible con el verbo manage. En general, este verbo no incluye la capacidad de crear o suprimir ese tipo de recurso.
manage Administradores Incluye todos los permisos para el recurso.

El verbo proporciona un determinado tipo de acceso general (por ejemplo, inspect le permite enumerar y obtener recursos). Al unirse a ese tipo de acceso con un determinado tipo de recurso en una política (por ejemplo, Allow group XYZ to inspect compartments in the tenancy), le otorga a dicho grupo acceso a un juego específico de permisos y operaciones de API (por ejemplo, ListCompartments, GetCompartment). Para obtener más ejemplos, consulte Detalles de combinaciones de verbo + tipo de recurso. La referencia de política de servicio detallada incluye una tabla similar para cada servicio, lo que le proporciona una lista de las operaciones de API cubiertas para cada combinación de verbo y tipo de recurso.

Existen algunas excepciones o matices especiales para ciertos tipos de recursos.

Usuarios: el acceso a manage users y a manage groups permite realizar cualquier acción con usuarios y grupos, incluidas la creación y la supresión de usuarios y grupos, así como la agregación/eliminación de usuarios de los grupos. Para agregar/eliminar usuarios de los grupos sin acceso a la creación y la supresión de usuarios y grupos, solo se necesita use users y use groups. Consulte Plantillas de Política del Creador de Políticas.

Políticas: la capacidad para actualizar una política solo está disponible con manage policies, no use policies, porque la actualización de una política es similar a la creación de una nueva política (puede sobrescribir las sentencias de política existentes). Además, inspect policies le permite obtener el contenido completo de las políticas.

Objetos de Object Storage: inspect objects permite mostrar todos los objetos de un cubo y realizar una operación HEAD para un objeto determinado. En comparación, read objects permite descargar el objeto en sí.

Recursos del equilibrador de carga: tenga en cuenta que inspect load-balancers permite obtener toda la información sobre los equilibradores de carga y los componentes relacionados (juegos de backend, etc.).

Recursos de red:

Tenga en cuenta que el verbo inspect no solo devuelve información general sobre los componentes de la red en la nube (por ejemplo, el nombre y el OCID de una lista de seguridad o de una tabla de rutas). También incluye el contenido del componente (por ejemplo, las reglas reales en la lista de seguridad, las rutas en la tabla de rutas, etc.).

Además, los siguientes tipos de capacidades están disponibles solo con el verbo manage, no con el verbo use:

  • Actualizar (activar/desactivar) internet-gateways
  • Actualizar security-lists
  • Actualizar route-tables
  • Actualizar dhcp-options
  • Asociación de un gateway de enrutamiento dinámico (DRG) a una red virtual en la nube (VCN)
  • Crear una conexión de IPSec entre un equipo de DRG y equipos locales de cliente (CPE)
  • VCN de peers
Importante

Cada VCN tiene varios componentes que afectan directamente al comportamiento de la red (tablas de rutas, listas de seguridad, opciones DHCP, gateway de Internet, etc.). Cuando crea uno de estos componentes, establece una relación entre dicho componente y la VCN, lo que significa que debe estar autorizado en una política tanto para crear el componente como para gestionar la VCN. Sin embargo, la capacidad de actualizar dicho componente (cambiar las reglas de ruta, las reglas de la lista de seguridad, etc.) NO requiere de permiso para gestionar la VCN en sí, aunque el cambio de dicho componente pueda afectar directamente al comportamiento de la red. Esta discrepancia está diseñada para proporcionarle flexibilidad a la hora de otorgar menos privilegios a los usuarios, de modo que no sea necesario que conceda un acceso excesivo a la VCN para que el usuario pueda gestionar otros componentes de la red. Tenga en cuenta que, al concederle a alguien la posibilidad de actualizar un tipo de componente en particular, está confiándole implícitamente el control del comportamiento de la red.