Documentación de Oracle Cloud Infrastructure

Acceso a recursos relacionados con clusters en arrendamientos

Obtenga información sobre las políticas de IAM necesarias para permitir que un arrendamiento acceda a recursos relacionados con el cluster en otros arrendamientos.

Si desea que un arrendamiento acceda a recursos de otros arrendamientos, debe crear políticas entre arrendamientos.

Si no está familiarizado con las políticas, consulte Gestión de dominios de identidad y consulte:

Políticas de arrendamiento combinado

Es posible que la organización desee compartir recursos relacionados con el cluster con otra organización que tenga su propio arrendamiento. Podría ser otra unidad de negocio de la compañía, un cliente de la compañía, una compañía que presta servicios a su compañía, etc. En casos como estos, necesita políticas de arrendamiento combinado además de las políticas de usuario y servicio necesarias descritas en Configuración de políticas para la creación y el despliegue de clusters.

Sentencias Endorse, Admit y Define

Para acceder a los recursos y compartirlos entre dos arrendamientos, los administradores de ambos arrendamientos tienen que crear sentencias de política especiales que determinen de forma explícita los recursos que se pueden compartir y a los que se puede acceder. Estas sentencias especiales usan las palabras Define, Endorse y Admit.

A continuación, se muestra una visión general de los verbos especiales utilizados en sentencias de arrendamiento combinado:

  • Endorse: determina el juego general de capacidades que un grupo de su propio arrendamiento puede realizar en otros arrendamientos. La sentencia Endorse siempre corresponde al arrendamiento con el grupo de usuarios que cruzan los límites de otro arrendamiento para trabajar con los recursos de dicho arrendamiento. En los ejemplos, este arrendamiento se conoce como el arrendamiento de origen.
  • Admit: determina el tipo de capacidad de su propio arrendamiento que desea otorgar a un grupo de otro arrendamiento. La sentencia Admit corresponde al arrendamiento que otorga la "admisión" en el arrendamiento. La sentencia Admit identifica el grupo de usuarios que requieren acceso al recurso desde el arrendamiento de origen y que se identifica con la sentencia Endorse correspondiente. En los ejemplos, este arrendamiento se conoce como el arrendamiento de destino.

  • Define: asigna un alias a un OCID de arrendamiento para las sentencias de política Endorse y Admit. También se necesita una sentencia Define en el arrendamiento de destino para asignar un alias al OCID del grupo de IAM de origen para las sentencias Admit.

    Las sentencias Define se deben incluir en la misma entidad de política que la sentencia Endorse o Admit.

Las sentencias Endorse y Admit trabajan juntas, pero residen en políticas distintas, una en cada arrendamiento. Sin una sentencia correspondiente que especifique el acceso, una sentencia Endorse o Admit en particular no otorga acceso. El acuerdo es necesario por parte de ambos arrendamientos.

Políticas de Origen

El administrador de origen crea sentencias de política que avalan que un grupo de IAM de origen gestione recursos en un arrendamiento de destino.

Este es un ejemplo de una sentencia de política amplia que aprueba que el grupo de IAM OKE-Admins realice cualquier acción con todos los recursos relacionados con el cluster en cualquier arrendamiento:

Endorse group OKE-Admins to manage cluster-family in any-tenancy

Para permitir que el grupo de IAM de origen cree clusters en el arrendamiento de destino, el administrador de origen también debe crear sentencias de política para aprobar que el grupo gestione redes virtuales e inspeccione compartimentos. Por ejemplo:

Endorse group OKE-Admins to manage virtual-network-family in any-tenancy
Endorse group OKE-Admins to inspect compartments in any-tenancy

Para escribir una política que reduzca el ámbito del acceso al arrendamiento solo al arrendamiento de destino, el administrador de origen debe obtener el OCID del arrendamiento de destino del administrador de destino e incluir ese OCID en una sentencia de política. Este es un ejemplo de sentencia de política que aprueba que el grupo de IAM OKE-Admins gestione recursos relacionados con el cluster solo en DestinationTenancy:

Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group OKE-Admins to manage cluster-family in tenancy DestinationTenancy

Políticas de destino

El administrador de destino crea sentencias de política que:

  • Defina el arrendamiento de origen y el grupo de IAM que puede acceder a los recursos del arrendamiento de destino. El administrador de origen debe proporcionar los OCID del arrendamiento de origen y el grupo de IAM de origen.
  • Admita el grupo de IAM de origen para acceder a los recursos relacionados con el cluster en el arrendamiento de destino.

A continuación se incluye un ejemplo de sentencias de política que permiten al grupo de IAM OKE-Admins del arrendamiento de origen realizar cualquier acción con todos los recursos relacionados con el cluster del arrendamiento de destino:

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group OKE-Admins as ocid1.group.oc1..<unique_ID>
Admit group OKE-Admins of tenancy SourceTenancy to manage cluster-family in tenancy

Para permitir que el grupo de IAM de origen cree clusters en el arrendamiento de destino, el administrador de destino también debe crear sentencias de política para admitir que el grupo gestione redes virtuales e inspeccione compartimentos en el arrendamiento de destino. Por ejemplo:

Admit group OKE-Admins of tenancy SourceTenancy to manage virtual-network-family in tenancy
Admit group OKE-Admins of tenancy SourceTenancy to inspect compartments in tenancy

A continuación se incluye un ejemplo de sentencias de política que avalan que el grupo OKE-Admins de IAM del arrendamiento de origen gestione recursos relacionados con el cluster solo en el compartimento SharedOKEClusters:

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group OKE-Admins as ocid1.group.oc1..<unique_ID>
Admit group OKE-Admins of tenancy SourceTenancy to manage cluster-family in compartment SharedOKEClusters

Acceso a Imágenes Personalizadas en Otros Arrendamientos al Crear o Actualizar Pools de Nodos Gestionados

Al utilizar la CLI o la API para crear o actualizar un pool de nodos gestionado, especifique el OCID de la imagen que utiliza Kubernetes Engine para aprovisionar nodos gestionados en el pool de nodos. Si especifica el OCID de una imagen personalizada, la imagen personalizada puede estar en el mismo arrendamiento que el cluster o en un arrendamiento diferente. Si la imagen personalizada está en un arrendamiento diferente, deben existir políticas para permitir el acceso al otro arrendamiento para leer la imagen.

En el arrendamiento (el arrendamiento de origen) que contiene el cluster con el pool de nodos gestionado que desea que aprovisione Kubernetes Engine mediante una imagen personalizada, el administrador de origen debe crear sentencias de política para aprobar el acceso a la imagen personalizada en el arrendamiento de destino. Por ejemplo:

Define tenancy image-tenancy as ocid1.tenancy.oc1...<unique_ID>
Endorse any-user to {INSTANCE_IMAGE_INSPECT, INSTANCE_IMAGE_READ} in tenancy image-tenancy where request.principal.type = 'nodepool'

En el arrendamiento que contiene la imagen personalizada (el arrendamiento de destino), el administrador de destino debe crear sentencias de política para admitir el acceso desde el arrendamiento de origen a la imagen personalizada. Por ejemplo:

Define tenancy nodepool-tenancy as ocid1.tenancy.oc1...<unique_ID>
Admit any-user of tenancy nodepool-tenancy to {INSTANCE_IMAGE_INSPECT, INSTANCE_IMAGE_READ} where request.principal.type = 'nodepool'