Control de acceso
En este tema se ofrece información básica sobre el uso de compartimentos e políticas de IAM para controlar el acceso a su red en la nube.
Los compartimientos y la red en la nube
Cada vez que cree un recurso en la nube, como una red virtual en la nube (VCN) o una instancia informática, debe especificar el compartimento de IAM en el que desea que se encuentre el recurso. Un compartimiento es una recopilación de recursos relacionados a los que solo pueden acceder determinados grupos que han obtenido permiso de un administrador de la organización. El administrador crea compartimentos y las políticas de IAM correspondientes para controlar qué usuarios de la organización acceden a qué compartimentos. En última instancia, el objetivo es garantizar que cada persona solo pueda acceder a los recursos que necesita.
Si su compañía está empezando a probar Oracle Cloud Infrastructure, solo algunas personas tendrán que crear y gestionar la VCN y sus componentes, iniciar instancias en la VCN y asociar volúmenes de almacenamiento de bloques a dichas instancias. Dichas personas necesitan acceder a todos estos recursos, por lo que todos estos podrían estar en el mismo compartimiento.
En un entorno de producción empresarial con una VCN, la compañía puede utilizar varios compartimentos para controlar más fácilmente el acceso a determinados tipos de recursos. Por ejemplo, el administrador podría crear el compartimiento A para la VCN y otros componentes de red. Acto seguido, podría crear el compartimiento B para todas las instancias de recursos informáticos y los volúmenes de almacenamiento de bloques utilizados por la organización de Recursos Humanos, y el compartimiento C para todas las instancias y volúmenes de almacenamiento de bloques utilizados por la organización de marketing. A continuación, el administrador creará políticas de IAM que proporcionarán a los usuarios solo el nivel de acceso que necesiten en cada compartimento. Pongamos por caso que el administrador de la instancia de Recursos Humanos no tiene permiso para modificar la red en la nube existente. En este supuesto, tendría permisos totales para el compartimiento B, pero un acceso limitado al compartimiento A (solo los necesarios para iniciar instancias en la red). Si intentara modificar otros recursos en el compartimiento A, se le denegaría esa solicitud.
Los recursos de red como las redes virtuales en la nube, las subredes, las tablas de rutas, las listas de seguridad, los gateways de servicio, los gateways de NAT, las conexiones VPN y las conexiones FastConnect se pueden mover de un compartimento a otro. Cuando mueve un recurso a un nuevo compartimiento, las políticas inherentes se aplican inmediatamente.
Para obtener más información sobre los compartimentos y cómo controlar el acceso a los recursos en la nube, consulte Aprender las mejores prácticas para configurar el arrendamiento y Visión general de Identity and Access Management .
Políticas de IAM para Networking
El enfoque más sencillo para otorgar acceso a las redes es la política que se muestra en Permitir a los administradores de red gestionar una red en la nube. Abarca la red en la nube y todos los demás componentes de Networking (subredes, listas de seguridad, tablas de rutas, gateways y etc.). Además, para proporcionar a los administradores de red la capacidad de crear instancias (para probar la conectividad de red), consulte Cómo permitir a los usuarios iniciar instancias informáticas.
Si no está nuevo en las políticas, consulte Gestión de dominios de identidad y Políticas comunes.
Para obtener material de referencia para escribir políticas más detalladas para redes, consulte Detalles para los servicios principales.
Tipos de recursos individuales
Puede crear políticas que se enfoquen en tipos de recursos individuales (por ejemplo, solo listas de seguridad), en lugar del más amplio virtual-network-family. El tipo de recurso instance-family también incluye varios permisos para las VNIC, que residen en una subred pero se conectan a una instancia. Para obtener más información, consulte Detalles de las combinaciones Verbo + Tipo de recurso y Tarjetas de interfaz de red virtual (VNIC).
Un tipo de recurso denominado local-peering-gateways se incluye en virtual-network-family e incluye otros dos tipos de recursos relacionados con el intercambio de tráfico de la VCN local (dentro de la región):
local-peering-fromlocal-peering-to
El tipo de recurso local-peering-gateways abarca todos los permisos relacionados con gateways de intercambio de tráfico local (LPG). Los tipos de recursos local-peering-from y local-peering-to se utilizan para otorgar permisos para conectar dos LPG y definir una relación de intercambio de tráfico dentro de una sola región. Para obtener más información, consulte Intercambio de tráfico local mediante un LPG (VCNs in the Same Tenancy) o Intercambio de tráfico local mediante un LPG (VCNs in Different Tenancy).
De manera similar, se incluye un tipo de recurso denominado remote-peering-connections en virtual-network-family e incluye otros dos tipos de recursos relacionados con el intercambio de tráfico remoto de VCN (entre regiones):
remote-peering-fromremote-peering-to
El tipo de recurso remote-peering-connections abarca todos los permisos relacionados con conexiones de intercambio de tráfico remoto (RPC). Los tipos de recursos remote-peering-from y remote-peering-to se utilizan para otorgar permisos para conectar dos RPC y definir una relación de intercambio de tráfico entre regiones. Para obtener más información, consulte Remote Peering with a Legacy DRG y Remote Peering with an Upgraded DRG.
Diferencias entre distintos verbos
Puede crear políticas que limiten el nivel de acceso mediante un verbo de política diferente (manage en lugar de use, etc.). Si es así, aquí hay algunos matices que debe comprender sobre los verbos de política para redes.
Tenga en cuenta que el verbo inspeccionar no solo devuelve información general sobre los componentes de la red en la nube (por ejemplo, el nombre y el OCID de una lista de seguridad o de una tabla de rutas). También incluye el contenido del componente (por ejemplo, las reglas reales de la lista de seguridad, las rutas de la tabla de rutas, etc.).
Además, los siguientes tipos de capacidades están disponibles solo con el verbo manage, no con el verbo use:
- Actualizar (activar/desactivar)
internet-gateways - Actualizar
security-lists - Actualizar
route-tables - Actualizar
dhcp-options - Asociación de un gateway de enrutamiento dinámico (DRG) a una red virtual en la nube (VCN)
- Cree una conexión de IPSec entre un equipo de DRG y equipos locales de cliente (CPE)
- VCN de peer
Cada VCN tiene varios componentes que afectan directamente al comportamiento de la red (tablas de rutas, listas de seguridad, opciones DHCP, Gateway de internet, etc.). Al crear uno de estos componentes, establezca una relación entre dicho componente y la VCN. Esto significará que debe permitir en una política tanto la creación del componente como la gestión de la propia VCN. Sin embargo, la capacidad de actualizar dicho componente (cambiar las reglas de ruta, las reglas de la lista de seguridad, etc.) no necesita permiso para gestionar la propia VCN, aunque el cambio de dicho componente pueda afectar directamente al comportamiento de la red. Esta discrepancia está diseñada para proporcionarle flexibilidad a la hora de otorgar menos privilegios a los usuarios y no necesita que otorgue acceso excesivo a la VCN para que el usuario pueda gestionar otros componentes de la red. Tenga en cuenta que al otorgar a alguien la posibilidad de actualizar un tipo de componente en particular, está confiándole implícitamente el control del comportamiento de la red.
Para obtener más información sobre los verbos de política, consulte Aspectos básicos de políticas.
Políticas de intercambio de tráfico
Para conocer las políticas utilizadas para conectar un DRG a redes virtuales en la nube y DRG en otras regiones y arrendamientos, consulte Políticas de IAM para el enrutamiento entre redes virtuales en la nube.