Políticas de IAM de DevOps

Cree políticas de IAM para controlar quién tiene acceso a los recursos DevOps y para controlar el tipo de acceso para cada grupo de usuarios.

Antes de controlar el acceso a recursos de DevOps como repositorios de código, pipelines de compilación y pipelines de despliegue, debe crear usuarios y colocarlos en grupos adecuados (consulte Gestión de usuarios y Gestión de grupos). A continuación, puede crear políticas y sentencias de política para controlar el acceso (consulte Gestión de políticas).

Por defecto, los usuarios del grupo Administrators tienen acceso a todos los recursos de DevOps. Si no está familiarizado con las políticas de IAM, consulte Introducción a las políticas.

Para obtener una lista completa de todas las políticas de Oracle Cloud Infrastructure, consulte Referencia de política y Políticas comunes.

En esta sección se explican los siguientes temas:

Tipos de recursos y permisos

Lista de tipos de recursos de DevOps y permisos asociados.

Para asignar permisos a todos los recursos de DevOps, utilice el tipo agregado devops-family. Para obtener más información, consulte Permisos.

Una política que utiliza <verb> devops-family es igual a escribir una política con una sentencia <verb> <resource-type> independiente para cada uno de los tipos de recursos individuales.


Tipo de recurso	Permisos
familia devops	Los verbos `inspect, read, use, manage` se aplican a todos los permisos de tipos de recursos DevOps. Los verbos `inspect` y `read` son aplicables para el permiso DEVOPS_WORK_REQUEST.
devops-project	DEVOPS_PROJECT_INSPECT DEVOPS_PROJECT_READ DEVOPS_PROJECT_UPDATE DEVOPS_PROJECT_CREATE DEVOPS_PROJECT_DELETE DEVOPS_PROJECT_MOVE DEVOPS_PROJECT_CASCADE_DELETE DEVOPS_PROJECT_SETTINGS_READ DEVOPS_PROJECT_SETTINGS_UPDATE DEVOPS_PROJECT_SETTINGS_DELETE
familia devops-deploy-	Los verbos `inspect, read, use, manage` se aplican para los siguientes permisos: DEVOPS_DEPLOY_ARTIFACT DEVOPS_DEPLOY_ENVIRONMENT DEVOPS_DEPLOY_PIPELINE DEVOPS_DEPLOY_STAGE DEVOPS_DEPLOY_DEPLOYMENT
devops-deploy-artifact	DEVOPS_DEPLOY_ARTIFACT_INSPECT DEVOPS_DEPLOY_ARTIFACT_READ DEVOPS_DEPLOY_ARTIFACT_UPDATE DEVOPS_DEPLOY_ARTIFACT_CREATE DEVOPS_DEPLOY_ARTIFACT_DELETE
devops-deploy-environment	DEVOPS_DEPLOY_ENVIRONMENT_INSPECT DEVOPS_DEPLOY_ENVIRONMENT_READ DEVOPS_DEPLOY_ENVIRONMENT_UPDATE DEVOPS_DEPLOY_ENVIRONMENT_CREATE DEVOPS_DEPLOY_ENVIRONMENT_DELETE
devops-deploy-pipeline	DEVOPS_DEPLOY_PIPELINE_INSPECT DEVOPS_DEPLOY_PIPELINE_READ DEVOPS_DEPLOY_PIPELINE_UPDATE DEVOPS_DEPLOY_PIPELINE_CREATE DEVOPS_DEPLOY_PIPELINE_DELETE
devops-deploy-stage	DEVOPS_DEPLOY_STAGE_INSPECT DEVOPS_DEPLOY_STAGE_READ DEVOPS_DEPLOY_STAGE_UPDATE DEVOPS_DEPLOY_STAGE_CREATE DEVOPS_DEPLOY_STAGE_DELETE
devops-deployment	DEVOPS_DEPLOY_DEPLOYMENT_INSPECT DEVOPS_DEPLOY_DEPLOYMENT_READ DEVOPS_DEPLOY_DEPLOYMENT_UPDATE DEVOPS_DEPLOY_DEPLOYMENT_CREATE DEVOPS_DEPLOY_DEPLOYMENT_DELETE DEVOPS_DEPLOY_DEPLOYMENT_CANCEL DEVOPS_DEPLOY_DEPLOYMENT_APPROVE
devops-work-requests	DEVOPS_WORK_REQUEST_INSPECT DEVOPS_WORK_REQUEST_READ
devops-repository-family	Los verbos `inspect, read, use, manage` se aplican para los siguientes permisos: DEVOPS_REPOSITORY DEVOPS_PULL_REQUEST DEVOPS_PULL_REQUEST_COMMENT DEVOPS_PROTECTED_BRANCH El verbo `manage` es aplicable para el permiso DEVOPS_REPOSITORY_SETTINGS.
devops-repository	DEVOPS_REPOSITORY_INSPECT DEVOPS_REPOSITORY_READ DEVOPS_REPOSITORY_UPDATE DEVOPS_REPOSITORY_CREATE DEVOPS_REPOSITORY_DELETE DEVOPS_REPOSITORY_SETTINGS_READ DEVOPS_REPOSITORY_SETTINGS_UPDATE DEVOPS_REPOSITORY_SETTINGS_DELETE
devops-pull-request	DEVOPS_PULL_REQUEST_INSPECT DEVOPS_PULL_REQUEST_READ DEVOPS_PULL_REQUEST_UPDATE DEVOPS_PULL_REQUEST_CREATE DEVOPS_PULL_REQUEST_DELETE DEVOPS_PULL_REQUEST_REVIEW
devops-pull-request-comment	DEVOPS_PULL_REQUEST_COMMENT_INSPECT DEVOPS_PULL_REQUEST_COMMENT_READ DEVOPS_PULL_REQUEST_COMMENT_UPDATE DEVOPS_PULL_REQUEST_COMMENT_CREATE DEVOPS_PULL_REQUEST_COMMENT_DELETE
devops-protected-branch	DEVOPS_PROTECTED_BRANCH_INSPECT DEVOPS_PROTECTED_BRANCH_READ DEVOPS_PROTECTED_BRANCH_PUSH DEVOPS_PROTECTED_BRANCH_CREATE DEVOPS_PROTECTED_BRANCH_UPDATE DEVOPS_PROTECTED_BRANCH_DELETE
devops-build-family	Teniendo en cuenta los verbos, `inspect, read, use, manage` se aplica a los siguientes permisos: DEVOPS_BUILD_PIPELINE DEVOPS_BUILD_PIPELINE_STAGE DEVOPS_BUILD_RUN
devops-build-pipeline	DEVOPS_BUILD_PIPELINE_INSPECT DEVOPS_BUILD_PIPELINE_READ DEVOPS_BUILD_PIPELINE_UPDATE DEVOPS_BUILD_PIPELINE_CREATE DEVOPS_BUILD_PIPELINE_DELETE
devops-build-pipeline-stage	DEVOPS_BUILD_PIPELINE_STAGE_INSPECT DEVOPS_BUILD_PIPELINE_STAGE_READ DEVOPS_BUILD_PIPELINE_STAGE_UPDATE DEVOPS_BUILD_PIPELINE_STAGE_CREATE DEVOPS_BUILD_PIPELINE_STAGE_DELETE
devops-build-run	DEVOPS_BUILD_RUN_INSPECT DEVOPS_BUILD_RUN_READ DEVOPS_BUILD_RUN_UPDATE DEVOPS_BUILD_RUN_CREATE DEVOPS_BUILD_RUN_DELETE DEVOPS_BUILD_RUN_CANCEL
devops-connection	DEVOPS_CONNECTION_INSPECT DEVOPS_CONNECTION_READ DEVOPS_CONNECTION_UPDATE DEVOPS_CONNECTION_CREATE DEVOPS_CONNECTION_DELETE
devops-trigger	DEVOPS_TRIGGER_INSPECT DEVOPS_TRIGGER_READ DEVOPS_TRIGGER_UPDATE DEVOPS_TRIGGER_CREATE DEVOPS_TRIGGER_DELETE

Variables soportadas

Las variables se utilizan al agregar condiciones a una política.

DevOps soporta las siguientes variables:

Entidad: ID de Oracle Cloud (OCID)
tringir: texto en formato libre.
Número: valor numérico (precisión arbitraria)
Lista: lista de entidades, cadenas o números
Booleano: True o False

Consulte Variables generales para todas las solicitudes.

Las variables se especifican en minúsculas y separadas por guiones. Por ejemplo, target.tag-namespace.name, target.display-name. Aquí name debe ser un valor único y display-name es la descripción.

El servicio DevOps proporciona las variables necesarias para cada solicitud. El motor de autorización proporciona variables automáticas (ya sea de servicio local con el SDK para un cliente grueso o en el plano de datos de identidad para un cliente fino).


Variables necesarias	Tipo	Descripción
`target.compartment.id`	Entidad (OCID)	OCID del recurso primario para la solicitud.
`request.operation`	Cadena	ID de operación (por ejemplo, `GetUser`) de la solicitud.
`target.resource.kind`	Cadena	Nombre de tipo de recurso del recurso primario de la solicitud.


Variables automáticas	Tipo	Descripción
`request.user.id`	Entidad (OCID)	OCID del usuario solicitante.
`request.groups.id`	Lista de entidades (OCID)	OCID de los grupos en los que está el usuario solicitante.
`target.compartment.name`	Cadena	Nombre del compartimento especificado en `target.compartment.id`.
`target.tenant.id`	Entidad (OCID)	OCID del ID de inquilino de destino.

A continuación, se muestra una lista de orígenes disponibles para las variables:

Solicitud: procede de la entrada de la solicitud.
Derivado: procede de la solicitud.
Almacenado: procede del servicio y la entrada retenida.
Calculado: se calcula a partir de los datos del servicio.

Asignación de variables con tipos de recursos


Tipo de recurso	Variable	Tipo	Origen	Descripción
`devops-project` `devops-deploy-artifact` `devops-deploy-environment` `devops-deploy-pipeline` `devops-deploy-stage` `devops-deployment` `devops-repository` `devops-pull-request` `devops-connection` `devops-trigger` `devops-build-pipeline` `devops-build-pipeline-stage` `devops-build-run` `devops-pull-request-comment` `devops-protected-branch`	`target.project.id`	Entrada	Almacenado	Disponible para operaciones obtener, actualizar, suprimir y mover en el recurso Proyecto.
`devops-project` `devops-deploy-artifact` `devops-deploy-environment` `devops-deploy-pipeline` `devops-deploy-stage` `devops-deployment` `devops-repository` `devops-pull-request` `devops-connection` `devops-trigger` `devops-build-pipeline` `devops-build-pipeline-stage` `devops-build-run` `devops-pull-request-comment` `devops-protected-branch`	`target.project.name`	Cadena	Almacenado	Disponible para operaciones obtener, actualizar, suprimir y mover en el recurso Proyecto.
`devops-deploy-artifact`	`target.artifact.id`	Entidad	Almacenado	Disponible para operaciones obtener, actualizar y suprimir en el recurso Artefacto.
`devops-deploy-environment`	`target.environment.id`	Entidad	Almacenado	Disponible para operaciones obtener, actualizar y suprimir en el recurso Entorno.
`devops-deploy-pipeline` `devops-deploy-stage` `devops-deployment`	`target.pipeline.id`	Entidad	Almacenado	Disponible para operaciones obtener, actualizar y suprimir en el recurso Pipeline.
`devops-deploy-stage`	`target.stage.id`	Entidad	Almacenado	Disponible para operaciones obtener, actualizar y suprimir en el recurso Etapa.
`devops-deployment`	`target.deployment.id`	Entidad	Almacenado	Disponible para operaciones obtener, actualizar y suprimir en los tipos de recurso Despliegue.
`devops-repository` `devops-pull-request` `devops-pull-request-comment` `devops-protected-branch`	`target.repository.id`	Entidad	Almacenado	Disponible para operaciones obtener, actualizar, suprimir y mover en el recurso Repositorio.
`devops-pull-request-comment`	`target.pull-request.id`	Entidad	Almacenado	Disponible para operaciones obtener, actualizar y suprimir en el recurso Pull-Request.
`devops-repository` `devops-pull-request` `devops-pull-request-comment` `devops-protected-branch`	`target.repository.name`	Entidad	Almacenado	Disponible para operaciones obtener, actualizar, suprimir y mover en el recurso Repositorio.
`devops-pull-request-comment`	`target.pull-request.display-name`	Cadena	Almacenado	Disponible para operaciones obtener, actualizar y suprimir en el recurso Pull-Request.
`devops-repository`	`target.branch.name`	Entidad	Almacenado	Disponible para operaciones de Git como upload-pack y receive-pack en la rama del repositorio.
`devops-protected-branch`	`target.branch.name`	Cadena	Almacenado	Disponible para operaciones obtener, actualizar, suprimir y mover en el recurso Rama protegida.
`devops-repository`	`target.tag.name`	Entidad	Almacenado	Disponible para operaciones de Git como upload-pack y receive-pack en la rama del repositorio.
`devops-pull-request`	`target.pull-request.id`	Entidad	Almacenado	Disponible para operaciones obtener, actualizar y suprimir en el recurso Pull-Request.
`devops-pull-request`	`target.pull-request.display-name`	Cadena	Almacenado	Disponible para operaciones obtener, actualizar y suprimir en el recurso Pull-Request.
`devops-connection`	`target.connection.id`	Entidad	Almacenado	Disponible para operaciones obtener, actualizar y suprimir en el recurso Conexión.
`devops-trigger`	`target.trigger.id`	Entidad	Almacenado	Disponible para operaciones obtener, actualizar y suprimir en el recurso Disparador.
`devops-build-pipeline` `devops-build-pipeline-stage` `devops-build-run`	`target.build-pipeline.id`	Entidad	Almacenado	Disponible para operaciones obtener, actualizar y suprimir en el recurso Pipeline de compilación.
`devops-build-pipeline-stage`	`target.build-pipeline-stage.id`	Entidad	Almacenado	Disponible para operaciones obtener, actualizar y suprimir en el recurso Etapa de pipeline de compilación.
`devops-build-run`	`target.build-run.id`	Entidad	Almacenado	Disponible para operaciones obtener, actualizar, suprimir y cancelar en el recurso Ejecución de compilación.

Detalles para combinaciones de verbos y tipos de recursos

Identifique los permisos y las operaciones de API que cubre cada verbo para los recursos de DevOps.

El nivel de acceso es acumulativo a medida que pasa de inspect a read a use a manage. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda anterior. Todos los permisos (inspeccionar, leer, utilizar y gestionar) son aplicables para el tipo de recurso devops-family, que incluye todos los recursos DevOps.

Para obtener más información sobre cómo otorgar acceso, consulte Permisos.

devops-project

En esta tabla, se muestran los permisos y las API cubiertas totalmente por los permisos para el recurso devops-project.


Verbos	Permisos	API cubiertas	Descripción
`inspect`	`DEVOPS_PROJECT_INSPECT`	`ListProjects`	Muestra todos los recursos del proyecto en un compartimento.
`read`	`inspect+` `DEVOPS_PROJECT_READ`	`inspect+` `GetProject`	Obtiene un proyecto específico por ID.
`use`	`read+` `DEVOPS_PROJECT_UPDATE`	`read+` `UpdateProject`	Actualiza un proyecto específico.
`manage`	`use+` `DEVOPS_PROJECT_CREATE`	`use+` `CreateProject`	Crea un recurso de proyecto.
`manage`	`use+` `DEVOPS_PROJECT_DELETE`	`use+` `DeleteProject`	Suprime un proyecto específico.
`manage`	`use+` `DEVOPS_PROJECT_MOVE`	`use+` `ChangeProjectCompartment`	Mueve un proyecto a un compartimento diferente.

familia devops-deploy-

En esta tabla, se muestran los permisos y las API totalmente cubiertas por los permisos para el recurso devops-deploy-family.


Verbos	Permisos	API cubiertas	Descripción
`inspect`	`DEVOPS_DEPLOY_ARTIFACT_INSPECT` `DEVOPS_DEPLOY_ENVIRONMENT_INSPECT` `DEVOPS_DEPLOY_PIPELINE_INSPECT` `DEVOPS_DEPLOY_STAGE_INSPECT` `DEVOPS_DEPLOYMENT_INSPECT`	`ListDeployArtifacts` `ListDeployEnvironments` `ListDeployPipelines` `ListDeployStages` `ListDeployments`	Muestra todos los artefactos de un proyecto o compartimento. Muestra todos los entornos de un proyecto o compartimento. Muestra todos los recursos de pipeline de un compartimento. Muestra todas las etapas de un pipeline o compartimento. Muestra todos los despliegues de un compartimento.
`read`	`inspect+` `DEVOPS_DEPLOY_ARTIFACT_READ` `DEVOPS_DEPLOY_ENVIRONMENT_READ` `DEVOPS_DEPLOY_PIPELINE_READ` `DEVOPS_DEPLOY_STAGE_READ` `DEVOPS_DEPLOYMENT_READ`	`inspect+` `GetDeployArtifact` `GetDeployEnvironment` `GetDeployPipeline` `GetDeployStage` `GetDeployment`	Obtiene un artefacto específico por ID. Obtiene un entorno específico por ID. Obtiene un pipeline específico por ID. Obtiene una etapa específica por ID. Obtiene un despliegue específico por ID.
`use`	`read+` `DEVOPS_DEPLOY_ARTIFACT_UPDATE` `DEVOPS_DEPLOY_ENVIRONMENT_UPDATE` `DEVOPS_DEPLOY_PIPELINE_UPDATE` `DEVOPS_DEPLOY_STAGE_UPDATE` `DEVOPS_DEPLOYMENT_UPDATE` `DEVOPS_DEPLOYMENT_APPROVE` `DEVOPS_DEPLOYMENT_CANCEL`	`read+` `UpdateDeployArtifact` `UpdateDeployEnvironment` `UpdateDeployPipeline` `UpdateDeployStage` `UpdateDeployment` `ApproveDeployment` `CancelDeployment`	Actualiza un artefacto específico por ID. Actualiza un entorno específico por ID. Actualiza un pipeline específico por ID. Actualiza una etapa específica por ID. Actualiza un despliegue específico por ID. Aprueba un despliegue específico que esté esperando la aprobación manual. Cancela un despliegue en ejecución.
`manage`	`use+` `DEVOPS_DEPLOY_ARTIFACT_CREATE` `DEVOPS_DEPLOY_ARTIFACT_DELETE` `DEVOPS_DEPLOY_ENVIRONMENT_CREATE` `DEVOPS_DEPLOY_ENVIRONMENT_DELETE` `DEVOPS_DEPLOY_PIPELINE_CREATE` `DEVOPS_DEPLOY_PIPELINE_DELETE` `DEVOPS_DEPLOY_STAGE_CREATE` `DEVOPS_DEPLOY_STAGE_DELETE` `DEVOPS_DEPLOYMENT_CREATE` `DEVOPS_DEPLOYMENT_DELETE`	`use+` `CreateDeployArtifact` `DeleteDeployArtifact` `CreateDeployEnvironment` `DeleteDeployEnvironment` `CreateDeployPipeline` `DeleteDeployPipeline` `CreateDeployStage` `DeleteDeployStage` `CreateDeployment` `DeleteDeployment`	Crea un recurso de artefacto dentro de un proyecto. Suprime un artefacto específico por ID. Crear un entorno dentro de un proyecto. Suprime un entorno específico por ID. Crea un recurso de pipeline. Suprimir un pipeline específico por ID. Crea una etapa dentro de un pipeline. Suprime una etapa específica por ID. Crea un despliegue para un pipeline específico. Suprimir un despliegue específico por ID.

devops-deploy-artifact

En esta tabla, se muestran los permisos y las API cubiertas totalmente por los permisos para el recurso devops-deploy-artifact.


Verbos	Permisos	API cubiertas	Descripción
`inspect`	`DEVOPS_DEPLOY_ARTIFACT_INSPECT`	`ListDeployArtifacts`	Muestra todos los artefactos de un proyecto o compartimento.
`read`	`inspect+` `DEVOPS_DEPLOY_ARTIFACT_READ`	`inspect+` `GetDeployArtifact`	Obtiene un artefacto específico por ID.
`use`	`read+` `DEVOPS_DEPLOY_ARTIFACT_UPDATE`	`read+` `UpdateDeployArtifact`	Actualiza un artefacto específico por ID.
`manage`	`use+` `DEVOPS_DEPLOY_ARTIFACT_CREATE`	`use+` `CreateDeployArtifact`	Crea un recurso de artefacto dentro de un proyecto.
`manage`	`use+` `DEVOPS_DEPLOY_ARTIFACT_DELETE`	`use+` `DeleteDeployArtifact`	Suprime un artefacto específico por ID.

devops-deploy-environment

En esta tabla, se muestran los permisos y las API cubiertas totalmente por los permisos para el recurso devops-deploy-environment.


Verbos	Permisos	API cubiertas	Descripción
`inspect`	`DEVOPS_DEPLOY_ENVIRONMENT_INSPECT`	`ListDeployEnvironments`	Muestra todos los entornos de una aplicación o compartimento.
`read`	`inspect+` `DEVOPS_DEPLOY_ENVIRONMENT_READ`	`inspect+` `GetDeployEnvironment`	Obtiene un entorno específico por ID.
`use`	`read+` `DEVOPS_DEPLOY_ENVIRONMENT_UPDATE`	`read+` `UpdateDeployEnvironment`	Actualiza un entorno específico por ID.
`manage`	`use+` `DEVOPS_DEPLOY_ENVIRONMENT_CREATE`	`use+` `CreateDeployEnvironment`	Crea un entorno para un destino de despliegue dentro de una aplicación.
`manage`	`use+` `DEVOPS_DEPLOY_ENVIRONMENT_DELETE`	`use+` `DeleteDeployEnvironment`	Suprime un entorno específico por ID.

devops-deploy-pipeline

En esta tabla, se muestran los permisos y las API cubiertas totalmente por los permisos para el recurso devops-deploy-pipeline.


Verbos	Permisos	API cubiertas	Descripción
`inspect`	`DEVOPS_DEPLOY_PIPELINE_INSPECT`	`ListDeployPipelines`	Muestra todos los recursos de pipeline de un compartimento.
`read`	`inspect+` `DEVOPS_DEPLOY_PIPELINE_READ`	`inspect+` `GetDeployPipeline`	Obtiene un pipeline específico por ID.
`use`	`read+` `DEVOPS_DEPLOY_PIPELINE_UPDATE`	`read+` `UpdateDeployPipeline`	Actualiza un pipeline específico por ID.
`manage`	`use+` `DEVOPS_DEPLOY_PIPELINE_CREATE`	`use+` `CreateDeployPipeline`	Crea un recurso de pipeline.
`manage`	`use+` `DEVOPS_DEPLOY_PIPELINE_DELETE`	`use+` `DeleteDeployPipeline`	Suprime un pipeline específico.

devops-deploy-stage

En esta tabla, se muestran los permisos y las API cubiertas totalmente por los permisos para el recurso devops-deploy-stage.


Verbos	Permisos	API cubiertas	Descripción
`inspect`	`DEVOPS_DEPLOY_STAGE_INSPECT`	`ListDeployStages`	Muestra todas las etapas de un pipeline o compartimento.
`read`	`inspect+` `DEVOPS_DEPLOY_STAGE_READ`	`inspect+` `GetDeployStage`	Obtiene una etapa específica por ID.
`use`	`read+` `DEVOPS_DEPLOY_STAGE_UPDATE`	`read+` `UpdateDeployStage`	Actualiza una etapa específica por ID.
`manage`	`use+` `DEVOPS_DEPLOY_STAGE_CREATE`	`use+` `CreateDeployStage`	Crea una etapa dentro de un pipeline.
`manage`	`use+` `DEVOPS_DEPLOY_STAGE_DELETE`	`use+` `DeleteDeployStage`	Suprime una etapa específica por ID.

devops-deployment

En esta tabla, se muestran los permisos y las API cubiertas totalmente por los permisos para el recurso devops-deployment.


Verbos	Permisos	API cubiertas	Descripción
`inspect`	`DEVOPS_DEPLOYMENT_INSPECT`	`ListDeployments`	Muestra todos los despliegues de un compartimento.
`read`	`inspect+` `DEVOPS_DEPLOYMENT_READ`	`inspect+` `GetDeployment`	Obtiene un despliegue específico por ID.
`use`	`read+` `DEVOPS_DEPLOYMENT_UPDATE`	`read+` `UpdateDeployStage`	Actualiza una etapa específica por ID.
`use`	`read+` `DEVOPS_DEPLOYMENT_APPROVE`	`read+` `ApproveDeployment`	Aprueba un despliegue específico que esté esperando la aprobación manual.
`use`	`read+` `DEVOPS_DEPLOYMENT_CANCEL`	`read+` `CancelDeployment`	Cancela un despliegue en ejecución.
`manage`	`use+` `DEVOPS_DEPLOYMENT_CREATE`	`use+` `CreateDeployment`	Crea un despliegue para un pipeline específico.
`manage`	`use+` `DEVOPS_DEPLOYMENT_DELETE`	`use+` `DeleteDeployment`	Suprime un despliegue específico.

devops-work-requests

En esta tabla, se muestran los permisos y las API cubiertas totalmente por los permisos para el recurso devops-work-requests.


Verbos	Permisos	API cubiertas	Descripción
`inspect`	`DEVOPS_WORK_REQUEST_INSPECT`	`ListWorkRequests`	Muestra todas las solicitudes de trabajo en un compartimento.
`read`	`inspect+` `DEVOPS_WORK_REQUEST_READ`	`inspect+` `GetWorkRequest`	Obtiene una solicitud de trabajo específica por ID.

devops-repository-family

En esta tabla, se muestran los permisos y las API totalmente cubiertas por los permisos para el recurso devops-repository-family.


Verbos	Permisos	API cubiertas	Descripción
`inspect`	`DEVOPS_REPOSITORY_INSPECT` `DEVOPS_PULL_REQUEST_INSPECT` `DEVOPS_PULL_REQUEST_COMMENT_INSPECT` `DEVOPS_PROTECTED_BRANCH_INSPECT`	`ListRepositories` `ListPullRequests` `ListPullRequestAttachments` `ListPullRequestComments` `ListProtectedBranches`	Muestra todos los recursos del repositorio por ID de compartimento, ID de proyecto o ID de repositorio. Mostrar solicitudes de recuperación en un repositorio. Enumerar anexos de solicitud de recuperación por identificador. Lista de comentarios de revisor de solicitud de recuperación. Mostrar las bifurcaciones protegidas en un repositorio.
`read`	`inspect+` `DEVOPS_REPOSITORY_READ` `DEVOPS_PULL_REQUEST_READ` `DEVOPS_PULL_REQUEST_COMMENT_READ` `DEVOPS_PROTECTED_BRANCH_READ` `DEVOPS_PULL_REQUEST_REVIEW` `DEVOPS_PULL_REQUEST_COMMENT_CREATE` `DEVOPS_PULL_REQUEST_COMMENT_UPDATE` `DEVOPS_PULL_REQUEST_COMMENT_DELETE`	`inspect+` `GetRepository` `GetPullRequest` `GetPullRequestComment` `GetPullRequestAttachmentContent` `GetProtectedBranch` `ReviewPullRequest` `UpdatePullRequestComment` `LikePullRequestComment` `UnlikePullRequestComment` `DeletePullRequestComment`	Obtiene un repositorio específico por ID. Obtener una solicitud de recuperación por ID. Obtener un comentario por un ID de comentario. Obtener contenido de un anexo de solicitud de recuperación. Obtener información de protección para una rama específica. Actualización de la lista de revisores de una solicitud de recuperación. Actualización de un comentario de solicitud de recuperación por ID. Como un comentario de solicitud de recuperación. A diferencia de un comentario de solicitud de extracción. Suprimir un comentario de solicitud de recuperación.
`use`	`read+` `DEVOPS_REPOSITORY_UPDATE` `DEVOPS_PULL_REQUEST_UPDATE` `DEVOPS_PULL_REQUEST_CREATE` `DEVOPS_PULL_REQUEST_DELETE`	`read+` `UpdateRepository` `UpdatePullRequest` `DeclinePullRequest` `ReopenPullRequest` `MergePullRequest` `DeletePullRequest`	Actualiza un repositorio específico por ID. Actualizar una solicitud de recuperación por ID Para cerrar una solicitud de recuperación, defina el ciclo de vida de la solicitud de recuperación en Rechazado. Vuelva a abrir una solicitud de recuperación cerrada. Fusionar una solicitud de recuperación aprobada de la rama de origen al destino. Eliminación de una petición de recuperación por ID.
`manage`	`use+` `DEVOPS_REPOSITORY_CREATE` `DEVOPS_REPOSITORY_DELETE` `DEVOPS_PROTECTED_BRANCH_CREATE` `DEVOPS_PROTECTED_BRANCH_UPDATE` `DEVOPS_PROTECTED_BRANCH_DELETE` `DEVOPS_REPOSITORY_SETTINGS_READ` `DEVOPS_REPOSITORY_SETTINGS_UPDATE` `DEVOPS_REPOSITORY_SETTINGS_DELETE` `DEVOPS_PROTECTED_BRANCH_PUSH`	`use+` `CreateRepository` `DeleteRepository` `CreateProtectedBranch` `UpdateProtectedBranch` `DeleteProtectedBranch` `GetRepositorySettings` `UpdateRepositorySettings` `DeleteRepositorySettings` `ProtectedBranchReceivePack`	Crea un repositorio. Suprime un repositorio específico por ID. Cree una rama protegida en un repositorio. Actualice el nivel de protección en una rama protegida. Las opciones de nivel de protección actuales son `PULL_REQUEST_MERGE_ONLY` y `READ_ONLY`. Suprimir una rama protegida. Esto elimina las restricciones agregadas a una rama cuando estaba protegida. Obtener los valores personalizados configurados para un repositorio. Actualice los valores personalizados configurados para un repositorio. Elimine los valores personalizados configurados para un repositorio. Proporciona a los usuarios la capacidad de empujar directamente a la rama protegida.

devops-repository

En esta tabla se muestran los permisos y las API cubiertas totalmente por los permisos para el recurso devops-repository.


Verbos	Permisos	API cubiertas	Descripción
`inspect`	`DEVOPS_REPOSITORY_INSPECT`	`ListRepositories`	Muestra todos los recursos del repositorio por ID de compartimento, ID de proyecto o ID de repositorio.
`read`	`inspect+` `DEVOPS_REPOSITORY_READ`	`inspect+` `GetRepository`	Obtiene un repositorio específico por ID.
`use`	`read+` `DEVOPS_REPOSITORY_UPDATE`	`read+` `UpdateRepository`	Actualiza un repositorio específico por ID.
`manage`	`use+` `DEVOPS_REPOSITORY_CREATE`	`use+` `CreateRepository`	Crea un repositorio.
`manage`	`use+` `DEVOPS_REPOSITORY_DELETE`	`use+` `DeleteRepository`	Suprime un repositorio específico por ID.

devops-connection

En esta tabla, se muestran los permisos y las API cubiertas totalmente por los permisos para el recurso devops-connection.


Verbos	Permisos	API cubiertas	Descripción
`inspect`	`DEVOPS_CONNECTION_INSPECT`	`ListConnections`	Muestra todas las conexiones de un proyecto o compartimento.
`read`	`inspect+` `DEVOPS_CONNECTION_READ`	`inspect+` `GetConnection`	Obtiene una conexión específica por ID.
`use`	`read+` `DEVOPS_CONNECTION_UPDATE`	`read+` `UpdateConnection`	Actualiza una conexión específica por ID.
`use`	`read+` `DEVOPS_CONNECTION_VALIDATE`	`read+` `ValidateConnection`	Valida el PAT de la conexión.
`manage`	`use+` `DEVOPS_CONNECTION_CREATE`	`use+` `CreateConnection`	Crea un recurso de conexión en un proyecto.
`manage`	`use+` `DEVOPS_CONNECTION_DELETE`	`use+` `DeleteConnection`	Suprime una conexión específica por ID.

devops-trigger

En esta tabla, se muestran los permisos y las API cubiertas totalmente por los permisos para el recurso devops-trigger.


Verbos	Permisos	API cubiertas	Descripción
`inspect`	`DEVOPS_TRIGGER_INSPECT`	`ListTriggers`	Muestra todos los disparadores de un proyecto o compartimento.
`read`	`inspect+` `DEVOPS_TRIGGER_READ`	`inspect+` `GetTrigger`	Obtiene un disparador específico por ID.
`use`	`read+` `DEVOPS_TRIGGER_UPDATE`	`read+` `UpdateTrigger`	Actualiza un disparador específico por ID.
`manage`	`use+` `DEVOPS_TRIGGER_CREATE`	`use+` `CreateTrigger`	Crea un recurso disparador en un proyecto.
`manage`	`use+` `DEVOPS_TRIGGER_DELETE`	`use+` `DeleteTrigger`	Suprime un disparador específico por ID.

devops-build-family

En esta tabla, se muestran los permisos y las API totalmente cubiertas por los permisos para el recurso devops-build-family.


Verbos	Permisos	API cubiertas	Descripción
`inspect`	`DEVOPS_BUILD_PIPELINE_INSPECT` `DEVOPS_BUILD_PIPELINE_STAGE_INSPECT` `DEVOPS_BUILD_RUN_INSPECT`	`ListBuildPipelines` `ListBuildPipelineStages` `ListBuildRuns`	Muestra todos los recursos del pipeline de compilación en un compartimento. Muestra las etapas de un pipeline o compartimento de compilación. Muestra las ejecuciones de creación en un proyecto o compartimento.
`read`	`inspect+` `DEVOPS_BUILD_PIPELINE_READ` `DEVOPS_BUILD_PIPELINE_STAGE_READ` `DEVOPS_BUILD_RUN_READ`	`inspect+` `GetBuildPipeline` `GetBuildPipelineStage` `GetBuildRun`	Obtiene un pipeline de compilación específico por ID. Obtiene una etapa de pipeline de compilación específica por ID. Obtiene una ejecución de compilación específica por ID.
`use`	`read+` `DEVOPS_BUILD_PIPELINE_UPDATE` `DEVOPS_BUILD_PIPELINE_STAGE_UPDATE` `DEVOPS_BUILD_RUN_UPDATE` `DEVOPS_BUILD_RUN_CANCEL`	`read+` `UpdateBuildPipeline` `UpdateBuildPipelineStage` `UpdateBuildRun` `CancelBuildRun`	Actualiza un pipeline de compilación específico por ID. Actualiza una etapa de pipeline de compilación específica por ID. Actualiza una ejecución de compilación existente. Cancela una ejecución de compilación que se está ejecutando.
`manage`	`use+` `DEVOPS_BUILD_PIPELINE_CREATE` `DEVOPS_BUILD_PIPELINE_DELETE` `DEVOPS_BUILD_PIPELINE_STAGE_CREATE` `DEVOPS_BUILD_PIPELINE_STAGE_DELETE` `DEVOPS_BUILD_RUN_CREATE` `DEVOPS_BUILD_RUN_DELETE`	`use+` `CreateBuildPipeline` `DeleteBuildPipeline` `CreateBuildPipelineStage` `DeleteBuildPipelineStage` `CreateBuildRun` `DeleteBuildRun`	Crea un recurso de pipeline de compilación. Suprimir un pipeline de creación. Crea una etapa dentro de un pipeline de compilación. Suprimir una etapa de pipeline de compilación específica por ID. Iniciar una ejecución de creación para un pipeline de creación. Suprime una ejecución de compilación existente.

devops-build-pipeline

En esta tabla, se muestran los permisos y las API cubiertas totalmente por los permisos para el recurso devops-build-pipeline.


Verbos	Permisos	API cubiertas	Descripción
`inspect`	`DEVOPS_BUILD_PIPELINE_INSPECT`	`ListBuildPipelines`	Muestra todos los recursos del pipeline de compilación en un compartimento.
`read`	`inspect+` `DEVOPS_BUILD_PIPELINE_READ`	`inspect+` `GetBuildPipeline`	Obtiene un pipeline de compilación específico por ID.
`use`	`read+` `DEVOPS_BUILD_PIPELINE_UPDATE`	`read+` `UpdateBuildPipeline`	Actualiza un pipeline de compilación específico por ID.
`manage`	`use+` `DEVOPS_BUILD_PIPELINE_CREATE`	`use+` `CreateBuildPipeline`	Crea un recurso de pipeline de compilación.
`manage`	`use+` `DEVOPS_BUILD_PIPELINE_DELETE`	`use+` `DeleteBuildPipeline`	Suprime un pipeline de compilación específico.

devops-build-pipeline-stage

En esta tabla, se muestran los permisos y las API cubiertas totalmente por los permisos para el recurso devops-build-pipeline-stage.


Verbos	Permisos	API cubiertas	Descripción
`inspect`	`DEVOPS_BUILD_PIPELINE_STAGE_INSPECT`	`ListBuildPipelineStages`	Muestra todas las etapas de un pipeline o compartimento de compilación.
`read`	`inspect+` `DEVOPS_BUILD_PIPELINE_STAGE_READ`	`inspect+` `GetBuildPipelineStage`	Obtiene una etapa de pipeline de compilación específica por ID.
`use`	`read+` `DEVOPS_BUILD_PIPELINE_STAGE_UPDATE`	`read+` `UpdateBuildPipelineStage`	Actualiza una etapa de pipeline de compilación específica por ID.
`manage`	`use+` `DEVOPS_BUILD_PIPELINE_STAGE_CREATE`	`use+` `CreateBuildPipelineStage`	Crea una etapa en un pipeline de compilación.
`manage`	`use+` `DEVOPS_BUILD_PIPELINE_STAGE_DELETE`	`use+` `DeleteBuildPipelineStage`	Suprime la etapa de pipeline de compilación específica por ID.

devops-build-run

En esta tabla, se muestran los permisos y las API cubiertas totalmente por los permisos para el recurso devops-build-run.


Verbos	Permisos	API cubiertas	Descripción
`inspect`	`DEVOPS_BUILD_RUN_INSPECT`	`ListBuildRuns`	Muestra las ejecuciones de compilación en un proyecto o compartimento.
`read`	`inspect+` `DEVOPS_BUILD_RUN_READ`	`inspect+` `GetBuildRun`	Obtiene una ejecución de compilación específica por ID.
`use`	`read+` `DEVOPS_BUILD_RUN_UPDATE`	`read+` `UpdateBuildRun`	Actualiza una ejecución de compilación existente.
`use`	`read+` `DEVOPS_BUILD_RUN_CANCEL`	`read+` `CancelBuildRun`	Cancela una ejecución de compilación en ejecución.
`manage`	`use+` `DEVOPS_BUILD_RUN_CREATE`	`use+` `CreateBuildRun`	Inicia una ejecución de compilación para un pipeline de compilación especificado.
`manage`	`use+` `DEVOPS_BUILD_RUN_DELETE`	`use+` `DeleteBuildRun`	Suprime una ejecución de compilación existente.

Creación de una política y un grupo dinámico

Para otorgar permiso a los usuarios para acceder a los distintos recursos de DevOps, como pipelines de compilación, pipelines de despliegue, artefactos y repositorios de código, debe crear grupos, grupos dinámicos y políticas de IAM.

Una política permite a un grupo trabajar de determinadas formas con tipos específicos de recursos en un compartimento concreto.

Política

A continuación, se muestra cómo crear una política en la consola de Oracle Cloud:

Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Políticas.
Haga clic en Crear política.
Introduzca un nombre y una descripción para la política.
En Creador de política, haga clic en el conmutador Mostrar editor manual para activar el editor.
Introduzca una regla de política con el siguiente formato:
```
Allow <group> to <verb> <resource_type> in <compartment or tenancy details>
```
Haga clic en Crear.

Para obtener más información sobre la creación de políticas, consulte Funcionamiento de las políticas y Referencia de políticas.

Para crear un grupo y agregar usuarios al grupo, consulte Gestión de grupos.

Grupo dinámico

Un grupo dinámico es un tipo especial de grupo que contiene recursos (como instancias informáticas) que coincidan con las reglas que haya definido.

Las reglas de coincidencia definen los recursos que pertenecen al grupo dinámico. En la consola, puede introducir la regla manualmente en el cuadro de texto proporcionado o puede utilizar el generador de reglas. Para obtener más información, consulte Escritura de reglas de coincidencia para definir grupos dinámicos. Utilice la regla match-any para hacer coincidir varias condiciones.

Cree un grupo dinámico para sus recursos de DevOps. Puede asignar al grupo dinámico el nombre DevOpsDynamicGroup y sustituir compartmentOCID por el OCID del compartimento:

ALL {resource.type = 'devopsdeploypipeline', resource.compartment.id = 'compartmentOCID'}
ALL {resource.type = 'devopsrepository', resource.compartment.id = 'compartmentOCID'}
ALL {resource.type = 'devopsbuildpipeline',resource.compartment.id = 'compartmentOCID'}
ALL {resource.type = 'devopsconnection',resource.compartment.id = 'compartmentOCID'}

Para obtener más información sobre los grupos dinámicos, incluidos los permisos necesarios para crearlos, consulte Gestión de grupos dinámicos y Escritura de políticas para grupos dinámicos.

Sentencia de política necesaria para DevOpsDynamicGroup:

Allow dynamic-group DevOpsDynamicGroup to manage devops-family in compartment <compartment_name>

Nota

Para los arrendamientos que tienen dominios de identidad, el nombre del dominio debe preceder al nombre del grupo dinámico en la política. Por ejemplo, domain-name/{DevOpsDynamicGroup}

Ejemplos de políticas

Políticas de DevOps necesarias para utilizar varios recursos de DevOps como repositorios de código, pipelines de compilación y pipelines de despliegue.

Se proporcionan los siguientes ejemplos de políticas:

Políticas de entorno

Ejemplo de política para crear un entorno de destino que se utiliza para el despliegue.

Consulte las instrucciones para crear políticas mediante la consola.

Cree una política para permitir a los usuarios de un grupo crear, actualizar o suprimir un entorno de OKE privado:

Allow group <group-name> to manage virtual-network-family in compartment <compartment_name> where any {request.operation='CreatePrivateEndpoint', request.operation='UpdatePrivateEndpoint', request.operation='DeletePrivateEndpoint', request.operation='EnableReverseConnection', request.operation='ModifyReverseConnection', request.operation='DisableReverseConnection'}

Políticas del repositorio de código

Ejemplos de políticas para crear un repositorio de código y conectarse a repositorios de código externo como GitHub y GitLab.

Consulte las instrucciones para crear políticas, grupos y grupos dinámicos mediante la consola.

Para crear un repositorio de código, cree las siguientes políticas de IAM:

Permitir a los usuarios de un grupo acceder al proyecto de DevOps:

Allow group <group-name> to read devops-project in compartment <compartment_name>

Permitir a los usuarios de un grupo leer, crear, actualizar o suprimir un repositorio:
```
Allow group <group-name> to manage devops-repository in compartment <compartment_name>
```

Para clonar un repositorio, cree las siguientes políticas de IAM:

Permitir a los usuarios de un grupo acceder al proyecto de DevOps:

Allow group <group-name> to read devops-project in compartment <compartment_name>

Permitir a los usuarios de un grupo leer o actualizar un repositorio:

Allow group <group-name> to use devops-repository in compartment <compartment_name>

Para realizar la integración con los repositorios de código externos, cree una política en el compartimento raíz. Por ejemplo, para permitir que el grupo dinámico lea secretos:

Allow dynamic-group DevOpsDynamicGroup to read secret-family in compartment <compartment_name>

Para validar una conexión externa, cree la siguiente política de IAM además de la política para leer secretos:

Allow group <group-name> to use devops-connection in compartment <compartment_name>

Para recibir notificaciones de correo electrónico para solicitudes de extracción en repositorios de código, cree la siguiente política de IAM mediante un grupo dinámico. El administrador debe crear esta política. Por ejemplo, para permitir el grupo dinámico DevOpsDynamicGroup que incluye el recurso de repositorio:

Allow dynamic-group DevOpsDynamicGroup to inspect users in tenancy

Para crear una solicitud de recuperación, debe definir políticas basadas en las acciones que puede realizar un usuario. Para obtener más información y ejemplos, consulte Managing Pull Requests.

Políticas de pipeline de compilación

Ejemplos de políticas para crear pipelines de compilación y agregar etapas al pipeline.

Consulte las instrucciones para crear políticas mediante la consola.

Cree políticas de IAM para permitir que el grupo dinámico acceda a los recursos de OCI en el compartimento:
- Para entregar artefactos, proporcione acceso a Container Registry (OCIR):
```
Allow dynamic-group DevOpsDynamicGroup to manage repos in compartment <compartment_name>
```
- Para acceder al almacén para el token de acceso personal (PAT), proporcione acceso a secret-family. Esta política es necesaria en la etapa Compilación gestionada para acceder a PAT para descargar el código fuente:
```
Allow dynamic-group DevOpsDynamicGroup to read secret-family in compartment <compartment_name>
```
- Proporcionar acceso a artefactos de despliegue de lectura en la etapa Entregar artefactos, leer el repositorio de código de DevOps en la etapa Compilación gestionada y disparar el pipeline de despliegue en la etapa Despliegue de disparador:
```
Allow dynamic-group DevOpsDynamicGroup to manage devops-family in compartment <compartment_name>
```
- Para entregar artefactos, proporcione acceso al repositorio de Artifact Registry:
```
Allow dynamic-group DevOpsDynamicGroup to manage generic-artifacts in compartment <compartment_name>
```
- Para enviar notificaciones, proporcione acceso al pipeline de compilación:
```
Allow dynamic-group DevOpsDynamicGroup to use ons-topics in compartment <compartment_name>
```

Cree políticas para permitir la configuración del acceso privado en la etapa Creación gestionada:

Allow dynamic-group DevOpsDynamicGroup to use subnets in compartment <customer subnet compartment>

Allow dynamic-group DevOpsDynamicGroup to use vnics in compartment <customer subnet compartment>

Si se especifica algún grupo de seguridad de red (NSG) en la configuración de acceso privado, la política debe permitir el acceso a los NSG:

Allow dynamic-group DevOpsDynamicGroup to use network-security-groups in compartment <customer subnet compartment>

Cree una política para permitir que el pipeline de creación acceda al recurso de grupo de autoridad de certificación (CA) para la verificación de seguridad de capa de transporte (TLS):
```
Allow dynamic-group DevOpsDynamicGroup to use cabundles in compartment <compartment_name>
```

Políticas para acceder a los recursos de ADM

Ejemplos de políticas para acceder a los recursos del servicio Application Dependency Management (ADM) desde el pipeline de compilación.

Consulte las instrucciones para crear políticas mediante la consola.

Cree políticas de IAM para permitir que el grupo dinámico acceda a los recursos de ADM en el arrendamiento:

Allow dynamic-group DevOpsDynamicGroup to use adm-knowledge-bases in tenancy

Allow dynamic-group DevOpsDynamicGroup to manage adm-vulnerability-audits in tenancy

Políticas de pipeline de despliegue

Ejemplos de políticas para crear pipelines de despliegue y agregar etapas al pipeline.

Consulte las instrucciones para crear políticas mediante la consola.

Cree políticas de IAM para permitir que el grupo dinámico de pipeline de despliegue acceda a los recursos de su compartimento:

Despliegues de clusters de OKE:

Allow dynamic-group DevOpsDynamicGroup to read all-artifacts in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to manage cluster in compartment <compartment_name>

Funciones:

Allow dynamic-group DevOpsDynamicGroup to manage fn-function in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to read fn-app in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to use fn-invocation in compartment <compartment_name>

Despliegues de grupos de instancias:

Allow dynamic-group DevOpsDynamicGroup to read all-artifacts in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to read instance-family in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to use instance-agent-command-family in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to use load-balancers in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to use vnics in compartment <compartment_name>

Para un despliegue de grupo de instancias, también debe crear un grupo dinámico para las siguientes instancias y proporcionar al grupo dinámico determinados permisos:

Cree un grupo dinámico para las instancias. Por ejemplo, puede asignar un nombre al grupo dinámico como DeployComputeDynamicGroup y sustituir compartmentOCID por el OCID del compartimento:
```
All {instance.compartment.id = 'compartmentOCID'}
```

Crear políticas de IAM para proporcionar el acceso necesario a las instancias de despliegue:

Allow dynamic-group DeployComputeDynamicGroup to use instance-agent-command-execution-family in compartment <compartment_name>
Allow dynamic-group DeployComputeDynamicGroup to read generic-artifacts in compartment <compartment_name>
Allow dynamic-group DeployComputeDynamicGroup to read secret-family in compartment <compartment_name>

Despliegues de etapa de Helm:

Allow dynamic-group DevOpsDynamicGroup to read all-artifacts in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to manage cluster in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to read repos in compartment <compartment_name>

Fase Aprobación:

Allow group pipeline1_approvers to use devops-family in compartment <compartment_name>  where all {request.principal.id = 'ocid1.pipeline1'}
Allow group pipeline2_approvers to use devops-family in compartment <compartment_name>  where all {request.principal.id = 'ocid1.pipeline2'}

Etapa Shell:

Allow dynamic-group DevOpsDynamicGroup to manage compute-container-instances in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to manage compute-containers in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to use vnics in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to use subnets in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to use dhcp-options in compartment <compartment_name>

Si utiliza el grupo de seguridad de red al crear la etapa Shell, agregue la siguiente política:

Allow dynamic-group DevOpsDynamicGroup to use network-security-groups in compartment <compartment_name>

Políticas de artefactos

Ejemplos de políticas para agregar la etapa Entregar artefactos al pipeline de compilación.

La etapa Entregar artefactos asigna las salidas de compilación de la etapa Compilación gestionada con la versión para entregar a un recurso de artefacto DevOps y, a continuación, al repositorio de código de Oracle Cloud Infrastructure (OCI). DevOps soporta artefactos almacenados en repositorios de OCI Container Registry y Artifact Registry. Consulte Adición de una etapa Entregar artefactos.

Consulte las instrucciones para crear políticas mediante la consola.

Cree las siguientes políticas de IAM:

Para ver una lista de todos los repositorios de Container Registry que pertenecen al arrendamiento o a un compartimento concreto:

Allow dynamic-group DevOpsDynamicGroup to inspect repos in tenancy

Allow dynamic-group DevOpsDynamicGroup to inspect repos in compartment <compartment_name>

Permitir que los artefactos se transfieran a la instancia de Container Registry (OCIR) que pertenece al arrendamiento o a un compartimento concreto:
```
Allow dynamic-group DevOpsDynamicGroup to use repos in tenancy
```
```
Allow dynamic-group DevOpsDynamicGroup to use repos in compartment <compartment_name>
```
Consulte Políticas para controlar el acceso al repositorio.

Capacidad para ver una lista de artefactos genéricos en Artifact Registry que pertenecen al arrendamiento o a un compartimento concreto:

Allow dynamic-group DevOpsDynamicGroup to inspect generic-artifacts in tenancy

Allow dynamic-group DevOpsDynamicGroup to inspect generic-artifacts in compartment <compartment_name>

Permitir que los artefactos genéricos se transfieran al registro de Artifact Registry que pertenece al arrendamiento o a un compartimento concreto:
```
Allow dynamic-group DevOpsDynamicGroup to use generic-artifacts in tenancy
```
```
Allow dynamic-group DevOpsDynamicGroup to use generic-artifacts in compartment <compartment_name>
```
Consulte la sección sobre políticas de Artifact Registry.

Permita a los usuarios extraer artefactos genéricos que pertenezcan al arrendamiento o a un compartimento concreto:

Allow dynamic-group DevOpsDynamicGroup to read generic-artifacts in tenancy

Allow dynamic-group DevOpsDynamicGroup to read generic-artifacts in compartment <compartment_name>

Acceso a Artifact Registry

Oracle Cloud Infrastructure Artifact Registry es un servicio de repositorio para almacenar, compartir y gestionar paquetes de desarrollo de software.

Puede acceder a los artefactos que almacena en Artifact Registry desde el servicio DevOps. Puede crear una referencia a tres tipos de artefactos en Artifact Registry: configuraciones de despliegue de grupo de instancias, artefactos generales y manifiestos de Kubernetes. El administrador debe otorgar el permiso read all-artifacts a los recursos de pipeline.

Consulte las instrucciones para crear políticas mediante la consola.

Cree una política de IAM para permitir que el grupo dinámico acceda a los artefactos de un compartimento específico:

Allow dynamic-group DevOpsDynamicGroup to read all-artifacts in compartment <compartment_name>

Para obtener más información, consulte la sección sobre políticas de Artifact Registry.

Documentación de Oracle Cloud Infrastructure Probar cuenta gratuita

Políticas de IAM de DevOps

Tipos de recursos y permisos 🔗

Variables soportadas 🔗

Asignación de variables con tipos de recursos

Detalles para combinaciones de verbos y tipos de recursos 🔗

Creación de una política y un grupo dinámico 🔗

Política

Grupo dinámico

Ejemplos de políticas 🔗

Políticas de entorno 🔗

Políticas del repositorio de código 🔗

Políticas de pipeline de compilación 🔗

Políticas para acceder a los recursos de ADM 🔗

Políticas de pipeline de despliegue 🔗

Políticas de artefactos 🔗

Acceso a Artifact Registry 🔗

Documentación de Oracle Cloud Infrastructure
Probar cuenta gratuita

Tipos de recursos y permisos

Variables soportadas

Detalles para combinaciones de verbos y tipos de recursos

Creación de una política y un grupo dinámico

Ejemplos de políticas

Políticas de entorno

Políticas del repositorio de código

Políticas de pipeline de compilación

Políticas para acceder a los recursos de ADM

Políticas de pipeline de despliegue

Políticas de artefactos

Acceso a Artifact Registry