Acceso a recursos relacionados con clusters en arrendamientos

Para acceder a los recursos y compartirlos entre dos arrendamientos, los administradores de ambos arrendamientos tienen que crear sentencias de política especiales que determinen de forma explícita los recursos que se pueden compartir y a los que se puede acceder. Estas sentencias especiales usan las palabras Define, Endorse y Admit.

A continuación, se muestra una visión general de los verbos especiales utilizados en sentencias de arrendamiento combinado:

• Endorse: determina el juego general de capacidades que un grupo de su propio arrendamiento puede realizar en otros arrendamientos. La sentencia Endorse siempre corresponde al arrendamiento con el grupo de usuarios que cruzan los límites de otro arrendamiento para trabajar con los recursos de dicho arrendamiento. En los ejemplos, este arrendamiento se conoce como el arrendamiento de origen.
• Admit: determina el tipo de capacidad de su propio arrendamiento que desea otorgar a un grupo de otro arrendamiento. La sentencia Admit corresponde al arrendamiento que otorga la "admisión" en el arrendamiento. La sentencia Admit identifica el grupo de usuarios que requieren acceso al recurso desde el arrendamiento de origen y que se identifica con la sentencia Endorse correspondiente. En los ejemplos, este arrendamiento se conoce como el arrendamiento de destino.

• Define: asigna un alias a un OCID de arrendamiento para las sentencias de política Endorse y Admit. También se necesita una sentencia Define en el arrendamiento de destino para asignar un alias al OCID del grupo de IAM de origen para las sentencias Admit.

  Las sentencias Define se deben incluir en la misma entidad de política que la sentencia Endorse o Admit.

Las sentencias Endorse y Admit trabajan juntas, pero residen en políticas distintas, una en cada arrendamiento. Sin una sentencia correspondiente que especifique el acceso, una sentencia Endorse o Admit en particular no otorga acceso. El acuerdo es necesario por parte de ambos arrendamientos.

El administrador de origen crea sentencias de política que avalan que un grupo de IAM de origen gestione recursos en un arrendamiento de destino.

A continuación se incluye un ejemplo de sentencia de política amplia que aprueba que el grupo de OKE-Admins de IAM realice cualquier acción con todos los recursos relacionados con el cluster en cualquier arrendamiento:

Endorse group OKE-Admins to manage cluster-family in any-tenancy

Para permitir que el grupo de IAM de origen cree clusters en el arrendamiento de destino, el administrador de origen también debe crear sentencias de política para aprobar el grupo para gestionar redes virtuales e inspeccionar compartimentos. Por ejemplo:

Endorse group OKE-Admins to manage virtual-network-family in any-tenancy
Endorse group OKE-Admins to inspect compartments in any-tenancy

Para escribir una política que reduzca el ámbito del acceso al arrendamiento solo al arrendamiento de destino, el administrador de origen debe obtener el OCID del arrendamiento de destino del administrador de destino e incluir ese OCID en una sentencia de política. A continuación se incluye un ejemplo de sentencias de política que aprueban que el grupo de IAM OKE-Admins gestione recursos relacionados con clusters solo en DestinationTenancy:

Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group OKE-Admins to manage cluster-family in tenancy DestinationTenancy

El administrador de destino crea sentencias de política que:

• Defina el arrendamiento de origen y el grupo de IAM que puede acceder a los recursos del arrendamiento de destino. El administrador de origen debe proporcionar los OCID del arrendamiento de origen y el grupo de IAM de origen.
• Admita el grupo de IAM de origen para acceder a los recursos relacionados con el cluster en el arrendamiento de destino.

A continuación se incluye un ejemplo de sentencias de política que admiten que el grupo OKE-Admins de IAM del arrendamiento de origen realice cualquier acción con todos los recursos relacionados con el cluster del arrendamiento de destino:

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group OKE-Admins as ocid1.group.oc1..<unique_ID>
Admit group OKE-Admins of tenancy SourceTenancy to manage cluster-family in tenancy

Para permitir que el grupo de IAM de origen cree clusters en el arrendamiento de destino, el administrador de destino también debe crear sentencias de política para admitir que el grupo gestione redes virtuales e inspeccione compartimentos en el arrendamiento de destino. Por ejemplo:

Admit group OKE-Admins of tenancy SourceTenancy to manage virtual-network-family in tenancy
Admit group OKE-Admins of tenancy SourceTenancy to inspect compartments in tenancy

A continuación se incluye un ejemplo de sentencias de política que aprueban que el grupo OKE-Admins de IAM del arrendamiento de origen gestione los recursos relacionados con el cluster solo en el compartimento SharedOKEClusters:

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group OKE-Admins as ocid1.group.oc1..<unique_ID>
Admit group OKE-Admins of tenancy SourceTenancy to manage cluster-family in compartment SharedOKEClusters