Políticas de acceso entre arrendamientos

Utilice sentencias de política entre arrendamientos para crear políticas de IAM que funcionen entre arrendamientos.

Puede crear sentencias de política entre arrendamientos, además de las sentencias de política de servicio y usuario necesarias, para compartir recursos con otra organización que tenga su propio arrendamiento. Esa organización puede ser otra unidad de negocio de la compañía, un cliente de la compañía, una compañía que le presta servicios, etc.

Para acceder a los recursos y compartirlos, los administradores de ambos arrendamientos deben crear sentencias de política especiales que determinen de forma explícita los recursos que se pueden compartir y a los que se puede acceder. Estas sentencias especiales usan las palabras Define, Endorse y Admit.

Sentencias Endorse, Admit y Define

Utilice las siguientes palabras de inicio especiales en sentencias entre arrendamientos:

  • Endorse: determina el juego general de capacidades que un grupo de su propio arrendamiento puede realizar en otros arrendamientos. La sentencia Endorse siempre pertenece al arrendamiento que contiene el grupo de usuarios que cruzan los límites para trabajar con los recursos de otro arrendamiento. En los ejemplos, este arrendamiento se denomina arrendamiento de origen.
  • Admit: determina el tipo de capacidad de su propio arrendamiento que desea otorgar a un grupo del otro arrendamiento. La sentencia Admit pertenece al arrendamiento que otorga la "admisión" en el arrendamiento. La sentencia Admit identifica el grupo de usuarios que requieren acceso al recurso desde el arrendamiento de origen y que se identifica con la sentencia Endorse correspondiente. En los ejemplos, este arrendamiento se denomina arrendamiento de destino.
  • Define: asigna un alias a un OCID de arrendamiento para las sentencias de política Endorse y Admit. La sentencia Define también es necesaria en el arrendamiento de destino para asignar un alias al OCID del grupo de IAM de origen para las sentencias Admit.

    Incluir una sentencia Define en la misma sentencia de política que la sentencia de política Endorse o Admit.

Las sentencias Endorse y Admit funcionan juntas. Una sentencia Endorse reside en el arrendamiento de origen y una sentencia Admit reside en el arrendamiento de destino. Sin una sentencia correspondiente que especifique el acceso, una sentencia Endorse o Admit en particular no otorga acceso. Ambos arrendamientos deben aceptar el acceso.

Importante

Además de las sentencias de política, los arrendamientos de destino y de origen deben suscribirse a las mismas regiones para compartir recursos.

Ejemplos de arrendamiento combinado

  • La siguiente política permite al grupo StorageAdmins gestionar recursos en los recursos de Object Storage del arrendamiento de destino:

    Endorse group StorageAdmins to manage object-family in any-tenancy 

    Las siguientes sentencias de política avalan que el grupo de IAM StorageAdmins del arrendamiento de origen realice cualquier acción con todos los recursos de Object Storage de su arrendamiento de destino:

    Define tenancy SourceTenancy as ocid1.tenancy.oc1.exampleuniqueID
    Define group StorageAdmins as ocid1.group.oc1.exampleuniqueID
    Admit group StorageAdmins of tenancy SourceTenancy to manage object-family in tenancy 
  • Para escribir una política que reduzca el ámbito de acceso al arrendamiento, el administrador de origen debe hacer referencia al OCID del arrendamiento de destino proporcionado por el administrador de destino. Las siguientes sentencias de política avalan que el grupo de IAM StorageAdmins gestione recursos de Object Storage solo en DestinationTenancy:

    Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
    Endorse group StorageAdmins to manage object-family in tenancy DestinationTenancy

    Estas sentencias de política de ejemplo avalan que el grupo de IAM StorageAdmins del arrendamiento de origen gestione recursos de Object Storage solo en el compartimento SharedBuckets:

    Define tenancy SourceTenancy as ocid1.tenancy.oc1..exampleuniqueID
    Define group StorageAdmins as ocid1.group.oc1..exampleuniqueID
    Admit group StorageAdmins of tenancy SourceTenancy to manage object-family in compartment SharedBuckets