Detalles para el servicio File Storage

En este tema, se tratan los detalles de la escritura de políticas para controlar el acceso al servicio File Storage.

Tipo de recurso agregado

file-family

Tipos de recursos Individuales

file-systems
filesystem-snapshot-policies
mount-targets
outbound-connectors
export-sets
replications
replication-targets
work-requests

Comentarios

Una política que utiliza <verb> file-family equivale a escribir una política con una sentencia <verb> <individual resource-type> independiente para cada uno de los tipos de recursos individuales.

Consulte en la tabla Detalles de combinaciones de verbo + tipo de recurso los detalles de las operaciones de API que cubre cada verbo para cada tipo de recurso individual incluido en file-family.

Variables soportadas

Solo están soportadas las variables generales (consulte Variables generales para todas las solicitudes).

Detalles de combinaciones de verbo + tipo de recurso

En las siguientes tablas, se muestran los permisos y las operaciones de API que abarca cada verbo. El nivel de acceso es acumulativo al recorrer la progresión inspect > read > use > manage. Por ejemplo, un grupo que puede utilizar un recurso también puede inspeccionar y leer ese recurso. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda directamente por encima, mientras que "no extra" indica que no hay acceso incremental.

Por ejemplo, el verbo read para el tipo de recurso file-systems incluye los mismos permisos y operaciones de API que el verbo inspect, además del permiso FILE_SYSTEM_READ y una serie de operaciones de API (p. ej., GetFileSystem, ListMountTargets, etc.). El verbo use abarca otro permiso y juego de operaciones de API en comparación con read. Por último, manage abarca dos permisos y operaciones más en comparación con use.

export-sets


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	EXPORT_SET_INSPECT	`ListExportSets`	ninguna
read	INSPECT + EXPORT_SET_READ	INSPECT + `GetExport` `GetExportSet` `ListExports`	ninguna
use	no extra	no extra	ninguna
manage	USE + EXPORT_SET_CREATE EXPORT_SET_UPDATE EXPORT_SET_DELETE	USE + `CreateExportSet` `UpdateExportSet` `DeleteExportSet`	`CreateExport` `DeleteExport` (también necesitan `use file-systems`) `AddExportLock` `RemoveExportLock`

file-systems


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	FILE_SYSTEM_INSPECT	`ListFileSystems`	ninguna
read	INSPECT + FILE_SYSTEM_READ	INSPECT + `GetFileSystem` `GetSnapshot` `ListSnapshots`	ninguna
use	READ + FILE_SYSTEM_NFSv3_EXPORT FILE_SYSTEM_NFSv3_UNEXPORT FILE_SYSTEM_CLONE FILE_SYSTEM_REPLICATION_SOURCE FILE_SYSTEM_UPDATE_FILESYSTEM_SNAPSHOT_POLICY	no extra	`DeleteExport` (también necesitan `manage export-sets`)
manage	USE + FILE_SYSTEM_CREATE FILE_SYSTEM_UPDATE FILE_SYSTEM_DELETE FILE_SYSTEM_MOVE FILE_SYSTEM_CREATE_SNAPSHOT FILE_SYSTEM_DELETE_SNAPSHOT FILE_SYSTEM_CLONE FILE_SYSTEM_REPLICATION_TARGET	USE + `CreateFileSystem` `UpdateFileSystem` `DeleteFileSystem` `ChangeFileSystemCompartment` `CreateSnapshot` `DeleteSnapshot`	Si crea un sistema de archivos o un clon cifrado con una clave de cifrado maestra de Key Management, también se necesita `use key-delegate` (para el emisor de llamada) y `read keys` (para el principal de servicio). Para obtener más información, consulte Detalles para el servicio Vault. La clonación de un sistema de archivos utiliza la API `CreateFileSystem` y necesita FILE_SYSTEM_CLONE. `AddFileSystemLock` `RemoveFileSystemLock`

políticas de instantáneas del sistema de archivos


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	FILESYSTEM_SNAPSHOT_POLICY_INSPECT	`ListFilesystemSnapshotPolicies`	ninguna
read	INSPECT + FILESYSTEM_SNAPSHOT_POLICY_READ	`ListFilesystemSnapshotPolicies` `GetFilesystemSnapshotPolicy`	ninguna
use	READ + FILE_SYSTEM_UPDATE_FILESYSTEM_SNAPSHOT_POLICY	`ListFilesystemSnapshotPolicies` `GetFilesystemSnapshotPolicy`	`UpdateFileSystem`
manage	USE + FILESYSTEM_SNAPSHOT_POLICY_CREATE FILESYSTEM_SNAPSHOT_POLICY_UPDATE FILESYSTEM_SNAPSHOT_POLICY_MOVE FILESYSTEM_SNAPSHOT_POLICY_DELETE	`ListFilesystemSnapshotPolicies` `GetFilesystemSnapshotPolicy` `CreateFilesystemSnapshotPolicy` `UpdateFilesystemSnapshotPolicy` `MoveFilesystemSnapshotPolicy` `DeleteFilesystemSnapshotPolicy`	`AddFilesystemSnapshotPolicyLock` `RemoveFilesystemSnapshotPolicyLock`

mount-targets


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	MOUNT_TARGET_INSPECT	`ListMountTargets`	ninguna
read	INSPECT + MOUNT_TARGET_READ	INSPECT + `GetMountTarget`	ninguna
use	no extra	no extra	ninguna
manage	USE + MOUNT_TARGET_CREATE MOUNT_TARGET_UPDATE MOUNT_TARGET_SHAPE_UPGRADE MOUNT_TARGET_SHAPE_DOWNGRADE MOUNT_TARGET_DELETE MOUNT_TARGET_MOVE		USE + `CreateMountTarget`, `DeleteMountTarget`, (también necesitan `use vnics`, `use private-ips` y `use subnets` `ChangeMountTargetCompartment`, `UpgradeMountTarget`, `DowngradeMountTarget`, `AddMountTargetLock`, `RemoveMountTargetLock`

conectores de salida


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	OUTBOUND_CONNECTOR_INSPECT	`ListOutboundConnectors`	ninguna
read	INSPECT + OUTBOUND_CONNECTOR_READ	INSPECT + `GetOutboundConnector`	ninguna
use	no extra	no extra	ninguna
manage	USE + OUTBOUND_CONNECTOR_CREATE OUTBOUND_CONNECTOR_UPDATE OUTBOUND_CONNECTOR_DELETE OUTBOUND_CONNECTOR_MOVE	USE + `CreateOutboundConnector` `UpdateOutboundConnector` `DeleteOutboundConnector` `ChangeOutboundConnectorCompartment`	`AddOutboundConnectorLock` `RemoveOutboundConnectorLock`

replicaciones y objetivos de replicación


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	REPLICATION_INSPECT	`ListReplications`	ninguna
read	INSPECT + REPLICATION_READ	INSPECT + `GetReplication`	ninguna
use	no extra	no extra	ninguna
manage	USE + REPLICATION_CREATE REPLICATION_UPDATE REPLICATION_DELETE REPLICATION_MOVE	USE + `CreateReplication` `UpdateReplication` `ChangeReplicationCompartment` `DeleteReplication` `DeleteReplicationTarget`	`AddReplicationLock` `RemoveReplicationLock`

work-requests


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	FSS_WORK_REQUEST_INSPECT	`ListWorkRequests`	ninguna
read	INSPECT + FSS_WORK_REQUEST_READ	INSPECT + `GetWorkRequest`	ninguna

Permisos necesarios para cada operación de API

En la siguiente tabla, se muestran las operaciones de API en un orden lógico, agrupadas por tipo de recurso.

Consejo

Si un grupo utiliza la consola para crear sistemas de archivos, se necesitan permisos para leer destinos de montaje. Consulte los ejemplos de políticas de File Storage para obtener más información.

Para obtener más información sobre los permisos, consulte Permisos.


Operación de API	Permisos necesarios para utilizar la operación
`ListExports`	EXPORT_SET_READ
`CreateExport`	EXPORT_SET_UPDATE + FILE_SYSTEM_NFSv3_EXPORT
`GetExport`	EXPORT_SET_READ
`AddExportLock`	EXPORT_SET_UPDATE + RESOURCE_LOCK_ADD
`RemoveExportLock`	EXPORT_SET_UPDATE + RESOURCE_LOCK_REMOVE
`DeleteExport`	EXPORT_SET_UPDATE + FILE_SYSTEM_NFSv3_UNEXPORT
`ListExportSets`	EXPORT_SET_INSPECT
`CreateExportSet`	EXPORT_SET_CREATE
`GetExportSet`	EXPORT_SET_READ
`UpdateExportSet`	EXPORT_SET_UPDATE
`DeleteExportSet`	EXPORT_SET_DELETE
`ListFileSystems`	FILE_SYSTEM_INSPECT
`CreateFileSystem`	FILE_SYSTEM_CREATE La clonación de un sistema de archivos también requiere FILE_SYSTEM_CLONE La asociación del sistema de archivos con una política de instantánea también requiere FILE_SYSTEM_UPDATE_FILESYSTEM_SNAPSHOT_POLICY
`GetFileSystem`	FILE_SYSTEM_READ
`UpdateFileSystem`	FILE_SYSTEM_UPDATE La asociación del sistema de archivos con una política de instantánea también requiere FILE_SYSTEM_UPDATE_FILESYSTEM_SNAPSHOT_POLICY
`AddFileSystemLock`	FILE_SYSTEM_UPDATE + RESOURCE_LOCK_ADD
`RemoveFileSystemLock`	FILE_SYSTEM_UPDATE + RESOURCE_LOCK_REMOVE
`DeleteFileSystem`	FILE_SYSTEM_DELETE
`ChangeFileSystemCompartment`	FILE_SYSTEM_MOVE
`GetFilesystemSnapshotPolicy`	FILESYSTEM_SNAPSHOT_POLICY_READ
`ListFilesystemSnapshotPolicies`	FILESYSTEM_SNAPSHOT_POLICY_INSPECT
`CreateFilesystemSnapshotPolicy`	FILESYSTEM_SNAPSHOT_POLICY_CREATE
`UpdateFilesystemSnapshotPolicy`	FILESYSTEM_SNAPSHOT_POLICY_UPDATE
`AddFilesystemSnapshotPolicyLock`	FILESYSTEM_SNAPSHOT_POLICY_UPDATE + RESOURCE_LOCK_ADD
`RemoveFilesystemSnapshotPolicyLock`	FILESYSTEM_SNAPSHOT_POLICY_UPDATE + RESOURCE_LOCK_REMOVE
`DeleteFilesystemSnapshotPolicy`	FILESYSTEM_SNAPSHOT_POLICY_DELETE
`MoveFilesystemSnapshotPolicy`	FILESYSTEM_SNAPSHOT_POLICY_MOVE
`ListMountTargets`	MOUNT_TARGET_INSPECT
`CreateMountTarget`	MOUNT_TARGET_CREATE + VNIC_CREATE(vnicCompartment) + SUBNET_ATTACH(subnetCompartment) + VNIC_ATTACH(vnicCompartment) + PRIVATE _IP_CREATE(subnetCompartment) + PRIVATE_IP_ASSIGN(subnetCompartment) + VNIC_ASSIGN(subnetCompartment)
`GetMountTarget`	MOUNT_TARGET_READ
`UpdateMountTarget`	MOUNT_TARGET_UPDATE
`UpgradeShapeMountTarget`	MOUNT_TARGET_SHAPE_UPGRADE
`ScheduleDowngradeShapeMountTarget`	MOUNT_TARGET_SHAPE_DOWNGRADE
`CancelDowngradeShapeMountTarget`	MOUNT_TARGET_SHAPE_DOWNGRADE
`AddMountTargetLock`	MOUNT_TARGET_UPDATE + RESOURCE_LOCK_ADD
`RemoveMountTargetLock`	MOUNT_TARGET_UPDATE + RESOURCE_LOCK_REMOVE
`DeleteMountTarget`	MOUNT_TARGET_DELETE + VNIC_DELETE(vnicCompartment) + SUBNET_DETACH(subnetCompartment) + VNIC_DETACH(vnicCompartment) + PRIVATE_IP_DELETE(subnetCompartment) + PRIVATE_IP_UNASSIGN(subnetCompartment) + VNIC_UNASSIGN(vnicCompartment)
`ChangeMountTargetCompartment`	MOUNT_TARGET_MOVE
`ListOutboundConnectors`	OUTBOUND_CONNECTOR_INSPECT
`CreateOutboundConnector`	OUTBOUND_CONNECTOR_CREATE
`GetOutboundConnector`	OUTBOUND_CONNECTOR_READ
`UpdateOutboundConnector`	OUTBOUND_CONNECTOR_UPDATE
`AddOutboundConnectorLock`	OUTBOUND_CONNECTOR_UPDATE + RESOURCE_LOCK_ADD
`RemoveOutboundConnectorLock`	OUTBOUND_CONNECTOR_UPDATE + RESOURCE_LOCK_REMOVE
`DeleteOutboundConnector`	OUTBOUND_CONNECTOR_DELETE
`ChangeOutboundConnectorCompartment`	OUTBOUND_CONNECTOR_MOVE
`ListSnapshots`	FILE_SYSTEM_READ
`CreateSnapshot`	FILE_SYSTEM_CREATE_SNAPSHOT
`GetSnapshot`	FILE_SYSTEM_READ
`DeleteSnapshot`	FILE_SYSTEM_DELETE_SNAPSHOT
`GetReplication`	REPLICATION_READ
`ListReplications`	REPLICATION_INSPECT
`CreateReplication`	REPLICATION_CREATE + FILE_SYSTEM_REPLICATION_SOURCE (sistema de archivos de origen) + FILE_SYSTEM_REPLICATION_TARGET (sistema de archivos de destino)
`UpdateReplication`	REPLICATION_UPDATE
`AddReplicationLock`	REPLICATION_UPDATE + RESOURCE_LOCK_ADD
`RemoveReplicationLock`	REPLICATION_UPDATE + RESOURCE_LOCK_REMOVE
`ChangeReplicationCompartment`	REPLICATION_MOVE
`DeleteReplication`	REPLICATION_DELETE
`DeleteReplicationTarget`	REPLICATION_DELETE
`GetWorkRequest`	FSS_WORK_REQUEST_READ
`ListWorkRequests`	FSS_WORK_REQUEST_INSPECT