Políticas de IAM necesarias para utilizar nodos virtuales

Descubra las políticas de IAM que se deben crear para utilizar nodos virtuales con Container Engine for Kubernetes (OKE).

Para poder utilizar nodos virtuales, siempre debe configurar al menos una política de IAM, que es necesaria en todas las circunstancias tanto para los administradores del arrendamiento como para los usuarios que no sean administradores. Para permitir que los usuarios que no son administradores utilicen nodos virtuales, también debe configurar una política adicional:

• Necesario en todas las circunstancias, tanto para administradores de arrendamiento como para usuarios que no sean administradores: para crear y utilizar clusters con nodos virtuales y pools de nodos virtuales, debe aprobar el contenedor El servicio Engine for Kubernetes permite a los nodos virtuales crear instancias de contenedor en el arrendamiento del servicio Container Engine for Kubernetes con una VNIC conectada a una subred de una VCN de su arrendamiento. Cree una política en el compartimento raíz con las siguientes sentencias de política, exactamente como se muestra a continuación:

  define tenancy ske as ocid1.tenancy.oc1..aaaaaaaacrvwsphodcje6wfbc3xsixhzcan5zihki6bvc7xkwqds4tqhzbaq
   
  define compartment ske_compartment as ocid1.compartment.oc1..aaaaaaaa2bou6r766wmrh5zt3vhu2rwdya7ahn4dfdtwzowb662cmtdc5fea
   
  endorse any-user to associate compute-container-instances in compartment ske_compartment of tenancy ske with subnets in tenancy where ALL {request.principal.type='virtualnode',request.operation='CreateContainerInstance',request.principal.subnet=2.subnet.id}
   
  endorse any-user to associate compute-container-instances in compartment ske_compartment of tenancy ske with vnics in tenancy where ALL {request.principal.type='virtualnode',request.operation='CreateContainerInstance',request.principal.subnet=2.subnet.id}
   
  endorse any-user to associate compute-container-instances in compartment ske_compartment of tenancy ske with network-security-group in tenancy where ALL {request.principal.type='virtualnode',request.operation='CreateContainerInstance'}

• También es necesario para usuarios que no sean administradores: para crear y utilizar clusters con nodos virtuales y pools de nodos virtuales, debe otorgar a los usuarios los permisos necesarios. Para otorgar estos permisos, cree una política de IAM con las siguientes sentencias de política:

  allow group <group-name> to manage cluster-virtualnode-pools in compartment <compartment-name>

  allow group <group-name> to read virtual-network-family in compartment <compartment-name>

  allow group <group-name> to manage vnics in compartment <compartment-name>

  Tenga en cuenta que si un grupo no está en el dominio de identidad por defecto, agregue un prefijo al nombre de grupo con el nombre de dominio de identidad, con el formato group '<identity-domain-name>'/'group-name'. También puede especificar un grupo mediante su OCID, con el formato group id <group-ocid>.