Políticas comunes

Esta sección incluye algunas políticas comunes que puede que desee utilizar en su organización.

Nota

Estas políticas utilizan nombres de grupo y compartimento de ejemplo. Asegúrese de sustituirlos por sus propios nombres.

Permitir al servicio de ayuda gestionar usuarios

Tipo de acceso: capacidad para crear, actualizar y suprimir usuarios y sus credenciales. No incluye la capacidad de colocar a los usuarios en grupos.

Dónde crear la política: en el arrendamiento, ya que los usuarios residen en el arrendamiento.

Allow group HelpDesk to manage users in tenancy
Permitir a los auditores inspeccionar sus recursos

Tipo de acceso: capacidad para mostrar una lista de los recursos en todos los compartimentos. Tenga en cuenta que:

  • La operación para mostrar las listas de políticas de IAM incluye el contenido de las propias políticas.
  • Las operaciones de listas para los tipos de recursos de redes devuelven toda la información (por ejemplo, el contenido de las listas de seguridad y las tablas de rutas).
  • La operación para mostrar listas de instancias necesita el verbo read en lugar de inspect, y el contenido incluye los metadatos proporcionados por el usuario.
  • La operación para ver eventos del servicio de auditoría requiere el verbo read en lugar de inspect.

Dónde crear la política: en el arrendamiento. Debido al concepto de herencia de políticas, los auditores pueden inspeccionar el arrendamiento y todos los compartimentos que se encuentren por debajo. O bien, puede otorgar a los auditores acceso solo a compartimentos específicos si no necesitan acceder a todo el arrendamiento.

Allow group Auditors to inspect all-resources in tenancy

Allow group Auditors to read instances in tenancy

Allow group Auditors to read audit-events in tenancy
Permitir a los administradores de Autonomous Recovery Service gestionar bases de datos protegidas, subredes de servicios de recuperación y políticas de protección.
Tipo de acceso: capacidad de gestionar recursos de Autonomous Recovery Service en todos los compartimentos:
  • bases de datos protegidas

  • subredes de servicio de recuperación

  • Políticas de protección

Esta política se aplica si desea permitir que un único juego de administradores del servicio de recuperación gestione todos los recursos del servicio de recuperación en todos los compartimentos.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los recursos del servicio de recuperación en un compartimento concreto, especifique el compartimento necesario en lugar del arrendamiento.

Allow group RecoveryServiceGroup to manage recovery-service-family in tenancy
Permitir a los administradores de conformidad gestionar políticas de protección

Tipo de acceso: capacidad para gestionar políticas de protección en todos los compartimentos.

Esta política se aplica si desea permitir que un único juego de administradores de conformidad gestione políticas de protección en todos los compartimentos.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a las políticas de protección en un compartimento concreto, especifique el compartimento necesario en lugar del arrendamiento.

Allow group ComplianceGroup to manage recovery-service-policy in tenancy
    
Permitir a los administradores de red gestionar una red en la nube

Tipo de acceso: capacidad para gestionar todos los componentes de la red. Esto incluye redes en la nube, subredes, gateways, circuitos virtuales, listas de seguridad, tablas de rutas, etc. Si los administradores de red necesitan iniciar instancias para probar la conectividad de red, consulte Permitir a los usuarios iniciar instancias informáticas.

Dónde crear la política: en el arrendamiento. Debido al concepto de herencia de políticas, NetworkAdmins puede gestionar una red en la nube en cualquier compartimento. Para reducir el ámbito de acceso a un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group NetworkAdmins to manage virtual-network-family in tenancy

Para conocer las políticas utilizadas para conectar un DRG a redes virtuales en la nube y DRG en otras regiones y arrendamientos, consulte Políticas de IAM para el enrutamiento entre redes virtuales en la nube.

Permitir a los administradores de red gestionar los equilibradores de carga

Tipo de acceso: capacidad para gestionar todos los componentes en el equilibrador de carga. Si el grupo necesita iniciar instancias, consulte Permitir a los usuarios iniciar instancias informáticas.

Dónde crear la política: en el arrendamiento. Debido al concepto de herencia de políticas, NetworkAdmins puede entonces gestionar los equilibradores de carga en cualquier compartimento. Para reducir el ámbito de acceso a un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group NetworkAdmins to manage load-balancers in tenancy

Si el grupo desea gestionar los equilibradores de carga y los equilibradores de carga de red, se necesitan políticas adicionales para utilizar los recursos de red asociados:

Allow group NetworkAdmins to manage load-balancers in tenancy

Allow group NetworkAdmins to use virtual-network-family in tenancy

Allow group NetworkAdmins to manage instances in tenancy

Si un grupo concreto necesita actualizar un equilibrador de carga existente (por ejemplo, modificar el juego de backends) pero no crearlos ni suprimirlos, utilice esta sentencia:

Allow group LBUsers to use load-balancers in tenancy
Permitir a los usuarios iniciar instancias informáticas

Tipo de acceso: capacidad para realizar todas las operaciones con instancias iniciadas en la red en la nube y las subredes del compartimento XYZ, y asociar/desasociar cualquier volumen que ya exista en el compartimento ABC. La primera sentencia también permite al grupo crear y gestionar imágenes de instancia en el compartimento ABC. Si el grupo no necesita asociar o desasociar volúmenes, puede suprimir la sentencia volume-family.

Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores de los compartimentos individuales (ABC y XYZ) tengan control sobre las sentencias de política individuales, consulte Asociación de políticas.

Allow group InstanceLaunchers to manage instance-family in compartment ABC
Allow group InstanceLaunchers to read app-catalog-listing in tenancy
Allow group InstanceLaunchers to use volume-family in compartment ABC
Allow group InstanceLaunchers to use virtual-network-family in compartment XYZ

Para permitir a los usuarios crear nuevas redes y subredes en la nube, consulte Permitir a los administradores de red gestionar una red en la nube.

Para permitir a los usuarios determinar si la capacidad está disponible para una unidad específica antes de crear una instancia, agregue la siguiente sentencia a la política:

Allow group InstanceLaunchers to manage compute-capacity-reports in tenancy
Permitir a los usuarios iniciar instancias informáticas desde una imagen personalizada específica

Tipo de acceso: capacidad de iniciar instancias en la red y las subredes en la nube en el compartimento XYZ utilizando solo la imagen personalizada especificada. La política también incluye la capacidad de asociar/desasociar cualquier volumen existente que ya exista en el compartimento ABC. Si el grupo no necesita asociar/desasociar volúmenes, puede suprimir la sentencia volume-family.

Para especificar varias imágenes personalizadas, puede utilizar condiciones.

Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores de los compartimentos individuales (ABC y XYZ) tengan control sobre las sentencias de política individuales, consulte Asociación de políticas.

Allow group ImageUsers to inspect instance-images in compartment ABC
Allow group ImageUsers to {INSTANCE_IMAGE_READ} in compartment ABC where target.image.id='<image_OCID>'
Allow group ImageUsers to manage instances in compartment ABC
Allow group ImageUsers to read app-catalog-listing in tenancy
Allow group ImageUsers to use volume-family in compartment ABC
Allow group ImageUsers to use virtual-network-family in compartment XYZ
Permitir a los administradores de imágenes gestionar imágenes personalizadas

Tipo de acceso: capacidad de realizar todas las acciones con imágenes personalizadas e instancias informáticas. También incluye la capacidad de realizar todas las acciones con cubos, objetos y espacios de nombres de Object Storage en el compartimento Y (para crear imágenes a partir de objetos y crear solicitudes autenticadas previamente en imágenes); para asociar/desasociar cualquier volumen existente en el compartimento X; y para iniciar instancias en la red y las subredes en la nube en el compartimento Z (para crear nuevas instancias en las que basar una imagen). Si el grupo no necesita asociar/desasociar volúmenes, puede suprimir la sentencia volume-family.

Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores de los compartimentos individuales (X, Y y Z) tengan control sobre las sentencias de política individuales para sus compartimentos, consulte Asociación de políticas.

Allow group ImageAdmins to manage instances in compartment X
Allow group ImageAdmins to manage instance-images in compartment X
Allow group ImageAdmins to read app-catalog-listing in tenancy
Allow group ImageAdmins to manage object-family in compartment Y
Allow group ImageAdmins to use volume-family in compartment X
Allow group ImageAdmins to use virtual-network-family in compartment Z
Permitir a los usuarios gestionar las configuraciones de las instancias informáticas, los pools de instancias y las redes de cluster

Tipo de acceso: capacidad para hacer todo lo relacionado con las configuraciones de instancias, los pools de instancias y las redes de cluster en todos los compartimentos.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a las configuraciones de instancias, los pools de instancias y las redes de cluster en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group InstancePoolAdmins to manage compute-management-family in tenancy

Si un grupo necesita crear configuraciones de instancia utilizando instancias existentes como plantilla y utiliza la API, los SDK o la interfaz de línea de comandos (CLI) para ello, agregue las siguientes sentencias a la política:

Allow group InstancePoolAdmins to read instance-family in tenancy
Allow group InstancePoolAdmins to inspect volumes in tenancy

Si un grupo concreto necesita iniciar, parar o restablecer las instancias en pools de instancias existentes, pero no crear o suprimir pools de instancias, utilice esta sentencia:

Allow group InstancePoolUsers to use instance-pools in tenancy

Si los recursos utilizados por el pool de instancias contienen etiquetas por defecto, agregue la siguiente sentencia a la política para otorgar permiso al grupo para el espacio de nombres de etiqueta Oracle-Tags:

Allow group InstancePoolUsers to use tag-namespaces in tenancy where target.tag-namespace.name = 'oracle-tags'

Si la configuración de instancia utilizada por el pool de instancias inicia instancias en una reserva de capacidad, agregue la siguiente sentencia a la política:

Allow service compute_management to use compute-capacity-reservations in tenancy

Si el volumen de inicio utilizado en la configuración de instancia para crear un pool de instancias está cifrado con una clave de KMS, agregue la siguiente sentencia a la política.

allow service compute, blockstorage, compute_management to use key-family in compartment <compartment_id/<tenant_id>>
Permitir a los usuarios gestionar las configuraciones de escala automática de recursos informáticos

Tipo de acceso: capacidad para crear, actualizar y suprimir configuraciones de escala automática.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a las configuraciones de escala automática en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group AutoscalingAdmins to manage auto-scaling-configurations in tenancy
Allow group AutoscalingAdmins to manage instance-pools in tenancy
Permitir a los usuarios mostrar imágenes del catálogo de imágenes del partner y suscribirse a ellas

Tipo de acceso: capacidad para mostrar y crear suscripciones a imágenes en el catálogo de imágenes del partner. No incluye la capacidad de crear instancias utilizando imágenes del catálogo de imágenes del partner (consulte Permitir a los usuarios iniciar instancias informáticas).

Dónde crear la política: en el arrendamiento. Para reducir el ámbito de acceso a la creación de suscripciones en un compartimento concreto, especifique dicho compartimento en lugar del arrendamiento en la tercera sentencia.

Allow group CatalogSubscribers to inspect app-catalog-listing in tenancy
Allow group CatalogSubscribers to read app-catalog-listing in tenancy
Allow group CatalogSubscribers to manage app-catalog-listing in tenancy
Permitir a los usuarios crear conexiones de consola de instancia informática

Tipo de acceso: capacidad de crear conexiones de consola de instancia.

Dónde crear la política: en el arrendamiento.

Allow group <group_name> to manage instance-console-connection in tenancy
Allow group <group_name> to read instance in tenancy
Permitir a los usuarios gestionar hosts de máquina virtual dedicados de recursos informáticos

Tipo de acceso: permite crear, actualizar y suprimir hosts de máquinas virtuales dedicados, así como iniciar instancias en dichos hosts.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a las instancias y los hosts de máquina virtual dedicados en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group DedicatedVMHostAdmins to manage dedicated-vm-hosts in tenancy
Allow group DedicatedVMHostAdmins to manage instances in tenancy
Permitir a los usuarios iniciar instancias informáticas en hosts de máquinas virtuales dedicados.

Tipo de acceso: capacidad para iniciar instancias en hosts de máquinas virtuales dedicados.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a las instancias y los hosts de máquina virtual dedicados en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group DedicatedVMHostAdmins to use dedicated-vm-hosts in tenancy
Allow group DedicatedVMHostAdmins to manage instances in tenancy
Permitir a los administradores de volúmenes gestionar volúmenes de bloques, copias de seguridad y grupos de volúmenes

Tipo de acceso: capacidad de realizar todas las tareas con volúmenes de almacenamiento de bloques, copias de seguridad de volúmenes y grupos de volúmenes en todos los compartimentos, excepto la copia de copias de seguridad de volúmenes entre regiones. Esto es pertinente si desea tener un único juego de administradores de volúmenes que gestione todos los volúmenes, las copias de seguridad de volúmenes y los grupos de volúmenes de todos los compartimentos. Se necesita la segunda sentencia para asociar/desasociar los volúmenes de las instancias.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los volúmenes/copias de seguridad e instancias de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group VolumeAdmins to manage volume-family in tenancy

Allow group VolumeAdmins to use instance-family in tenancy

Si el grupo necesita también copiar copias de seguridad de volúmenes y copias de seguridad de volúmenes de inicio entre regiones, agregue las siguientes sentencias a la política:

Allow group VolumeAdmins to use volume-backups in tenancy where request.permission='VOLUME_BACKUP_COPY'
Allow group VolumeAdmins to use boot-volume-backups in tenancy where request.permission='BOOT_VOLUME_BACKUP_COPY'
Permitir a los administradores de copia de seguridad de volúmenes gestionar solo copias de seguridad.

Tipo de acceso: permite realizar todas las tareas con copias de seguridad de volúmenes, pero no crear ni gestionar volúmenes en sí. Esto es pertinente si desea tener un solo juego de administradores de copias de seguridad de volúmenes que gestione todas las copias en todos los compartimentos. La primera sentencia proporciona el acceso necesario al volumen del que se está realizando la copia de seguridad; la segunda sentencia permite la creación de la copia de seguridad (y la capacidad de suprimir copias de seguridad). La tercera sentencia permite la creación y gestión de políticas de copia de seguridad definidas por el usuario; la cuarta sentencia permite la asignación y eliminación de políticas de copia de seguridad.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los volúmenes y las copias de seguridad de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group VolumeBackupAdmins to use volumes in tenancy

Allow group VolumeBackupAdmins to manage volume-backups in tenancy

Allow group VolumeBackupAdmins to manage backup-policies in tenancy

Allow group VolumeBackupAdmins to manage backup-policy-assignments in tenancy

Si el grupo va a utilizar la consola, la siguiente política proporciona una mejor experiencia de usuario:

Allow group VolumeBackupAdmins to use volumes in tenancy

Allow group VolumeBackupAdmins to manage volume-backups in tenancy

Allow group VolumeBackupAdmins to inspect volume-attachments in tenancy

Allow group VolumeBackupAdmins to inspect instances in tenancy

Allow group VolumeBackupAdmins to manage backup-policies in tenancy

Allow group VolumeBackupAdmins to manage backup-policy-assignments in tenancy

Las dos últimas sentencias no son necesarias para gestionar las copias de seguridad de volúmenes. Sin embargo, permiten que la consola muestre toda la información sobre un volumen determinado y las políticas de copia de seguridad disponibles.

Permitir a los administradores de copias de seguridad de volúmenes de inicio gestionar solo copias de seguridad

Tipo de acceso: permite realizar todas las tareas con copias de seguridad de volúmenes de inicio, pero no crear ni gestionar volúmenes de inicio en sí. Esto es pertinente si desea tener un solo conjunto de administradores de copias de seguridad de volúmenes de inicio que gestionen todas las copias de seguridad de volúmenes de inicio en todos los compartimentos. La primera sentencia proporciona el acceso necesario al volumen de inicio del que se está realizando la copia de seguridad; la segunda sentencia permite la creación de la copia de seguridad (y la capacidad de suprimir copias de seguridad). La tercera sentencia permite la creación y gestión de políticas de copia de seguridad definidas por el usuario; la cuarta sentencia permite la asignación y eliminación de políticas de copia de seguridad.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los volúmenes de inicio y las copias de seguridad de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group BootVolumeBackupAdmins to use volumes in tenancy

Allow group BootVolumeBackupAdmins to manage boot-volume-backups in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policies in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policy-assignments in tenancy

Si el grupo va a utilizar la consola, la siguiente política proporciona una mejor experiencia de usuario:

Allow group BootVolumeBackupAdmins to use volumes in tenancy

Allow group BootVolumeBackupAdmins to manage boot-volume-backups in tenancy

Allow group BootVolumeBackupAdmins to inspect instances in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policies in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policy-assignments in tenancy

Las dos últimas sentencias no son necesarias para gestionar las copias de seguridad de volúmenes. Sin embargo, permiten que la consola muestre toda la información sobre un volumen de inicio determinado y las políticas de copia de seguridad disponibles.

Permitir a los usuarios crear un grupo de volúmenes

Tipo de acceso: capacidad para crear un grupo de volúmenes a partir de un juego de volúmenes.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los volúmenes y grupos de volúmenes en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group VolumeGroupCreators to inspect volumes in tenancy
Allow group VolumeGroupCreators to manage volume-groups in tenancy
Permitir a los usuarios clonar un grupo de volúmenes

Tipo de acceso: capacidad para clonar un grupo de volúmenes a partir de un grupo de volúmenes existente.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los volúmenes y grupos de volúmenes en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group VolumeGroupCloners to inspect volumes in tenancy
Allow group VolumeGroupCloners to manage volume-groups in tenancy
Allow group VolumeGroupCloners to manage volumes in tenancy
Permitir a los usuarios crear una copia de seguridad de grupo de volúmenes

Tipo de acceso: capacidad para crear una copia de seguridad de grupo de volúmenes.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los volúmenes/copias de seguridad y grupos de volúmenes/copias de seguridad de grupos de volúmenes de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group VolumeGroupBackupAdmins to inspect volume-groups in tenancy
Allow group VolumeGroupBackupAdmins to manage volumes in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-group-backups in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-backups in tenancy
Permitir a los usuarios restaurar una copia de seguridad de grupo de volúmenes

Tipo de acceso: capacidad para crear un grupo de volúmenes mediante la restauración de una copia de seguridad de grupo de volúmenes.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los volúmenes/copias de seguridad y grupos de volúmenes/copias de seguridad de grupos de volúmenes de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group VolumeGroupBackupAdmins to inspect volume-group-backups in tenancy
Allow group VolumeGroupBackupAdmins to read volume-backups in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-groups in tenancy
Allow group VolumeGroupBackupAdmins to manage volumes in tenancy
Permitir a los usuarios crear, gestionar y suprimir sistemas de archivos

Tipo de acceso: capacidad de crear, gestionar o suprimir un sistema de archivos o un clon de sistema de archivos. Las funciones administrativas de un sistema de archivos incluyen la capacidad de cambiarle el nombre, suprimirlo o desconectarse de él.

Dónde crear la política: en el arrendamiento, de forma que la capacidad para crear, gestionar o suprimir un sistema de archivos se pueda conceder fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de estas funciones administrativas a sistemas de archivos en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group StorageAdmins to manage file-family in tenancy
Permitir a los usuarios crear sistemas de archivos

Tipo de acceso: capacidad de crear un sistema de archivos o un clon del sistema de archivos.

Dónde crear la política: en el arrendamiento, de modo que la capacidad para crear un sistema de archivos se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de estas funciones administrativas a sistemas de archivos en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group Managers to manage file-systems in tenancy

Allow group Managers to read mount-targets in tenancy

La segunda sentencia es necesaria cuando los usuarios crean un sistema de archivos mediante la consola. Permite a la consola mostrar una lista de destinos de montaje con los que se puede asociar el nuevo sistema de archivos.

Permitir a los administradores de Object Storage gestionar cubos y objetos

Tipo de acceso: capacidad para realizar todas las tareas con los cubos y objetos de Object Storage en todos los compartimentos.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los cubos y objetos de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group ObjectAdmins to manage buckets in tenancy

Allow group ObjectAdmins to manage objects in tenancy
Permitir a los usuarios escribir objetos en los cubos de Object Storage

Tipo de acceso: capacidad para escribir objetos en cualquier cubo de Object Storage en el compartimento ABC (imagine una situación en la que el cliente necesite escribir archivos log regularmente en un cubo). Consiste en la capacidad de mostrar los cubos en el compartimento, mostrar los objetos de un cubo y crear un nuevo objeto en un cubo. Aunque la segunda sentencia ofrece acceso amplio con el verbo manage, el ámbito de ese acceso se limita entonces a los permisos OBJECT_INSPECT y OBJECT_CREATE con la condición al final de la sentencia.

Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores del compartimento ABC tengan control sobre la política, consulte Asociación de políticas.

Allow group ObjectWriters to read buckets in compartment ABC

Allow group ObjectWriters to manage objects in compartment ABC where any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}

Acceso limitado a un cubo específico: para limitar el acceso a un cubo específico en un compartimento concreto, agregue la condición where target.bucket.name='<bucket_name>'. La siguiente política permite al usuario mostrar todos los cubos de un compartimento concreto, pero solo se pueden mostrar y cargar objetos en BucketA:

Allow group ObjectWriters to read buckets in compartment ABC

Allow group ObjectWriters to manage objects in compartment ABC where all {target.bucket.name='BucketA', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

Acceso limitado a cubos con una etiqueta definida específica: para limitar el acceso a los cubos con una etiqueta específica en un compartimento determinado, agregue la condición where target.bucket.tag.<TagNamespace>.<TagKeyDefinition>='<TagValue>'. La siguiente política permite al usuario mostrar todos los cubos del compartimento ABC. Sin embargo, solo puede mostrar los objetos del cubo y cargar objetos en él con la etiqueta MyTagNamespace.TagKey='MyTagValue':

Allow group ObjectWriters to read buckets in compartment ABC
Allow group ObjectWriters to manage objects in compartment ABC where all {target.bucket.tag.MyTagNamespace.TagKey='MyTagValue', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

Para obtener más información sobre el uso de condiciones, consulte Funciones de políticas avanzadas.

Permitir a los usuarios descargar objetos de los cubos de Object Storage

Tipo de acceso: capacidad para descargar objetos de cualquier cubo de Object Storage en el compartimento ABC. Consiste en la capacidad de mostrar los cubos en el compartimento, mostrar los objetos de un cubo y leer los objetos existentes en un cubo.

Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores del compartimento ABC tengan control sobre la política, consulte Asociación de políticas.

Allow group ObjectReaders to read buckets in compartment ABC

Allow group ObjectReaders to read objects in compartment ABC

Acceso limitado a un cubo específico: para limitar el acceso a un cubo específico en un compartimento concreto, agregue la condición where target.bucket.name='<bucket_name>'. La siguiente política permite al usuario mostrar todos los cubos de un compartimento concreto, pero solo puede leer los objetos en BucketA y descargarlos de este:

Allow group ObjectReaders to read buckets in compartment ABC

Allow group ObjectReaders to read objects in compartment ABC where target.bucket.name='BucketA'

Acceso limitado a cubos con una etiqueta definida específica

Para limitar el acceso a los cubos con una etiqueta específica en un compartimento determinado, agregue la condición where target.bucket.tag.<TagNamespace>.<TagKeyDefinition>='<TagValue>'. La siguiente política permite al usuario mostrar todos los cubos del compartimento ABC. Sin embargo, solo puede leer los objetos del cubo y descargarlos de este con la etiqueta MyTagNamespace.TagKey='MyTagValue':

Allow group ObjectReaders to read buckets in compartment ABC
Allow group ObjectReaders to read objects in compartment ABC where target.bucket.tag.MyTagNamespace.TagKey='MyTagValue'

Para obtener más información sobre el uso de condiciones, consulte Funciones de políticas avanzadas.

Permita a los usuarios acceder a los datos de los clientes en Object Storage cifrados con una clave gestionada por el cliente

Tipo de acceso: capacidad para crear una clave gestionada por el cliente. Consiste en la capacidad de configurar políticas para acceder a los datos cifrados con una clave gestionada por el cliente.

allow group <group_in_tenancy> to manage vaults in compartment <key_located_compartment>
allow group <group_in_tenancy> to manage keys in compartment <key_located_compartment>
allow group <group_in_tenancy> to manage key-delegate in compartment <key_located_compartment>
allow group <group_in_tenancy> to use object-family in compartment <key_located_compartment>
allow service objectstorage-<region_name> to use keys in compartment <key_located_compartment>

La última sentencia del ejemplo de política anterior es específica de la región. Esto significa que los clientes deben escribir repetidamente esta sentencia para cada región. Para la configuración de la directiva de conveniencia, los clientes pueden utilizar el siguiente ejemplo de configuración de directiva:

allow group <group_in_tenancy> to manage vaults in compartment <key_located_compartment>
allow group <group_in_tenancy> to manage keys in compartment <key_located_compartment>
allow group <group_in_tenancy> to manage key-delegate in compartment <key_located_compartment>
allow group <group_in_tenancy> to use object-family in compartment <key_located_compartment>
allow any-group to use keys in compartment <key_located_compartment> where all {request.principal.type = 'service', request.service.name = /objectstorage-*/}
Permitir a los usuarios tener acceso completo a una carpeta de un cubo de Object Storage

Tipo de acceso: capacidad de un grupo de usuarios para realizar todas las acciones en un cubo de Object Storage y sus objetos.

Dónde crear la política: en el arrendamiento en el que residen los usuarios.

ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*'} 
Permitir a los usuarios tener acceso de solo lectura a una carpeta de un cubo de Object Storage

Tipo de acceso: capacidad de un grupo de usuarios para tener acceso de solo lectura a un cubo de Object Storage y sus objetos.

Dónde crear la política: en el arrendamiento en el que residen los usuarios.

ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*', any{request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}
Permitir a los usuarios tener acceso de una sola escritura a una carpeta de un cubo de Object Storage (sin lectura ni supresión)

Tipo de acceso: capacidad de un grupo de usuarios de tener acceso de solo escritura a una carpeta de objetos de un cubo. Los usuarios no pueden ver una lista de objetos del cubo ni suprimir ningún objeto que contenga.

Dónde crear la política: en el arrendamiento en el que residen los usuarios.

ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*', any{request.permission='OBJECT_CREATE'}}
Permitir a los usuarios tener acceso de lectura y escritura a una carpeta de un cubo de Object Storage (sin lista ni sobrescritura)

Tipo de acceso: capacidad de un grupo de usuarios para tener acceso de lectura y escritura a una carpeta de objetos de un cubo de Object Storage. Los usuarios no pueden generar una lista de objetos en la carpeta ni sobrescribir los objetos existentes en la carpeta.

Dónde crear la política: en el arrendamiento en el que residen los usuarios.

ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*', any{request.permission='OBJECT_CREATE', request.permission='OBJECT_READ'}}
Permitir que un usuario tenga acceso completo a un patrón de objeto en un cubo de Object Storage

Tipo de acceso: capacidad de un usuario especificado para tener acceso completo a todos los objetos que coinciden con un patrón especificado en un cubo de Object Storage.

Dónde crear la política: en el arrendamiento en el que reside el usuario.

ALLOW any-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = '*.pdf', request.user.id='ocid1.user.oc1..exampleuniqueID'}
Permitir a los administradores de bases de datos gestionar sistemas de base de datos de Oracle Cloud
Tipo de acceso: capacidad de realizar todas las tareas con los siguientes tipos de sistema y sus recursos asociados en todos los compartimentos:
  • Instancias de Exadata Database Service on Dedicated Infrastructure
  • sistemas de base de datos con hardware dedicado
  • sistemas de base de datos de máquina virtual

Esto tiene sentido si desea que un único juego de administradores de bases de datos gestione todos los sistemas con hardware dedicado, de máquina virtual y de Exadata en todos los compartimentos.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los sistemas de base de datos en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group DatabaseAdmins to manage database-family in tenancy
Permitir a los administradores de bases de datos gestionar instancias de Exadata Database Service en Cloud at Customer

Tipo de acceso: capacidad para realizar todas las tareas con los recursos de Exadata Database Service on Cloud@Customer en todos los compartimentos. Esto es pertinente si desea tener un único juego de administradores de base de datos que gestionen todos los sistemas Exadata Database Service on Cloud@Customer en todos los compartimentos.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a Exadata Database Service on Cloud@Customer

Sistemas en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group ExaCCAdmins to manage database-family in tenancy
Permitir a los administradores de bases de datos gestionar recursos de MySQL Database

Tipo de acceso:

Capacidad de realizar todas las tareas con los recursos de MySQL Database y MySQL HeatWave en todos los compartimentos. La creación y la gestión de sistemas de base de datos MySQL Database también requiere un acceso limitado a las VCN, las subredes y los espacios de nombres de etiquetas en el arrendamiento.

Dónde crear la política: en el arrendamiento, otorgando acceso a todos los compartimentos mediante la herencia de políticas.
Allow group <group_name> to {
  	COMPARTMENT_INSPECT, 
    VCN_READ, 
    SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH, 
    NETWORK_SECURITY_GROUP_UPDATE_MEMBERS,
    VNIC_CREATE, VNIC_UPDATE, VNIC_DELETE, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP
  } in tenancy | compartment <compartment_name> | compartment <compartment_ocid>
  Allow group <group_name> to manage mysql-family in tenancy | compartment <compartment_name> | compartment <compartment_ocid>
  Allow group <group_name> to use tag-namespaces in tenancy
Permitir a los administradores de bases de datos gestionar recursos de base de datos externa de Oracle Cloud
Tipo de acceso: capacidad de hacer todas las cosas con los siguientes recursos de base de datos externa de OCI en todos los compartimentos:
  • Recursos de la base de datos de contenedores externa de OCI
  • Recursos de la base de datos conectable externa de OCI
  • Recursos de la base de datos sin contenedor externa de OCI
  • Conectores de base de datos externa de OCI

Esto es pertinente si desea tener un único juego de administradores de base de datos que gestionen todos los recursos de base de datos externa de OCI en todos los compartimentos.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso solo a los recursos de base de datos externa de OCI de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group OnPremDatabaseAdmins to manage external-database-family in tenancy
Permitir a los administradores de bases de datos y de conjuntos gestionar Autonomous Databases

Tipo de acceso: capacidad para realizar todas las tareas con instancias de Autonomous Database en todos los compartimentos. Es aplicable si desea que un único juego de administradores de bases de datos gestione todas las bases de datos de Autonomous Database en todos los compartimentos.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda a todos los compartimentos mediante la herencia política. Para reducir el ámbito de acceso solo a las bases de datos autónomas de un compartimento concreto, especifíquelo en lugar del arrendamiento.

Ejemplo 1: para Roles de usuario asociados a Autonomous Database on Dedicated Exadata Infrastructure. Permite al administrador de conjuntos de Autonomous Database acceder a todos los tipos de carga de trabajo y gestionar los siguientes recursos de infraestructura de Exadata dedicada: bases de datos de contenedores autónomas y clusters de VM autónomos.

Allow group DatabaseAdmins to manage autonomous-database-family in tenancy
Consejo

El tipo de recurso agregado autonomous-database-family no cubre el tipo de recurso cloud-exadata-infrastructures necesario para aprovisionar Autonomous Database en una infraestructura de Exadata dedicada. Consulte Detalles de política para Exadata Database Service on Dedicated Infrastructure para obtener información sobre los permisos de la infraestructura de Exadata en la nube. Consulte Permitir a los administradores de bases de datos gestionar sistemas de base de datos de Oracle Cloud para obtener una política de ejemplo que cubra los recursos de la infraestructura de Exadata en la nube.

Si debe restringir el acceso a los tipos de recurso Cluster de VM autónomo y Base de datos de contenedores autónoma (solo se aplica a la infraestructura de Exadata dedicada), puede hacerlo creando sentencias de política independientes para los administradores de base de datos que permitan el acceso solo a las bases de datos autónomas y sus copias de seguridad. Debido a que una sentencia de política solo puede especificar un tipo de recurso, debe crear sentencias independientes para la base de datos y los recursos de copia de seguridad.

Ejemplo 2: para Autonomous Database on Dedicated Exadata Infrastructure. Permite a los administradores de bases de datos de Autonomous Database acceder a las bases de datos y las copias de seguridad de los distintos tipos de carga de trabajo, pero deniega el acceso a las bases de datos de contenedores autónomas, los clusters de VM autónomos y los recursos de la infraestructura de Exadata en la nube.

Allow group ADB-Admins to manage autonomous-database in tenancy
Allow group ADB-Admins to manage autonomous-backup in tenancy

Para reducir el ámbito de acceso de las bases de datos y las copias de seguridad a un tipo de carga de trabajo específico, utilice una cláusula where.

Ejemplo 3: Para Autonomous Database on Dedicated Exadata Infrastructure. Limita el acceso de Autonomous Database a las bases de datos y las copias de seguridad para un tipo de carga de trabajo específico.

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'workload_type'
Allow group ADB-Admins to manage autonomous-backups in tenancy where target.workloadType = 'workload_type'

En los ejemplos de código anteriores, workload_type es una de las cadenas que se muestran en la siguiente tabla.

Cadenas de tipo de carga de trabajo de Autonomous Database
Tipo de carga de trabajo de base de datos Cadena workload_type para políticas
Autonomous Database para el procesamiento de transacciones y cargas de trabajo mixtas OLTP
Autonomous Database para análisis y almacenamiento de datos DW
Autonomous JSON Database AJD
Desarrollo de aplicaciones de Oracle APEX APEX
Permitir a los administradores de seguridad gestionar almacenes, claves y secretos

Tipo de acceso: capacidad para realizar todas las tareas con el servicio Vault en todos los compartimentos. Esto es pertinente si desea tener un único conjunto de administradores de seguridad que gestionen todos los almacenes, las claves y los componentes secretos (incluidos secretos, versiones de secretas y grupos de secretos) en todos los compartimentos.

Dónde crear la política: en el arrendamiento, de forma que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso solo a los almacenes, las claves y los componentes secretos de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento. Para reducir el ámbito de acceso solo a almacenes, claves o componentes secretos, incluya solo la sentencia de política que pertenece al tipo de recurso individual o agregado correspondiente, según corresponda.

Allow group SecurityAdmins to manage vaults in tenancy

Allow group SecurityAdmins to manage keys in tenancy

Allow group SecurityAdmins to manage secret-family in tenancy
Permitir a los administradores de seguridad gestionar todas las claves en un almacén específico de un compartimento

Tipo de acceso: capacidad para hacer todo tipo de tareas con claves en un almacén específico del compartimento ABC.

Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores del compartimento individual (ABC) tengan control sobre las sentencias de política individuales para su compartimento, consulte Asociación de políticas.

Allow group SecurityAdmins to manage keys in compartment ABC where target.vault.id='<vault_OCID>'
Permitir a los administradores de seguridad utilizar una clave específica en un compartimento

Tipo de acceso: capacidad para mostrar, ver y realizar operaciones criptográficas con una clave específica en un compartimento.

Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores del compartimento individual (ABC) tengan control sobre las sentencias de política individuales para su compartimento, consulte Asociación de políticas.

Allow group SecurityAdmins to use keys in compartment ABC where target.key.id='<key_OCID>'
Permitir a un grupo de usuarios delegar el uso de claves en un compartimento

Tipo de acceso: capacidad para asociar un cubo de Object Storage, un volumen de Block Volume, el sistema de archivos de File Storage, un cluster de Kubernetes o un pool de flujos de Streaming a una clave específica autorizada para su uso en un compartimento específico. Con esta política, un usuario del grupo especificado no tiene permiso para utilizar la clave en sí. En su lugar, por asociación, la clave la puede utilizar Object Storage, Block Volume, File Storage, Kubernetes Engine o Streaming en nombre del usuario para:

  • Crear o actualizar un cubo, un volumen o un sistema de archivos cifrados y para cifrar o descifrar datos en el cubo, volumen o sistema de archivos.
  • Cree clusters de Kubernetes con secretos de Kubernetes cifrados en reposo en el almacén de clave-valor de etcd.
  • Cree una pool de flujos para cifrar los datos de los flujos en el pool de flujos.

Esta política requiere que también tenga una política asociada que permita a Object Storage, Block Volume, File Storage, Kubernetes Engine o Streaming utilizar la clave para realizar operaciones criptográficas.

Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores del compartimento individual (ABC) tengan control sobre las sentencias de política individuales para su compartimento, consulte Asociación de políticas.

Allow group ObjectWriters, VolumeWriters, FileWriters, ClusterWriters, StreamWriters to use key-delegate in compartment ABC where target.key.id = '<key_OCID>'
Permitir a los servicios de volumen en bloque, almacenamiento de objetos, Kubernetes Engine y Streaming cifrar y descifrar volúmenes, copias de seguridad de volúmenes, cubos, secretos de Kubernetes y pools de flujos

Tipo de acceso: capacidad para mostrar, ver y realizar operaciones criptográficas con todas las claves en el compartimento ABC. Puesto que Object Storage es un servicio regional, tiene puntos finales regionales. Como tal, debe especificar el nombre del servicio regional para cada región en la que esté utilizando Object Storage con cifrado de Vault. Esta política también requiere una política complementaria que permita a un grupo de usuarios utilizar la clave delegada que utilizará Object Storage, Block Volume, Kubernetes Engine o Streaming.

Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores del compartimento individual (ABC) tengan control sobre las sentencias de política individuales para su compartimento, consulte Asociación de políticas.

Allow service blockstorage, objectstorage-<region_name>, oke, streaming to use keys in compartment ABC where target.key.id = '<key_OCID>'

Para Object Storage, sustituya <region_name> por el identificador de región adecuado, por ejemplo:

  • objectstorage- us-phoenix-1

  • objectstorage- us-ashburn-1

  • objectstorage- eu-frankfurt-1

  • objectstorage- uk-london-1

  • objectstorage-ap-tokyo-1

Para determinar el valor de nombre de una región de Oracle Cloud Infrastructure, consulte Regiones y dominios de disponibilidad.

Para Kubernetes Engine, el nombre de servicio utilizado en la política es oke.

Para Streaming, el nombre de servicio utilizado en la política es streaming.

Permitir que File Storage cifre y descifre sistemas de archivos

Tipo de acceso: capacidad para mostrar, ver y realizar operaciones criptográficas con todas las claves en el compartimento ABC. Esta política también requiere una política complementaria que permita a un grupo de usuarios utilizar la clave delegada que utilizará File Storage.

Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores del compartimento individual (ABC) tengan control sobre las sentencias de política individuales para su compartimento, consulte Asociación de políticas.

  1. Cree un grupo dinámico para los sistemas de archivos con una regla como la siguiente:

    ALL { resource.type='filesystem', resource.compartment.id = '<file_system_compartment_OCID>' }
    Nota

    Si tiene más de una regla en el grupo dinámico, asegúrese de utilizar la opción Match any rules defined below.
  2. Cree una política de IAM que proporcione al grupo dinámico de sistemas de archivos acceso a las claves de Vault:

    allow dynamic-group <dynamic_group_name> to use keys in compartment ABC
Permitir a los administradores de seguridad gestionar todos los secretos en un almacén específico de un compartimento

Tipo de acceso: capacidad para hacer todo tipo de tareas con secretos en un almacén específico del compartimento ABC.

Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores del compartimento individual (ABC) tengan control sobre las sentencias de política individuales para su compartimento, consulte Asociación de políticas.

Allow group SecurityAdmins to manage secret-family in compartment ABC where target.vault.id='<vault_OCID>'
Permita a los usuarios leer, actualizar y rotar todos los secretos

Tipo de acceso: capacidad para leer, actualizar y rotar todos los secretos en cualquier almacén del arrendamiento.

Dónde crear la política: en el arrendamiento, de forma que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso solo a los almacenes, las claves y los secretos de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group SecretsUsers to use secret-family in tenancy
Permitir a los usuarios gestionar sus propias contraseñas y credenciales

No se necesita ninguna política para permitir a los usuarios gestionar sus propias credenciales. Todos los usuarios pueden cambiar y restablecer sus propias contraseñas, gestionar sus propias claves de API y gestionar sus propios tokens de autenticación. Para obtener más información, consulte Credenciales de usuario.

Permitir a un administrador de compartimento gestionar el compartimento

Tipo de acceso: permite gestionar todos los aspectos de un compartimento concreto. Por ejemplo, un grupo denominado A-Admins podría gestionar todos los aspectos de un compartimento denominado Project-A, incluida la escritura de políticas adicionales que afectan al compartimento. Para obtener más información, consulte Anexo de políticas. Para ver un ejemplo de este tipo de políticas de configuración y políticas adicionales que resultan útiles, consulte Escenario de ejemplo.

Dónde crear la política: en el arrendamiento.

Allow group A-Admins to manage all-resources in compartment Project-A
Restringir el acceso de administrador a una región específica

Tipo de acceso: capacidad para gestionar recursos en una región específica. Recuerde que los recursos IAM deben gestionarse en la región principal. Si la región especificada no es la región principal, el administrador no podrá gestionar los recursos de IAM. Para obtener más información sobre la región principal, consulte Gestión de regiones.

Dónde crear la política: en el arrendamiento.

Allow group PHX-Admins to manage all-resources in tenancy where request.region='phx'

La política anterior permite a PHX-Admins gestionar todos los aspectos de todos los recursos del oeste de EE. UU. (Phoenix).

Los miembros del grupo PHX-Admins solo pueden gestionar los recursos de IAM si la región principal del arrendamiento es Oeste de EE. UU. (Phoenix).

Restringir el acceso de usuario para ver solo anuncios resumidos

Tipo de acceso: capacidad para ver las versiones resumidas de anuncios sobre el estado operativo de los servicios de Oracle Cloud Infrastructure.

Dónde crear la política: en el arrendamiento.

Allow group AnnouncementListers to inspect announcements in tenancy

La política anterior permite a AnnouncementListers ver una lista de anuncios resumidos.

Permitir a los usuarios ver detalles de los anuncios

Tipo de acceso: capacidad para ver los detalles de los anuncios sobre el estado operativo de los servicios de Oracle Cloud Infrastructure.

Dónde crear la política: en el arrendamiento.

Allow group AnnouncementReaders to read announcements in tenancy

La política anterior permite a AnnouncementReaders ver una lista de anuncios resumidos y los detalles de anuncios específicos.

Permitir a los administradores de flujos gestionar recursos de flujo

Tipo de acceso: capacidad para realizar todas las tareas con el servicio Streaming en todos los compartimentos.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los flujos de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group StreamAdmins to manage stream-family in tenancy
Permitir a los usuarios de streaming publicar mensajes en los flujos

Tipo de acceso: capacidad para emitir mensajes en flujos con el servicio Streaming en todos los compartimentos.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los flujos de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group StreamUsers to use stream-push in tenancy
Permitir a los usuarios de streaming publicar mensajes en un flujo específico

Tipo de acceso: capacidad de emitir mensajes en un flujo con el servicio Streaming.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los flujos de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group StreamUsers to use stream-push in tenancy where target.stream.id = '<stream_OCID>'
Permitir a los usuarios de flujo publicar mensajes en un flujo de un pool de flujos específico

Tipo de acceso: capacidad de emitir mensajes en un flujo con el servicio Streaming.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los flujos de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group StreamUsers to use stream-push in tenancy where target.streampool.id = '<streampool_OCID>'
Permitir a los usuarios de streaming consumir mensajes de flujos

Tipo de acceso: capacidad para consumir mensajes de flujos con el servicio Streaming en todos los compartimentos.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los flujos de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group StreamUsers to use stream-pull in tenancy
Permitir que los usuarios muestren definiciones de métricas en un compartimento

Tipo de acceso: capacidad para mostrar definiciones de métricas en un compartimento específico. Para obtener más información, consulte Listado de definiciones de métricas.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a las definiciones de métrica en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group <group_name> to inspect metrics in compartment <compartment_name>
Permitir a los usuarios consultar métricas en un compartimento

Tipo de acceso: capacidad para consultar métricas para recursos soportados en un compartimento específico. Para obtener más información, consulte Creación de una Consulta.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a las métricas de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group <group_name> to read metrics in compartment <compartment_name>
Restringir consultas a un espacio de nombres de métrica específico

Tipo de acceso: capacidad para consultar métricas para recursos de un espacio de nombre de métrica específico. Para obtener más información, consulte Creación de una Consulta.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso al espacio de nombres de métrica especificado a un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group <group_name> to read metrics in compartment <compartment_name>
  where target.metrics.namespace='<metric_namespace>'
Permitir a los usuarios publicar métricas personalizadas

Tipo de acceso: capacidad para publicar métricas personalizadas en un espacio de nombre de métrica específico para el servicio Monitoring, así como para ver datos de métricas, crear alarmas y temas y utilizar flujos con alarmas. Para obtener más información sobre la publicación de métricas personalizadas, consulte Publicación de métricas personalizadas.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a las métricas de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Nota

Para limitar el grupo a los permisos necesarios para seleccionar flujos, sustituya use streams por {STREAM_READ, STREAM_PRODUCE}.
Allow group <group_name> to use metrics in tenancy 
  where target.metrics.namespace=<metric_namespace>'
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to manage ons-topics in tenancy
Allow group <group_name> to use streams in tenancy
Permitir a las instancias realizar llamadas de API para acceder a métricas de supervisión en el arrendamiento

Tipo de acceso: capacidad de llamar a la API de Monitoring para acceder a métricas  de supervisión. Las instancias en las que se originan las solicitudes de API deben ser miembros del grupo dinámico indicado en la política. Para obtener más información sobre las instancias informáticas que llaman a API, consulte Llamada a servicios desde instancias.

Dónde crear la política: en el arrendamiento.

Allow dynamic-group MetricInstances to read metrics in tenancy
Permitir a los usuarios ver alarmas

Tipo de acceso: capacidad para obtener detalles de alarma y obtener historial de alarmas. No incluye la capacidad de crear alarmas ni de crear o suprimir temas.

Dónde crear la política: en el arrendamiento. Debido al concepto de herencia de políticas, el grupo podrá ver las alarmas de cualquier compartimento. Para reducir el ámbito de acceso a un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group <group_name> to read alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Permitir a los usuarios gestionar alarmas

Tipo de acceso: capacidad para gestionar alarmas mediante flujos y temas existentes para notificaciones. No incluye la capacidad de crear o suprimir temas.

Dónde crear la política: en el arrendamiento. Debido al concepto de herencia de políticas, el grupo podrá ver y crear alarmas en cualquier compartimento. Para reducir el ámbito de acceso a un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to use ons-topics in tenancy
Allow group <group_name> to use streams in tenancy
Permitir a los usuarios gestionar alarmas y crear temas

Tipo de acceso: capacidad para gestionar alarmas, incluida la creación de temas (y suscripciones) para notificaciones (y el uso de flujos para notificaciones).

Dónde crear la política: en el arrendamiento. Debido al concepto de herencia de políticas, el grupo podrá ver y crear alarmas en cualquier compartimento. Para reducir el ámbito de acceso a un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to manage ons-topics in tenancy
Allow group <group_name> to use streams in tenancy
Permitir a los usuarios acceder a los informes de uso

Tipo de acceso: capacidad para ver informes de uso del arrendamiento. Para obtener más información sobre los informes de uso, consulte Visión general de los informes de uso y costos.

Dónde crear la política: se trata de una política especial de varios arrendamientos y se debe crear en el arrendamiento. Para obtener más información, consulte Acceso a los informes de uso y costos.

define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
				endorse group Administrators to read objects in tenancy usage-report
Cómo permitir que los usuarios analicen los costos

Tipo de acceso: capacidad para ver costos del arrendamiento. Consulte Comprobación de los gastos y el uso.

Dónde crear la política: en el arrendamiento para que los usuarios de <Example_Group> puedan ver los costos de toda la cuenta.

Allow group <Example_Group> to read usage-reports in tenancy
Permitir a un grupo gestionar temas y suscripciones

Tipo de acceso: capacidad para obtener, crear, actualizar y suprimir temas  en el arrendamiento, así como para mover temas a diferentes compartimentos en el arrendamiento. También incluye la capacidad de crear suscripciones en el arrendamiento y publicar mensajes (mensajes de notificación transmitidos) en todas las suscripciones del arrendamiento.

Dónde crear la política: en el arrendamiento.

Allow group TopicManagers to manage ons-topics in tenancy
Permitir a un grupo gestionar suscripciones

Tipo de acceso: capacidad para mostrar, crear, actualizar y suprimir suscripciones  a temas en el arrendamiento. Capacidad para mover suscripciones a diferentes compartimentos en el arrendamiento.

Dónde crear la política: en el arrendamiento.

Allow group SubscriptionUsers to manage ons-subscriptions in tenancy
Permitir a un grupo publicar mensajes a temas

Tipo de acceso: capacidad para enviar mensajes  de notificación a todas las suscripciones  del arrendamiento, así como mostrar, crear, actualizar y suprimir suscripciones en el arrendamiento.

Dónde crear la política: en el arrendamiento.

Allow group TopicUsers to use ons-topics in tenancy
Permite a los usuarios crear, desplegar y gestionar funciones y aplicaciones mediante el uso de Cloud Shell

Tipo de acceso: capacidad de crear, desplegar y gestionar aplicaciones y funciones de OCI Functions mediante Cloud Shell. Estas sentencias de política proporcionan al grupo acceso a Cloud Shell, repositorios de Oracle Cloud Infrastructure Registry, logs, métricas, funciones, redes y rastreo.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso solo a los recursos de un compartimento concreto, puede especificar el compartimento en lugar del arrendamiento para la mayoría de las sentencias de política. Sin embargo, to use cloud-shell, to manage repos y to read objectstorage-namespaces siempre deben estar en el ámbito del arrendamiento.


Allow group functions-developers to use cloud-shell in tenancy
Allow group functions-developers to manage repos in tenancy
Allow group functions-developers to read objectstorage-namespaces in tenancy
Allow group functions-developers to manage logging-family in tenancy
Allow group functions-developers to read metrics in tenancy
Allow group functions-developers to manage functions-family in tenancy
Allow group functions-developers to use virtual-network-family in tenancy
Allow group functions-developers to use apm-domains in tenancy
Allow group functions-developers to read vaults in tenancy
Allow group functions-developers to use keys in tenancy
Allow service faas to use apm-domains in tenancy
Allow service faas to read repos in tenancy where request.operation='ListContainerImageSignatures'
Allow service faas to {KEY_READ} in tenancy where request.operation='GetKeyVersion'
Allow service faas to {KEY_VERIFY} in tenancy where request.operation='Verify'
Permitir a los usuarios mostrar reglas de eventos en un compartimento

Tipo de acceso: capacidad para mostrar reglas de eventos.

Dónde crear la política: en el arrendamiento.

Allow group RuleReaders to read cloudevents-rules in tenancy

La política anterior permite a RuleReaders mostrar reglas en el arrendamiento.

Permitir a los administradores gestionar reglas de eventos en un compartimento

Tipo de acceso: capacidad de gestionar reglas de eventos, incluidas la creación, supresión y actualización de reglas.

Dónde crear la política: en el arrendamiento.

Esta línea permite al usuario inspeccionar el acceso a los recursos en compartimentos para seleccionar acciones.

allow group <RuleAdmins> to inspect compartments in tenancy

Esta línea proporciona al usuario acceso a etiquetas definidas para aplicar etiquetas de filtro a las reglas.

allow group <RuleAdmins> to use tag-namespaces in tenancy

Estas líneas proporcionan al usuario acceso a los recursos de streaming para acciones.

allow group <RuleAdmins> to inspect streams in tenancy
allow group <RuleAdmins> to use stream-push in tenancy
allow group <RuleAdmins> to use stream-pull in tenancy

Estas líneas proporcionan al usuario acceso a recursos de funciones para acciones.

allow group <RuleAdmins> to use virtual-network-family in tenancy
allow group <RuleAdmins> to manage function-family in tenancy

Esta línea proporciona al usuario acceso a temas de notificaciones para acciones.

allow group <RuleAdmins> to use ons-topic in tenancy

Esta línea proporciona al usuario acceso de administración a reglas para eventos.

allow group <RuleAdmins> to manage cloudevents-rules in tenancy
Permitir a un grupo acceder a todos los Cloud Guard

Tipo de acceso: acceso de solo lectura a todos los Cloud Guard. En la política de ejemplo, el grupo es "CloudGuard_ReadOnly".

allow group CloudGuard_ReadOnly to read cloud-guard-family in tenancy
allow group CloudGuard_ReadOnly to read compartments in tenancy
allow group CloudGuard_ReadOnly to read announcements in tenancy
Permitir a un grupo acceder a los problemas de Cloud Guard

Tipo de acceso: acceso de solo lectura a los problemas de Cloud Guard. En la política de ejemplo, el grupo es "CloudGuard_ReadOnlyProblems".

allow group CloudGuard_ReadOnlyProblems to read cloud-guard-family in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-detectors in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-targets in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-resource-types in tenancy
allow group CloudGuard_ReadOnlyProblems to read announcements in tenancy
allow group CloudGuard_ReadOnlyProblems to read compartments in tenancy
allow group CloudGuard_ReadOnlyProblems to read cloud-guard-config in tenancy
Permitir a un grupo acceder a recetas de detector de Cloud Guard

Tipo de acceso: acceso de solo lectura a recetas de detector de Cloud Guard. En la política de ejemplo, el grupo es "CloudGuard_ReadOnlyDetectors".

allow group CloudGuard_ReadOnlyDetectors to read cloud-guard-detector-recipes in tenancy
allow group CloudGuard_ReadOnlyDetectors to read announcements in tenancy
allow group CloudGuard_ReadOnlyDetectors to read compartments in tenancy
allow group CloudGuard_ReadOnlyDetectors to read cloud-guard-config in tenancy
Permitir a un grupo acceder a Cloud Guard en un solo compartimento

Tipo de acceso: acceso de solo lectura a Cloud Guard en un solo compartimento. En la política de ejemplo, el grupo es "CloudGuard_ReadOnly_SingleCompartment" y el nombre del compartimento es "cgDemo_RestrictedAccess".

allow group CloudGuard_ReadOnly_SingleCompartment to read compartments in tenancy where target.compartment.name = 'cgDemo_RestrictedAccess'
allow group CloudGuard_ReadOnly_SingleCompartment to read cloud-guard-family in compartment cgDemo_RestrictedAccess
allow group CloudGuard_ReadOnly_SingleCompartment to read announcements in compartment cgDemo_RestrictedAccess
allow group CloudGuard_ReadOnly_SingleCompartment to read cloud-guard-config in tenancy
Permitir a un grupo administrar todos los aspectos de las operaciones de Full Stack Disaster Recovery en todo el arrendamiento

Tipo de acceso: capacidad para permitir que un grupo sea superusuario para todas las operaciones de Full Stack Disaster Recovery.

Dónde se crea la política: en el arrendamiento
Allow group DRUberAdmins to manage disaster-recovery-family in tenancy
Permitir a un grupo crear configuraciones de Full Stack Disaster Recovery y ejecutar comprobaciones previas

Tipo de acceso: capacidad para permitir a un grupo crear grupos de protección de Disaster Recovery (DR), planes de DR y ejecutar comprobaciones previas, pero no crear ejecuciones de planes de DR.

Dónde crear la política: en el compartimento.

Allow group DRMonitors to manage disaster-recovery-protection-groups in compartment ApplicationERP
Allow group DRMonitors to manage disaster-recovery-plans in compartment ApplicationERP
Allow group DRMonitors to manage disaster-recovery-prechecks in compartment ApplicationERP
Permitir a un grupo de usuarios crear configuraciones de Full Stack Disaster Recovery en un compartimento específico

Tipo de acceso: capacidad para permitir a un grupo crear grupos de protección y planes de DR de Disaster Recovery (DR), pero no crear ejecuciones ni comprobaciones previas de planes de DR.

Dónde crear la política: en el compartimento.
Allow group DRConfig to manage disaster-recovery-protection-groups in compartment ApplicationERP
Allow group DRConfig to manage disaster-recovery-plans in compartment ApplicationERP
Permitir que Object Storage utilice claves en Vault

Tipo de acceso: otros servicios que integrar con KMS para utilizar claves de KMS.

Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores del compartimento individual (ABC) tengan control sobre las sentencias de política individuales para su compartimento.

Ejemplo: Allow service objectstorage-<region> to use keys in compartment ABC where target.key.id = '<key_OCID>'

allow service objectstorage-<region> to use keys in compartment Compartments where target.key.id = ocid1.key.oc1..exampleuniqueID
Permitir a los administradores de seguridad gestionar todos los bastiones y sesiones

Tipo de acceso: capacidad de gestionar todos los recursos del servicio Bastion en todos los compartimentos. Esto es pertinente si desea que un único juego de administradores de seguridad gestione todos los bastiones y sesiones de todos los compartimentos.

Dónde crear la política: en el arrendamiento, de forma que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso solo a los bastiones y las sesiones de bastión de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group SecurityAdmins to manage bastion in tenancy
Allow group SecurityAdmins to manage bastion-session in tenancy
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy
Permitir a los administradores de seguridad gestionar sesiones de bastión

Tipo de acceso: capacidad de gestionar todas las sesiones de todos los bastiones y de todos los compartimentos, incluida la creación de sesiones, la conexión a estas y su terminación.

Dónde crear la política: en el arrendamiento, de forma que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso solo a las sesiones de bastión de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group SecurityAdmins to use bastion in tenancy
Allow group SecurityAdmins to manage bastion-session in tenancy
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy
Permitir a los administradores de seguridad gestionar sesiones de Bastion para un host de destino específico de un compartimento

Tipo de acceso: capacidad de gestionar sesiones en un bastión de un compartimento específico y solo para sesiones que proporcionen conectividad a una instancia de Compute específica.

Dónde crear la política: en el arrendamiento, de forma que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas.

Allow group SecurityAdmins to use bastion in compartment ABC
Allow group SecurityAdmins to manage bastion-session in compartment ABC where ALL {target.resource.ocid='<instance_OCID>', target.bastion-session.username='<session_username>'}
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy
Permitir a los administradores de seguridad configurar el análisis de las instancias de todos los compartimentos

Tipo de acceso: capacidad de configurar Oracle Cloud Infrastructure Vulnerability Scanning Service para analizar todas las instancias de Compute de todos los compartimentos y ver los resultados del análisis. Considere esta política si desea que un único juego de administradores de seguridad configure el análisis de vulnerabilidades para todas las instancias.

Dónde crear la política: en el arrendamiento, lo cual otorga acceso a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso solo a las instancias de Compute de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group SecurityAdmins to manage vss-family in tenancy
Allow service vulnerability-scanning-service to manage instances in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy
Allow service vulnerability-scanning-service to read vnics in tenancy
Allow service vulnerability-scanning-service to read vnic-attachments in tenancy
Permitir a los usuarios vean los resultados del análisis de vulnerabilidades en todos los compartimentos

Tipo de acceso: capacidad de ver los resultados del análisis de instancias de Compute en todos los compartimentos para detectar vulnerabilidades de seguridad. Considere esta política si tiene un equipo dedicado responsable de revisar o auditar la seguridad de todo el arrendamiento.

Dónde crear la política: en el arrendamiento, lo cual otorga acceso a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los resultados del análisis en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group SecurityReviewers to read vss-family in tenancy
Permitir a un grupo gestionar conectores

Tipo de acceso: capacidad para mostrar, crear, actualizar y suprimir conectores en el arrendamiento. Capacidad para mover conectores a diferentes compartimentos en el arrendamiento.

Dónde crear la política: en el arrendamiento.

Allow group A-Admins to manage serviceconnectors in tenancy

Consulte también Políticas de IAM (Protección de Connector Hub).

Permitir a un grupo llamar a las operaciones de ingesta de Ops Insights en el arrendamiento

Tipo de acceso: capacidad para llamar a operaciones de ingesta de Ops Insights solo en el nivel de arrendamiento.

Dónde crear la política: en el arrendamiento.

allow group opsi-users to use opsi-database-insights in tenancy 
where any 
{request.operation='IngestSqlBucket', 
request.operation='IngestSqlText',
request.operation='IngestSqlPlanLines'}
Permitir a los usuarios crear y suprimir espacios de trabajo sin redes (Data Integration)

Capacidad de crear, suprimir y modificar espacios de trabajo en un compartimento.

allow group <group-name> to manage dis-workspaces in <compartment-name>
allow group <group-name> to manage dis-work-requests in <compartment-name>
allow group <group-name> to manage tag-namespaces in <compartment-name>
Permitir a los usuarios crear y suprimir espacios de trabajo mediante la red (Data Integration)

Capacidad de crear, suprimir y modificar espacios de trabajo dentro de una red virtual.

allow service dataintegration to use virtual-network-family in <compartment-name>
allow group <group-name> to manage dis-workspaces in <compartment-name>
allow group <group-name> to manage dis-work-requests in <compartment-name>
allow group <group-name> to use virtual-network-family in <compartment-name>
allow group <group-name> to manage tag-namespaces in <compartment-name>
Permitir a los usuarios y a la entidad de recurso acceder a Object Storage y utilizarlo para un espacio de trabajo determinado (Data Integration)

Capacidad de crear y utilizar activos de datos de Object Storage en todos los espacios de trabajo.

allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to use object-family in <compartment-name>

Para otorgar acceso a un espacio de trabajo individual, especifique el OCID del espacio de trabajo al que desea permitir el acceso. Por ejemplo:

allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
Permitir a los usuarios y a la entidad de recurso acceder a las bases de datos autónomas y utilizarlas como destino para un espacio de trabajo determinado (Data Integration)

Capacidad de crear y utilizar activos de datos de base de datos autónoma en todos los espacios de trabajo.

allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to use object-family in <compartment-name>
allow any-group to manage buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.permission='PAR_MANAGE'}

Para otorgar acceso a un espacio de trabajo individual, especifique el OCID del espacio de trabajo al que desea permitir el acceso. Por ejemplo:

allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-group to manage buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>', request.permission='PAR_MANAGE'}
Permitir a los usuarios mover espacios de trabajo a un nuevo compartimento (Data Integration)

Capacidad de mover espacios de trabajo a un nuevo compartimento.

allow service dataintegration to inspect compartments in <compartment-name>
allow group <group-name> to manage dis-workspaces in <compartment-name>
Permitir que los usuarios publiquen tareas en el servicio OCI Data Flow (Data Integration)

Capacidad de publicar las diferentes tareas dentro de todos los espacios de trabajo en el servicio Data Flow de OCI.

allow any-group to manage dataflow-application in <compartment-name> where ALL {request.principal.type='disworkspace'}

Para otorgar acceso a un espacio de trabajo individual, especifique el OCID del espacio de trabajo al que desea permitir el acceso. Por ejemplo:

allow any-group to manage dataflow-application in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
Permitir a los usuarios acceder al servicio OCI Vault para un espacio de trabajo concreto (Data Integration)

Capacidad de utilizar secretos de OCI Vault en todos los espacios de trabajo.

allow any-group to read secret-bundles in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to read secret-bundles in <compartment-name>

Para otorgar acceso a un espacio de trabajo individual, especifique el OCID del espacio de trabajo al que desea permitir el acceso. Por ejemplo:

allow any-group to read secret-bundles in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
Permitir a los administradores gestionar suscripciones a anuncios

Tipo de acceso: capacidad de gestionar suscripciones que entregan anuncios sobre el estado operativo de los servicios de Oracle Cloud Infrastructure.

Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Debido al concepto de herencia de políticas, el grupo al que otorga acceso puede gestionar las suscripciones a anuncios en cualquier compartimento. Para reducir el ámbito de acceso a los anuncios para un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group AnnouncementAdmins to manage announcement-subscriptions in tenancy

La política anterior permite a AnnouncementAdmins ver una lista de anuncios de resumen y los detalles de anuncios específicos.