Políticas comunes

Esta sección incluye algunas políticas comunes que puede que desee utilizar en su organización.

Nota

Estas políticas utilizan nombres de grupo y compartimento de ejemplo. Asegúrese de sustituirlos por sus propios nombres.

Permitir al servicio de ayuda gestionar usuarios

Tipo de acceso: capacidad para crear, actualizar y suprimir usuarios y sus credenciales. No incluye la capacidad de colocar a los usuarios en grupos.

Dónde crear la política: en el arrendamiento, ya que los usuarios residen en el arrendamiento.

Allow group HelpDesk to manage users in tenancy
Permitir a los auditores inspeccionar sus recursos

Tipo de acceso: capacidad para mostrar una lista de los recursos en todos los compartimentos. Tenga en cuenta que:

  • La operación para mostrar las listas de políticas de IAM incluye el contenido de las propias políticas.
  • Las operaciones de listas para los tipos de recursos de redes devuelven toda la información (por ejemplo, el contenido de las listas de seguridad y las tablas de rutas).
  • La operación para mostrar listas de instancias necesita el verbo read en lugar de inspect, y el contenido incluye los metadatos proporcionados por el usuario.
  • La operación para ver eventos del servicio de auditoría requiere el verbo read en lugar de inspect.

Dónde crear la política: en el arrendamiento. Debido al concepto de herencia de políticas, los auditores pueden inspeccionar el arrendamiento y todos los compartimentos que se encuentren por debajo. O bien, puede otorgar a los auditores acceso solo a compartimentos específicos si no necesitan acceder a todo el arrendamiento.

Allow group Auditors to inspect all-resources in tenancy

Allow group Auditors to read instances in tenancy

Allow group Auditors to read audit-events in tenancy
Permitir a los administradores de red gestionar una red en la nube

Tipo de acceso: capacidad para gestionar todos los componentes de la red. Esto incluye redes en la nube, subredes, gateways, circuitos virtuales, listas de seguridad, tablas de rutas, etc. Si los administradores de red necesitan iniciar instancias para probar la conectividad de red, consulte Permitir a los usuarios iniciar instancias informáticas.

Dónde crear la política: en el arrendamiento. Debido al concepto de herencia de políticas, NetworkAdmins puede gestionar una red en la nube en cualquier compartimento. Para reducir el ámbito de acceso a un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group NetworkAdmins to manage virtual-network-family in tenancy
Permitir a los administradores de red gestionar los equilibradores de carga

Tipo de acceso: capacidad para gestionar todos los componentes en el equilibrio de carga. Si el grupo necesita iniciar instancias, consulte Permitir a los usuarios iniciar instancias informáticas.

Dónde crear la política: en el arrendamiento. Debido al concepto de herencia de políticas, NetworkAdmins puede entonces gestionar los equilibradores de carga en cualquier compartimento. Para reducir el ámbito de acceso a un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group NetworkAdmins to manage load-balancers in tenancy

Si el grupo utiliza la consola para gestionar equilibradores de carga y equilibradores de carga de red, se necesitan políticas adicionales para utilizar los recursos de red asociados:

Allow group NetworkAdmins to manage load-balancers in tenancy

Allow group NetworkAdmins to use virtual-network-family in tenancy

Allow group NetworkAdmins to manage instances in tenancy

Si un grupo concreto necesita actualizar un equilibrador de carga existente (por ejemplo, modificar el juego de backends) pero no crearlos ni suprimirlos, utilice esta sentencia:

Allow group LBUsers to use load-balancers in tenancy
Permitir a los usuarios iniciar instancias informáticas

Tipo de acceso: capacidad para realizar todas las operaciones con instancias iniciadas en la red en la nube y las subredes del compartimento XYZ, y asociar/desasociar cualquier volumen que ya exista en el compartimento ABC. La primera sentencia también permite al grupo crear y gestionar imágenes de instancia en el compartimento ABC. Si el grupo no necesita asociar/desasociar volúmenes, puede suprimir la sentencia volume-family.

Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores de los compartimentos individuales (ABC y XYZ) tengan control sobre las sentencias de política individuales, consulte Asociación de políticas.

Allow group InstanceLaunchers to manage instance-family in compartment ABC
Allow group InstanceLaunchers to read app-catalog-listing in tenancy
Allow group InstanceLaunchers to use volume-family in compartment ABC
Allow group InstanceLaunchers to use virtual-network-family in compartment XYZ

Para permitir a los usuarios crear nuevas redes y subredes en la nube, consulte Permitir a los administradores de red gestionar una red en la nube.

Permitir a los usuarios iniciar instancias informáticas desde una imagen personalizada específica

Tipo de acceso: capacidad de iniciar instancias en la red y las subredes en la nube en el compartimento XYZ utilizando solo la imagen personalizada especificada. La política también incluye la capacidad de asociar/desasociar cualquier volumen existente que ya exista en el compartimento ABC. Si el grupo no necesita asociar/desasociar volúmenes, puede suprimir la sentencia volume-family.

Para especificar varias imágenes personalizadas, puede utilizar condiciones.

Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores de los compartimentos individuales (ABC y XYZ) tengan control sobre las sentencias de política individuales, consulte Asociación de políticas.

Allow group ImageUsers to inspect instance-images in compartment ABC
Allow group ImageUsers to {INSTANCE_IMAGE_READ} in compartment ABC where target.image.id='<image_OCID>'
Allow group ImageUsers to manage instances in compartment ABC
Allow group ImageUsers to read app-catalog-listing in tenancy
Allow group ImageUsers to use volume-family in compartment ABC
Allow group ImageUsers to use virtual-network-family in compartment XYZ
Permitir a los administradores de imágenes gestionar imágenes personalizadas

Tipo de acceso: capacidad de realizar todas las acciones con imágenes personalizadas e instancias informáticas. También incluye la capacidad de realizar todas las acciones con cubos, objetos y espacios de nombres de Object Storage en el compartimento Y (para crear imágenes a partir de objetos y crear solicitudes autenticadas previamente en imágenes); para asociar/desasociar cualquier volumen existente en el compartimento X; y para iniciar instancias en la red y las subredes en la nube en el compartimento Z (para crear nuevas instancias en las que basar una imagen). Si el grupo no necesita asociar/desasociar volúmenes, puede suprimir la sentencia volume-family.

Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores de los compartimentos individuales (X, Y y Z) tengan control sobre las sentencias de política individuales para sus compartimentos, consulte Asociación de políticas.

Allow group ImageAdmins to manage instances in compartment X
Allow group ImageAdmins to manage instance-images in compartment X
Allow group ImageAdmins to read app-catalog-listing in tenancy
Allow group ImageAdmins to manage object-family in compartment Y
Allow group ImageAdmins to use volume-family in compartment X
Allow group ImageAdmins to use virtual-network-family in compartment Z
Permitir a los usuarios gestionar las configuraciones de las instancias informáticas, los pools de instancias y las redes de cluster

Tipo de acceso: capacidad para hacer todo lo relacionado con las configuraciones de instancias, los pools de instancias y las redes de cluster en todos los compartimentos.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a las configuraciones de instancias, los pools de instancias y las redes de cluster en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group InstancePoolAdmins to manage compute-management-family in tenancy

Si un grupo necesita crear configuraciones de instancia utilizando instancias existentes como plantilla y utiliza la API, los SDK o la interfaz de línea de comandos (CLI) para ello, agregue las siguientes sentencias a la política:

Allow group InstancePoolAdmins to read instance-family in tenancy
Allow group InstancePoolAdmins to inspect volumes in tenancy

Si un grupo concreto necesita iniciar, parar o restablecer las instancias en pools de instancias existentes, pero no crear o suprimir pools de instancias, utilice esta sentencia:

Allow group InstancePoolUsers to use instance-pools in tenancy

Si los recursos utilizados por el pool de instancias contienen etiquetas por defecto, agregue la siguiente sentencia a la política para otorgar permiso al grupo para el espacio de nombres de etiqueta Oracle-Tags:

Allow group InstancePoolUsers to use tag-namespaces in tenancy where target.tag-namespace.name = 'oracle-tags'

Si la configuración de instancia utilizada por el pool de instancias inicia instancias en una reserva de capacidad, agregue la siguiente sentencia a la política:

Allow service compute_management to use compute-capacity-reservations in tenancy

Si el volumen de inicio utilizado en la configuración de instancia para crear un pool de instancias se cifra con una clave de KMS, agregue la siguiente sentencia a la política

allow service compute, blockstorage, compute_management to use key-family in compartment <compartment_id/<tenant_id>>
Permitir a los usuarios gestionar las configuraciones de escala automática de recursos informáticos

Tipo de acceso: capacidad para crear, actualizar y suprimir configuraciones de escala automática.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a las configuraciones de escala automática en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group AutoscalingAdmins to manage auto-scaling-configurations in tenancy
Allow group AutoscalingAdmins to manage instance-pools in tenancy
Permitir a los usuarios mostrar imágenes del catálogo de imágenes del partner y suscribirse a ellas

Tipo de acceso: capacidad para mostrar y crear suscripciones a imágenes en el catálogo de imágenes del partner. No incluye la capacidad de crear instancias utilizando imágenes del catálogo de imágenes del partner (consulte Permitir a los usuarios iniciar instancias informáticas).

Dónde crear la política: en el arrendamiento. Para reducir el ámbito de acceso a la creación de suscripciones en un compartimento concreto, especifique dicho compartimento en lugar del arrendamiento en la tercera sentencia.

Allow group CatalogSubscribers to inspect app-catalog-listing in tenancy
Allow group CatalogSubscribers to read app-catalog-listing in tenancy
Allow group CatalogSubscribers to manage app-catalog-listing in tenancy
Permitir a los usuarios crear conexiones de consola de instancia informática

Tipo de acceso: capacidad de crear conexiones de consola de instancia.

Dónde crear la política: en el arrendamiento.

Allow group <group_name> to manage instance-console-connection in tenancy
Allow group <group_name> to read instance in tenancy
Permitir a los usuarios gestionar hosts de máquina virtual dedicados de recursos informáticos

Tipo de acceso: permite crear, actualizar y suprimir hosts de máquinas virtuales dedicados, así como iniciar instancias en dichos hosts.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a las instancias y los hosts de máquina virtual dedicados en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group DedicatedVMHostAdmins to manage dedicated-vm-hosts in tenancy
Allow group DedicatedVMHostAdmins to manage instances in tenancy
Permitir a los usuarios iniciar instancias informáticas en hosts de máquinas virtuales dedicados.

Tipo de acceso: capacidad para iniciar instancias en hosts de máquinas virtuales dedicados.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a las instancias y los hosts de máquina virtual dedicados en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group DedicatedVMHostAdmins to use dedicated-vm-hosts in tenancy
Allow group DedicatedVMHostAdmins to manage instances in tenancy
Permitir a los administradores de volúmenes gestionar volúmenes de bloques, copias de seguridad y grupos de volúmenes

Tipo de acceso: capacidad de realizar todas las tareas con volúmenes de almacenamiento de bloques, copias de seguridad de volúmenes y grupos de volúmenes en todos los compartimentos, excepto la copia de copias de seguridad de volúmenes entre regiones. Esto es pertinente si desea tener un único juego de administradores de volúmenes que gestione todos los volúmenes, las copias de seguridad de volúmenes y los grupos de volúmenes de todos los compartimentos. Se necesita la segunda sentencia para asociar/desasociar los volúmenes de las instancias.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los volúmenes/copias de seguridad e instancias de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group VolumeAdmins to manage volume-family in tenancy

Allow group VolumeAdmins to use instance-family in tenancy

Si el grupo necesita también copiar copias de seguridad de volúmenes y copias de seguridad de volúmenes de inicio entre regiones, agregue las siguientes sentencias a la política:

Allow group VolumeAdmins to use volume-backups in tenancy where request.permission='VOLUME_BACKUP_COPY'
Allow group VolumeAdmins to use boot-volume-backups in tenancy where request.permission='BOOT_VOLUME_BACKUP_COPY'
Permitir a los administradores de copia de seguridad de volúmenes gestionar solo copias de seguridad.

Tipo de acceso: permite realizar todas las tareas con copias de seguridad de volúmenes, pero no crear ni gestionar volúmenes en sí. Esto es pertinente si desea tener un solo juego de administradores de copias de seguridad de volúmenes que gestione todas las copias en todos los compartimentos. La primera sentencia proporciona el acceso necesario al volumen del que se está realizando la copia de seguridad; la segunda sentencia permite la creación de la copia de seguridad (y la capacidad de suprimir copias de seguridad). La tercera sentencia permite la creación y gestión de políticas de copia de seguridad definidas por el usuario; la cuarta sentencia permite la asignación y eliminación de políticas de copia de seguridad.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los volúmenes y las copias de seguridad de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group VolumeBackupAdmins to use volumes in tenancy

Allow group VolumeBackupAdmins to manage volume-backups in tenancy

Allow group VolumeBackupAdmins to manage backup-policies in tenancy

Allow group VolumeBackupAdmins to manage backup-policy-assignments in tenancy

Si el grupo va a utilizar la consola, la siguiente política proporciona una mejor experiencia de usuario:

Allow group VolumeBackupAdmins to use volumes in tenancy

Allow group VolumeBackupAdmins to manage volume-backups in tenancy

Allow group VolumeBackupAdmins to inspect volume-attachments in tenancy

Allow group VolumeBackupAdmins to inspect instances in tenancy

Allow group VolumeBackupAdmins to manage backup-policies in tenancy

Allow group VolumeBackupAdmins to manage backup-policy-assignments in tenancy

Las dos últimas sentencias no son necesarias para gestionar las copias de seguridad de volúmenes. Sin embargo, permiten que la consola muestre toda la información sobre un volumen determinado y las políticas de copia de seguridad disponibles.

Permitir a los administradores de copias de seguridad de volúmenes de inicio gestionar solo copias de seguridad

Tipo de acceso: permite realizar todas las tareas con copias de seguridad de volúmenes de inicio, pero no crear ni gestionar volúmenes de inicio en sí. Esto es pertinente si desea tener un solo conjunto de administradores de copias de seguridad de volúmenes de inicio que gestionen todas las copias de seguridad de volúmenes de inicio en todos los compartimentos. La primera sentencia proporciona el acceso necesario al volumen de inicio del que se está realizando la copia de seguridad; la segunda sentencia permite la creación de la copia de seguridad (y la capacidad de suprimir copias de seguridad). La tercera sentencia permite la creación y gestión de políticas de copia de seguridad definidas por el usuario; la cuarta sentencia permite la asignación y eliminación de políticas de copia de seguridad.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los volúmenes de inicio y las copias de seguridad de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group BootVolumeBackupAdmins to use volumes in tenancy

Allow group BootVolumeBackupAdmins to manage boot-volume-backups in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policies in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policy-assignments in tenancy

Si el grupo va a utilizar la consola, la siguiente política proporciona una mejor experiencia de usuario:

Allow group BootVolumeBackupAdmins to use volumes in tenancy

Allow group BootVolumeBackupAdmins to manage boot-volume-backups in tenancy

Allow group BootVolumeBackupAdmins to inspect instances in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policies in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policy-assignments in tenancy

Las dos últimas sentencias no son necesarias para gestionar las copias de seguridad de volúmenes. Sin embargo, permiten que la consola muestre toda la información sobre un volumen de inicio determinado y las políticas de copia de seguridad disponibles.

Permitir a los usuarios crear un grupo de volúmenes

Tipo de acceso: capacidad para crear un grupo de volúmenes a partir de un juego de volúmenes.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los volúmenes y grupos de volúmenes en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group VolumeGroupCreators to inspect volumes in tenancy
Allow group VolumeGroupCreators to manage volume-groups in tenancy
Permitir a los usuarios clonar un grupo de volúmenes

Tipo de acceso: capacidad para clonar un grupo de volúmenes a partir de un grupo de volúmenes existente.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los volúmenes y grupos de volúmenes en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group VolumeGroupCloners to inspect volumes in tenancy
Allow group VolumeGroupCloners to manage volume-groups in tenancy
Allow group VolumeGroupCloners to manage volumes in tenancy
Permitir a los usuarios crear una copia de seguridad de grupo de volúmenes

Tipo de acceso: capacidad para crear una copia de seguridad de grupo de volúmenes.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los volúmenes/copias de seguridad y grupos de volúmenes/copias de seguridad de grupos de volúmenes de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group VolumeGroupBackupAdmins to inspect volume-groups in tenancy
Allow group VolumeGroupBackupAdmins to manage volumes in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-group-backups in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-backups in tenancy
Permitir a los usuarios restaurar una copia de seguridad de grupo de volúmenes

Tipo de acceso: capacidad para crear un grupo de volúmenes mediante la restauración de una copia de seguridad de grupo de volúmenes.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los volúmenes/copias de seguridad y grupos de volúmenes/copias de seguridad de grupos de volúmenes de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group VolumeGroupBackupAdmins to inspect volume-group-backups in tenancy
Allow group VolumeGroupBackupAdmins to read volume-backups in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-groups in tenancy
Allow group VolumeGroupBackupAdmins to manage volumes in tenancy
Permitir a los usuarios crear, gestionar y suprimir sistemas de archivos

Tipo de acceso: capacidad de crear, gestionar o suprimir un sistema de archivos o un clon de sistema de archivos. Las funciones administrativas de un sistema de archivos incluyen la capacidad de cambiarle el nombre, suprimirlo o desconectarse de él.

Dónde crear la política: en el arrendamiento, de forma que la capacidad para crear, gestionar o suprimir un sistema de archivos se pueda conceder fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de estas funciones administrativas a sistemas de archivos en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group StorageAdmins to manage file-family in tenancy
Permitir a los usuarios crear sistemas de archivos

Tipo de acceso: capacidad de crear un sistema de archivos o un clon del sistema de archivos.

Dónde crear la política: en el arrendamiento, de modo que la capacidad para crear un sistema de archivos se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de estas funciones administrativas a sistemas de archivos en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group Managers to manage file-systems in tenancy

Allow group Managers to read mount-targets in tenancy

La segunda sentencia es necesaria cuando los usuarios crean un sistema de archivos mediante la consola. Permite a la consola mostrar una lista de destinos de montaje con los que se puede asociar el nuevo sistema de archivos.

Permitir a los administradores de Object Storage gestionar cubos y objetos

Tipo de acceso: capacidad para realizar todas las tareas con los cubos y objetos de Object Storage en todos los compartimentos.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los cubos y objetos de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group ObjectAdmins to manage buckets in tenancy

Allow group ObjectAdmins to manage objects in tenancy
Permitir a los usuarios escribir objetos en los cubos de Object Storage

Tipo de acceso: capacidad para escribir objetos en cualquier cubo de Object Storage en el compartimento ABC (imagine una situación en la que el cliente necesite escribir archivos log regularmente en un cubo). Consiste en la capacidad de mostrar los cubos en el compartimento, mostrar los objetos de un cubo y crear un nuevo objeto en un cubo. Aunque la segunda sentencia ofrece acceso amplio con el verbo manage, el ámbito de ese acceso se limita entonces a los permisos OBJECT_INSPECT y OBJECT_CREATE con la condición al final de la sentencia.

Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores del compartimento ABC tengan control sobre la política, consulte Asociación de políticas.

Allow group ObjectWriters to read buckets in compartment ABC

Allow group ObjectWriters to manage objects in compartment ABC where any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}

Acceso limitado a un cubo específico: para limitar el acceso a un cubo específico en un compartimento concreto, agregue la condición where target.bucket.name='<bucket_name>'. La siguiente política permite al usuario mostrar todos los cubos de un compartimento concreto, pero solo se pueden mostrar y cargar objetos en BucketA:

Allow group ObjectWriters to read buckets in compartment ABC

Allow group ObjectWriters to manage objects in compartment ABC where all {target.bucket.name='BucketA', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

Acceso limitado a cubos con una etiqueta definida específica: para limitar el acceso a los cubos con una etiqueta específica en un compartimento determinado, agregue la condición where target.bucket.tag.<TagNamespace>.<TagKeyDefinition>='<TagValue>'. La siguiente política permite al usuario mostrar todos los cubos del compartimento ABC; sin embargo, solo se pueden mostrar y cargar objetos en el cubo con la etiqueta MyTagNamespace.TagKey='MyTagValue':

Allow group ObjectWriters to read buckets in compartment ABC
Allow group ObjectWriters to manage objects in compartment ABC where all {target.bucket.tag.MyTagNamespace.TagKey='MyTagValue', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

Para obtener más información sobre el uso de condiciones, consulte Funciones de políticas avanzadas.

Permitir a los usuarios descargar objetos de los cubos de Object Storage

Tipo de acceso: capacidad para descargar objetos de cualquier cubo de Object Storage en el compartimento ABC. Consiste en la capacidad de mostrar los cubos en el compartimento, mostrar los objetos de un cubo y leer los objetos existentes en un cubo.

Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores del compartimento ABC tengan control sobre la política, consulte Asociación de políticas.

Allow group ObjectReaders to read buckets in compartment ABC

Allow group ObjectReaders to read objects in compartment ABC

Acceso limitado a un cubo específico: para limitar el acceso a un cubo específico en un compartimento concreto, agregue la condición where target.bucket.name='<bucket_name>'. La siguiente política permite al usuario mostrar todos los cubos de un compartimento concreto, pero solo puede leer los objetos en BucketA y descargarlos de este:

Allow group ObjectReaders to read buckets in compartment ABC

Allow group ObjectReaders to read objects in compartment ABC where target.bucket.name='BucketA'

Acceso limitado a bloques con una etiqueta definida específica

Para limitar el acceso a los cubos con una etiqueta específica en un compartimento determinado, agregue la condición where target.bucket.tag.<TagNamespace>.<TagKeyDefinition>='<TagValue>'. La siguiente política permite al usuario mostrar todos los cubos del compartimento ABC; sin embargo, solo puede leer los objetos del cubo y descargarlos con la etiqueta MyTagNamespace.TagKey='MyTagValue':

Allow group ObjectReaders to read buckets in compartment ABC
Allow group ObjectReaders to read objects in compartment ABC where target.bucket.tag.MyTagNamespace.TagKey='MyTagValue'

Para obtener más información sobre el uso de condiciones, consulte Funciones de políticas avanzadas.

Permitir a los administradores de bases de datos gestionar sistemas de base de datos de Oracle Cloud
Tipo de acceso: capacidad de realizar todas las tareas con los siguientes tipos de sistema y sus recursos asociados en todos los compartimentos:
  • Servicio de base de datos de Exadata en instancias de infraestructura dedicada
  • sistemas de base de datos con hardware dedicado
  • sistemas de base de datos de máquina virtual

Esto tiene sentido si desea que un único juego de administradores de bases de datos gestione todos los sistemas con hardware dedicado, de máquina virtual y de Exadata en todos los compartimentos.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los sistemas de base de datos en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group DatabaseAdmins to manage database-family in tenancy
Permitir que los administradores de bases de datos gestionen Exadata Database Service en instancias de Cloud@Customer

Tipo de acceso: capacidad para realizar todas las tareas con los recursos del servicio de base de datos Exadata en Cloud@Customer en todos los compartimentos. Esto es pertinente si desea tener un único juego de administradores de bases de datos que gestione todos los sistemas de Exadata Database Service on Cloud@Customer en todos los compartimentos.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a Exadata Database Service on Cloud@Customer

Sistemas en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group ExaCCAdmins to manage database-family in tenancy
Permitir a los administradores de bases de datos gestionar recursos de MySQL Database

Tipo de acceso:

Capacidad de realizar todas las tareas con los recursos de MySQL Database y MySQL HeatWave en todos los compartimentos. La creación y la gestión de sistemas de base de datos MySQL Database también requiere un acceso limitado a las VCN, las subredes y los espacios de nombres de etiquetas en el arrendamiento.

Dónde crear la política: en el arrendamiento, otorgando acceso a todos los compartimentos mediante la herencia de políticas.
Allow group MySQLAdmins to {SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH, VCN_READ, COMPARTMENT_INSPECT} in tenancy
Allow group MySQLAdmins to manage mysql-family in tenancy
Allow group MySQLAdmins to use tag-namespaces in tenancy
Permitir a los administradores de bases de datos gestionar recursos de base de datos externa de Oracle Cloud
Tipo de acceso: capacidad de realizar todas las tareas con los siguientes recursos de base de datos externa de OCI en todos los compartimentos:
  • Recursos de la base de datos de contenedor externa de OCI
  • Recursos de la base de datos conectable externa de OCI
  • Recursos de la base de datos sin contenedor externa de OCI
  • Conectores de base de datos externa de OCI

Esto es pertinente si desea tener un único juego de administradores de base de datos que gestionen todos los recursos de base de datos externa de OCI en todos los compartimentos.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso solo a los recursos de base de datos externa de OCI de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group OnPremDatabaseAdmins to manage external-database-family in tenancy
Permitir a los administradores de bases de datos y de conjuntos gestionar Autonomous Databases

Tipo de acceso: capacidad para realizar todas las tareas con instancias de Autonomous Database en todos los compartimentos. Es aplicable si desea que un único juego de administradores de bases de datos gestione todas las bases de datos de Autonomous Database en todos los compartimentos.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda a todos los compartimentos mediante la herencia política. Para reducir el ámbito de acceso solo a las bases de datos de Autonomous Database de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Ejemplo 1: para administrador de conjuntos. Permite al administrador de conjuntos de Autonomous Database acceder a los tipos de carga de trabajo y gestionar los siguientes recursos de infraestructura de Exadata dedicada: bases de datos de contenedor autónomas y clusters de VM autónomos.

Allow group DatabaseAdmins to manage autonomous-database-family in tenancy
Consejo

El tipo de recurso agregado autonomous-database-family no cubre el tipo de recurso cloud-exadata-infrastructures necesario para aprovisionar Autonomous Database en una infraestructura de Exadata dedicada. Consulte Detalles de política del servicio de base de datos de Exadata en una infraestructura dedicada para obtener información sobre los permisos de la infraestructura de Exadata en la nube. Consulte Permitir a los administradores de bases de datos gestionar sistemas de base de datos de Oracle Cloud para obtener una política de ejemplo que cubra los recursos de la infraestructura de Exadata en la nube.

Si debe restringir el acceso a los tipos de recursos de cluster de VM autónomo y base de datos de contenedor autónoma (solo se aplica a la infraestructura de Exadata dedicada), puede hacerlo creando sentencias de política independientes para administradores de base de datos que solo pueden acceder a Autonomous Database y sus copias de seguridad. Debido a que una sentencia de política solo puede especificar un tipo de recurso, debe crear sentencias independientes para la base de datos y los recursos de copia de seguridad.

Ejemplo 2: para los administradores de bases de datos. Permite a los administradores de bases de datos de Autonomous Database acceder a las bases de datos y las copias de seguridad de los distintos tipos de carga de trabajo, pero deniega el acceso a las bases de datos de contenedor autónomas, los clusters de VM autónomos y los recursos de la infraestructura de Exadata en la nube.

Allow group ADB-Admins to manage autonomous-database in tenancy
Allow group ADB-Admins to manage autonomous-backup in tenancy

Para reducir el ámbito de acceso de las bases de datos y las copias de seguridad a un tipo de carga de trabajo específico, utilice una cláusula where.

Ejemplo 3: para los administradores de bases de datos. Limita el acceso de Autonomous Database a las bases de datos y las copias de seguridad para un tipo de carga de trabajo específico.

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'workload_type'
Allow group ADB-Admins to manage autonomous-backups in tenancy where target.workloadType = 'workload_type'

En los ejemplos de código anteriores, workload_type es una de las cadenas que se muestran en la siguiente tabla.

Cadenas de tipo de carga de trabajo de Autonomous Database
Tipo de carga de trabajo de base de datos Cadena workload_type para políticas
Autonomous Database para el procesamiento de transacciones y cargas de trabajo mixtas OLTP
Autonomous Database para análisis y almacenamiento de datos DW
Autonomous JSON Database AJD
Desarrollo de aplicaciones de Oracle APEX APEX
Permitir a los administradores de seguridad gestionar almacenes, claves y secretos

Tipo de acceso: capacidad para realizar todas las tareas con el servicio Vault en todos los compartimentos. Esto es pertinente si desea tener un único conjunto de administradores de seguridad que gestionen todos los almacenes, las claves y los componentes secretos (incluidos secretos, versiones de secretas y grupos de secretos) en todos los compartimentos.

Dónde crear la política: en el arrendamiento, de forma que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso solo a los almacenes, las claves y los componentes secretos de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento. Para reducir el ámbito de acceso solo a almacenes, claves o componentes secretos, incluya solo la sentencia de política que pertenece al tipo de recurso individual o agregado correspondiente, según corresponda.

Allow group SecurityAdmins to manage vaults in tenancy

Allow group SecurityAdmins to manage keys in tenancy

Allow group SecurityAdmins to manage secret-family in tenancy
Permitir a los administradores de seguridad gestionar todas las claves en un almacén específico de un compartimento

Tipo de acceso: capacidad para hacer todo tipo de tareas con claves en un almacén específico del compartimento ABC.

Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores del compartimento individual (ABC) tengan control sobre las sentencias de política individuales para su compartimento, consulte Asociación de políticas.

Allow group SecurityAdmins to manage keys in compartment ABC where target.vault.id='<vault_OCID>'
Permitir a los administradores de seguridad utilizar una clave específica en un compartimento

Tipo de acceso: capacidad para mostrar, ver y realizar operaciones criptográficas con una clave específica en un compartimento.

Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores del compartimento individual (ABC) tengan control sobre las sentencias de política individuales para su compartimento, consulte Asociación de políticas.

Allow group SecurityAdmins to use keys in compartment ABC where target.key.id='<key_OCID>'
Permitir a un grupo de usuarios delegar el uso de claves en un compartimento

Tipo de acceso: capacidad para asociar un cubo de Object Storage, un volumen de Block Volume, el sistema de archivos de File Storage, un cluster de Kubernetes o un pool de flujos de Streaming a una clave específica autorizada para su uso en un compartimento específico. Con esta política, un usuario del grupo especificado no tiene permiso para utilizar la clave en sí. En su lugar, por asociación, la clave la puede utilizar Object Storage, Block Volume, File Storage, Container Engine for Kubernetes o Streaming en nombre del usuario para:

  • Crear o actualizar un cubo, un volumen o un sistema de archivos cifrados y para cifrar o descifrar datos en el cubo, volumen o sistema de archivos.
  • Cree clusters de Kubernetes con secretos de Kubernetes cifrados en reposo en el almacén de clave-valor de etcd.
  • Cree una pool de flujos para cifrar los datos de los flujos en el pool de flujos.

Esta política requiere que también tenga una política complementaria que permita a Object Storage, Block Volume, File Storage, Container Engine for Kubernetes o Streaming utilizar la clave para realizar operaciones criptográficas.

Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores del compartimento individual (ABC) tengan control sobre las sentencias de política individuales para su compartimento, consulte Asociación de políticas.

Allow group ObjectWriters, VolumeWriters, FileWriters, ClusterWriters, StreamWriters to use key-delegate in compartment ABC where target.key.id = '<key_OCID>'
Permitir que los servicios Block Volume, Object Storage, File Storage, Container Engine y Streaming cifren y descifren volúmenes, copias de seguridad de volúmenes, cubos, sistemas de archivos, secretos de Kubernetes y pools de flujos

Tipo de acceso: capacidad para mostrar, ver y realizar operaciones criptográficas con todas las claves en el compartimento ABC. Puesto que Object Storage es un servicio regional, tiene puntos finales regionales. Como tal, debe especificar el nombre del servicio regional para cada región en la que esté utilizando Object Storage con cifrado de Vault. Esta política también requiere que tenga una política complementaria que permita a un grupo de usuarios utilizar la clave delegada que utilizará Object Storage, Block Volume, File Storage, Container Engine for Kubernetes o Streaming.

Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores del compartimento individual (ABC) tengan control sobre las sentencias de política individuales para su compartimento, consulte Asociación de políticas.

Allow service blockstorage, objectstorage-<region_name>, Fss<realm_key>Prod, oke, streaming to use keys in compartment ABC where target.key.id = '<key_OCID>'

Para Object Storage, sustituya <region_name> por el identificador de región adecuado, por ejemplo:

  • objectstorage- us-phoenix-1

  • objectstorage- us-ashburn-1

  • objectstorage- eu-frankfurt-1

  • objectstorage- uk-london-1

  • objectstorage-ap-tokyo-1

Para determinar el valor de nombre de una región de Oracle Cloud Infrastructure, consulte Regiones y dominios de disponibilidad.

El nombre del usuario del servicio de almacenamiento de archivos depende del dominio . El patrón del usuario del servicio Almacenamiento de archivos es FssOc<n>Prod, donde n es el número de dominio. Consulte Acerca de las regiones y los dominios de disponibilidad para obtener más información sobre los dominios.

Para Container Engine for Kubernetes, el nombre de servicio utilizado en la política es oke.

Para Streaming, el nombre de servicio utilizado en la política es streaming.

Permitir a los administradores de seguridad gestionar todos los secretos en un almacén específico de un compartimento

Tipo de acceso: capacidad para hacer todo tipo de tareas con secretos en un almacén específico del compartimento ABC.

Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores del compartimento individual (ABC) tengan control sobre las sentencias de política individuales para su compartimento, consulte Asociación de políticas.

Allow group SecurityAdmins to manage secret-family in compartment ABC where target.vault.id='<vault_OCID>'
Permita a los usuarios leer, actualizar y rotar todos los secretos

Tipo de acceso: capacidad para leer, actualizar y rotar todos los secretos en cualquier almacén del arrendamiento.

Dónde crear la política: en el arrendamiento, de forma que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso solo a los almacenes, las claves y los secretos de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group SecretsUsers to use secret-family in tenancy
Permitir a los usuarios gestionar sus propias contraseñas y credenciales

No se necesita ninguna política para permitir a los usuarios gestionar sus propias credenciales. Todos los usuarios tienen la capacidad de cambiar y restablecer sus propias contraseñas, gestionar sus propias claves de API y gestionar sus propios tokens de autenticación. Para obtener más información, consulte Credenciales de usuario.

Permitir a un administrador de compartimento gestionar el compartimento

Tipo de acceso: permite gestionar todos los aspectos de un compartimento concreto. Por ejemplo, un grupo denominado A-Admins podría gestionar todos los aspectos de un compartimento denominado Project-A, incluida la escritura de políticas adicionales que afectan al compartimento. Para obtener más información, consulte Anexo de políticas. Para ver un ejemplo de este tipo de políticas de configuración y políticas adicionales que resultan útiles, consulte Escenario de ejemplo.

Dónde crear la política: en el arrendamiento.

Allow group A-Admins to manage all-resources in compartment Project-A
Restringir el acceso de administrador a una región específica

Tipo de acceso: capacidad para gestionar recursos en una región específica. Recuerde que los recursos IAM deben gestionarse en la región principal. Si la región especificada no es la región principal, el administrador no podrá gestionar los recursos de IAM. Para obtener más información sobre la región principal, consulte Gestión de regiones.

Dónde crear la política: en el arrendamiento.

Allow group PHX-Admins to manage all-resources in tenancy where request.region='phx'

La política anterior permite a PHX-Admins gestionar todos los aspectos de todos los recursos de Oeste de EE. UU. (Phoenix).

Los miembros del grupo PHX- Admins solo pueden gestionar los recursos de IAM si la región principal del arrendamiento es Oeste de EE. UU. (Phoenix).

Restringir el acceso de usuario para ver solo anuncios resumidos

Tipo de acceso: capacidad para ver las versiones resumidas de anuncios sobre el estado operativo de los servicios de Oracle Cloud Infrastructure.

Dónde crear la política: en el arrendamiento.

Allow group AnnouncementListers to inspect announcements in tenancy

La política anterior permite a AnnouncementListers ver una lista de anuncios resumidos.

Permitir a los usuarios ver detalles de los anuncios

Tipo de acceso: capacidad para ver los detalles de los anuncios sobre el estado operativo de los servicios de Oracle Cloud Infrastructure.

Dónde crear la política: en el arrendamiento.

Allow group AnnouncementReaders to read announcements in tenancy

La política anterior permite a AnnouncementReaders ver una lista de anuncios resumidos y los detalles de anuncios específicos.

Permitir a los administradores de flujos gestionar recursos de flujo

Tipo de acceso: capacidad para realizar todas las tareas con el servicio Streaming en todos los compartimentos.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los flujos de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group StreamAdmins to manage stream-family in tenancy
Permitir a los usuarios de streaming publicar mensajes en los flujos

Tipo de acceso: capacidad para emitir mensajes en flujos con el servicio Streaming en todos los compartimentos.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los flujos de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group StreamUsers to use stream-push in tenancy
Permitir a los usuarios de streaming publicar mensajes en un flujo específico

Tipo de acceso: capacidad de emitir mensajes en un flujo con el servicio Streaming.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los flujos de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group StreamUsers to use stream-push in tenancy where target.stream.id = '<stream_OCID>'
Permitir a los usuarios de flujo publicar mensajes en un flujo de un pool de flujos específico

Tipo de acceso: capacidad de emitir mensajes en un flujo con el servicio Streaming.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los flujos de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group StreamUsers to use stream-push in tenancy where target.streampool.id = '<stream_OCID>'
Permitir a los usuarios de streaming consumir mensajes de flujos

Tipo de acceso: capacidad para consumir mensajes de flujos con el servicio Streaming en todos los compartimentos.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los flujos de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group StreamUsers to use stream-pull in tenancy
Permitir a los usuarios ver definiciones de métricas en un compartimento

Tipo de acceso: capacidad para ver definiciones de métricas  en un compartimento específico. Para obtener más información sobre métricas, consulte Visión general de la función Métricas.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a las definiciones de métrica en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group MetricReaders to inspect metrics in compartment ABC
Permitir a los usuarios acceder a las métricas de supervisión en un compartimento

Tipo de acceso: capacidad para ver y recuperar métricas  de supervisión para recursos soportados en un compartimento específico. Para obtener más información sobre métricas, consulte Visión general de la función Métricas.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a las métricas de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group MetricReaders to read metrics in compartment ABC
Restringir el acceso del usuario a un espacio de nombres de métrica específico

Tipo de acceso: capacidad para ver y recuperar métricas  de supervisión para recursos de un espacio de nombres de métrica  específico. Para obtener más información sobre métricas, consulte Visión general de la función Métricas.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso al espacio de nombres de métrica especificado a un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group MetricReaders to read metrics in compartment ABC where target.metrics.namespace='oci_computeagent'

La política anterior permite a MetricReaders ver y recuperar puntos de datos de métricas de todas las instanciasinformáticas activadas para supervisión del compartimento ABC.

Permitir a los usuarios publicar métricas personalizadas

Tipo de acceso: capacidad para publicar métricas  personalizadas en un espacio de nombres de métrica  específico para el servicio Monitoring. Para obtener instrucciones, consulte Publicación de métricas personalizadas.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a las métricas de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group MetricPublishers to use metrics in tenancy where target.metrics.namespace='mycustomnamespace'

La política anterior permite a MetricPublishers publicar puntos de datos para el espacio de nombres de métrica personalizado mycustomnamespace en el arrendamiento.

Permitir a las instancias realizar llamadas de API para acceder a métricas de supervisión en el arrendamiento

Tipo de acceso: capacidad de llamar a la API de Monitoring para acceder a métricas  de supervisión. Las instancias en las que se originan las solicitudes de API deben ser miembros del grupo dinámico indicado en la política. Para obtener más información, consulte Llamada a servicios desde una instancia y Visión general de la función Métricas.

Dónde crear la política: en el arrendamiento.

Allow dynamic-group MetricInstances to read metrics in tenancy

La política anterior permite a las aplicaciones que se ejecutan en instancias informáticas del grupo dinámico MetricInstances enviar solicitudes de API al servicio Monitoring en el arrendamiento.

Permitir a los usuarios ver alarmas

Tipo de acceso: capacidad para ver alarmas  de recursos soportados en el arrendamiento. No incluye la capacidad de crear alarmas ni de crear o suprimir temas. Para obtener más información sobre alarmas, consulte Visión general de la función Alarmas.

Dónde crear la política: en el arrendamiento. Debido al concepto de herencia de políticas, AlarmUsers podrá ver las alarmas de cualquier compartimento. Para reducir el ámbito de acceso a un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group AlarmUsers to read alarms in tenancy

Allow group AlarmUsers to read metrics in tenancy
Permitir a los usuarios gestionar alarmas

Tipo de acceso: capacidad para ver y crear alarmas  con temas de notificación existentes para recursos soportados en el arrendamiento. No incluye la capacidad de crear o suprimir temas. Para obtener más información sobre alarmas, consulte Visión general de la función Alarmas.

Todas las sentencias son necesarias para permitir a AlarmUsers crear alarmas.

Dónde crear la política: en el arrendamiento. Debido al concepto de herencia de políticas, AlarmUsers podrá ver y crear alarmas en cualquier compartimento. Para reducir el ámbito de acceso a un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group AlarmUsers to manage alarms in tenancy

Allow group AlarmUsers to read metrics in tenancy

Allow group AlarmUsers to use ons-topics in tenancy
Permitir a los usuarios gestionar alarmas y crear temas

Tipo de acceso: capacidad para ver y crear alarmas  (con temas nuevos o existentes) para recursos soportados en el arrendamiento. También incluye la capacidad de crear suscripciones  en el arrendamiento, publicar mensajes  (mensajes de notificación transmitidos) en todas las suscripciones del arrendamiento y mover alarmas a distintos compartimentos del arrendamiento. Para obtener más información sobre alarmas, consulte Visión general de la función Alarmas.

Dónde crear la política: en el arrendamiento. Debido al concepto de herencia de políticas, AlarmUsers podrá ver y crear alarmas en cualquier compartimento. Para reducir el ámbito de acceso a un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group AlarmUsers to manage alarms in tenancy

Allow group AlarmUsers to read metrics in tenancy

Allow group AlarmUsers to manage ons-topics in tenancy
Permitir a los usuarios acceder a los informes de uso

Tipo de acceso: capacidad para ver informes de uso del arrendamiento. Para obtener más información sobre los informes de uso, consulte Visión general de los informes de uso y costos.

Dónde crear la política: se trata de una política especial de varios arrendamientos y se debe crear en el arrendamiento. Para obtener más información, consulte Visión general de los informes de uso y costos.

define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
				endorse group Administrators to read objects in tenancy usage-report
Cómo permitir que los usuarios analicen los costos

Tipo de acceso: capacidad para ver costos del arrendamiento. Consulte Comprobación de los gastos y el uso.

Dónde crear la política: en el arrendamiento para que los usuarios de <Example_Group> puedan ver los costos de toda la cuenta.

Allow group <Example_Group> to read usage-reports in tenancy
Permitir a un grupo gestionar temas

Tipo de acceso: capacidad para obtener, crear, actualizar y suprimir temas  en el arrendamiento, así como para mover temas a diferentes compartimentos en el arrendamiento. También incluye la capacidad de crear suscripciones en el arrendamiento y publicar mensajes (mensajes de notificación transmitidos) en todas las suscripciones del arrendamiento.

Dónde crear la política: en el arrendamiento.

Allow group A-Admins to manage ons-topics in tenancy
Permitir a un grupo gestionar suscripciones a temas

Tipo de acceso: capacidad para mostrar, crear, actualizar y suprimir suscripciones  a temas en el arrendamiento. Capacidad para mover suscripciones a diferentes compartimentos en el arrendamiento.

Dónde crear la política: en el arrendamiento.

Allow group A-Admins to manage ons-subscriptions in tenancy
Permitir a un grupo publicar mensajes a temas

Tipo de acceso: capacidad para enviar mensajes  de notificación a todas las suscripciones  del arrendamiento, así como mostrar, crear, actualizar y suprimir suscripciones en el arrendamiento.

Dónde crear la política: en el arrendamiento.

Allow group A-Admins to use ons-topics in tenancy
Permite a los usuarios crear, desplegar y gestionar funciones y aplicaciones

Tipo de acceso: capacidad de crear, desplegar y gestionar aplicaciones y funciones de Functions. Estas sentencias de política proporcionan al grupo acceso a Cloud Shell, repositorios de Oracle Cloud Infrastructure Registry, logs, métricas, funciones, redes y rastreo.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los recursos de un compartimento concreto, puede especificar el compartimento en lugar del arrendamiento para la mayoría de las sentencias de política. Sin embargo, to read objectstorage-namespaces y to use repos siempre deben tener un ámbito en el arrendamiento.


Allow group functions-developers to use cloud-shell in tenancy
Allow group functions-developers to manage repos in tenancy
Allow group functions-developers to read objectstorage-namespaces in tenancy
Allow group functions-developers to manage logging-family in tenancy
Allow group functions-developers to read metrics in tenancy
Allow group functions-developers to manage functions-family in tenancy
Allow group functions-developers to use virtual-network-family in tenancy
Allow group functions-developers to use use apm-domains in tenancy
Allow group functions-developers to read vaults in tenancy
Allow group functions-developers to use keys in tenancy
Allow service faas to use apm-domains in tenancy
Allow service faas to read repos in tenancy where request.operation='ListContainerImageSignatures'
Allow service faas to {KEY_READ} in tenancy where request.operation='GetKeyVersion'
Allow service faas to {KEY_VERIFY} in tenancy where request.operation='Verify'
Permitir a los usuarios mostrar reglas de eventos en un compartimento

Tipo de acceso: capacidad para mostrar reglas de eventos.

Dónde crear la política: en el arrendamiento.

Allow group RuleReaders to read cloudevents-rules in tenancy

La política anterior permite a RuleReaders mostrar reglas en el arrendamiento.

Permitir a los administradores gestionar reglas de eventos en un compartimento

Tipo de acceso: capacidad de gestionar reglas de eventos, incluidas la creación, supresión y actualización de reglas.

Dónde crear la política: en el arrendamiento.

Esta línea permite al usuario inspeccionar el acceso a los recursos en compartimentos para seleccionar acciones.

allow group <RuleAdmins> to inspect compartments in tenancy

Esta línea proporciona al usuario acceso a etiquetas definidas para aplicar etiquetas de filtro a las reglas.

allow group <RuleAdmins> to use tag-namespaces in tenancy

Estas líneas proporcionan al usuario acceso a los recursos de streaming para acciones.

allow group <RuleAdmins> to inspect streams in tenancy
allow group <RuleAdmins> to use stream-push in tenancy
allow group <RuleAdmins> to use stream-pull in tenancy

Estas líneas proporcionan al usuario acceso a recursos de funciones para acciones.

allow group <RuleAdmins> to use virtual-network-family in tenancy
allow group <RuleAdmins> to manage function-family in tenancy

Esta línea proporciona al usuario acceso a temas de notificaciones para acciones.

allow group <RuleAdmins> to use ons-topic in tenancy

Esta línea proporciona al usuario acceso de administración a reglas para eventos.

allow group <RuleAdmins> to manage cloudevents-rules in tenancy
Permitir a un grupo acceder a todos los Cloud Guard

Tipo de acceso: acceso de solo lectura a todos los Cloud Guard. En la política de ejemplo, el grupo es "CloudGuard_ReadOnly".

allow group CloudGuard_ReadOnly to read cloud-guard-family in tenancy
allow group CloudGuard_ReadOnly to read compartments in tenancy
allow group CloudGuard_ReadOnly to read announcements in tenancy
Permitir a un grupo acceder a los problemas de Cloud Guard

Tipo de acceso: acceso de solo lectura a los problemas de Cloud Guard. En la política de ejemplo, el grupo es "CloudGuard_ReadOnlyProblems".

allow group CloudGuard_ReadOnlyProblems to read cloud-guard-family in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-detectors in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-targets in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-resource-types in tenancy
allow group CloudGuard_ReadOnlyProblems to read announcements in tenancy
allow group CloudGuard_ReadOnlyProblems to read compartments in tenancy
allow group CloudGuard_ReadOnlyProblems to read cloud-guard-config in tenancy
Permitir a un grupo acceder a recetas de detector de Cloud Guard

Tipo de acceso: acceso de solo lectura a recetas de detector de Cloud Guard. En la política de ejemplo, el grupo es "CloudGuard_ReadOnlyDetectors".

allow group CloudGuard_ReadOnlyDetectors to read cloud-guard-detector-recipes in tenancy
allow group CloudGuard_ReadOnlyDetectors to read announcements in tenancy
allow group CloudGuard_ReadOnlyDetectors to read compartments in tenancy
allow group CloudGuard_ReadOnlyDetectors to read cloud-guard-config in tenancy
Permitir a un grupo acceder a Cloud Guard en un solo compartimento

Tipo de acceso: acceso de solo lectura a Cloud Guard en un solo compartimento. En la política de ejemplo, el grupo es "CloudGuard_ReadOnly_SingleCompartment" y el nombre del compartimento es "cgDemo_RestrictedAccess".

allow group CloudGuard_ReadOnly_SingleCompartment to read compartments in tenancy where target.compartment.name = 'cgDemo_RestrictedAccess'
allow group CloudGuard_ReadOnly_SingleCompartment to read cloud-guard-family in compartment cgDemo_RestrictedAccess
allow group CloudGuard_ReadOnly_SingleCompartment to read announcements in compartment cgDemo_RestrictedAccess
allow group CloudGuard_ReadOnly_SingleCompartment to read cloud-guard-config in tenancy
Permitir a los administradores de seguridad gestionar todos los bastiones y sesiones

Tipo de acceso: capacidad de gestionar todos los recursos del servicio Bastion en todos los compartimentos. Esto es pertinente si desea que un único juego de administradores de seguridad gestione todos los bastiones y sesiones de todos los compartimentos.

Dónde crear la política: en el arrendamiento, de forma que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso solo a los bastiones y las sesiones de bastión de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group SecurityAdmins to manage bastion in tenancy
Allow group SecurityAdmins to manage bastion-session in tenancy
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy
Permitir a los administradores de seguridad gestionar sesiones de bastión

Tipo de acceso: capacidad de gestionar todas las sesiones de todos los bastiones y de todos los compartimentos, incluida la creación de sesiones, la conexión a estas y su terminación.

Dónde crear la política: en el arrendamiento, de forma que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso solo a las sesiones de bastión de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group SecurityAdmins to use bastion in tenancy
Allow group SecurityAdmins to manage bastion-session in tenancy
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy
Permitir a los administradores de seguridad gestionar sesiones de bastión para un host de destino específico de un compartimento

Tipo de acceso: capacidad de gestionar sesiones en un bastión de un compartimento específico y solo para sesiones que proporcionen conectividad a una instancia de Compute específica.

Dónde crear la política: en el arrendamiento, de forma que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas.

Allow group SecurityAdmins to use bastion in compartment ABC
Allow group SecurityAdmins to manage bastion-session in compartment ABC where ALL {target.resource.ocid='<instance_OCID>', target.bastion-session.username='<session_username>'}
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy
Permitir a los administradores de seguridad configurar el análisis de las instancias de todos los compartimentos

Tipo de acceso: capacidad de configurar Oracle Vulnerability Scanning Service con el fin de analizar todas las instancias de Compute de todos los compartimentos y ver los resultados del análisis. Considere esta política si desea que un único juego de administradores de seguridad configure el análisis de vulnerabilidades para todas las instancias.

Dónde crear la política: en el arrendamiento, lo cual otorga acceso a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso solo a las instancias de Compute de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group SecurityAdmins to manage vss-family in tenancy
Allow service vulnerability-scanning-service to manage instances in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy
Allow service vulnerability-scanning-service to read vnics in tenancy
Allow service vulnerability-scanning-service to read vnic-attachments in tenancy
Permitir a los usuarios vean los resultados del análisis de vulnerabilidades en todos los compartimentos

Tipo de acceso: capacidad de ver los resultados del análisis de instancias de Compute en todos los compartimentos para detectar vulnerabilidades de seguridad. Considere esta política si tiene un equipo dedicado responsable de revisar o auditar la seguridad de todo el arrendamiento.

Dónde crear la política: en el arrendamiento, lo cual otorga acceso a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los resultados del análisis en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group SecurityReviewers to read vss-family in tenancy
Permitir a un grupo gestionar conectores de servicio

Tipo de acceso: capacidad para mostrar, crear, actualizar y suprimir conectores de servicio  en el arrendamiento. Capacidad para mover conectores de servicio a diferentes compartimentos del arrendamiento.

Dónde crear la política: en el arrendamiento.

Allow group A-Admins to manage serviceconnectors in tenancy
Permitir a un grupo llamar a las operaciones de ingesta de Operations Insights en el arrendamiento

Tipo de acceso: capacidad de llamar a las operaciones de ingesta de Operations Insights solo en el nivel de arrendamiento.

Dónde crear la política: en el arrendamiento.

allow group opsi-users to use opsi-database-insights in tenancy 
where any 
{request.operation='IngestSqlBucket', 
request.operation='IngestSqlText',
request.operation='IngestSqlPlanLines'}
Permitir a los usuarios crear y suprimir espacios de trabajo sin redes (Data Integration)

Capacidad de crear, suprimir y modificar espacios de trabajo en un compartimento.

allow group <group-name> to manage dis-workspaces in <compartment-name>
allow group <group-name> to manage dis-work-requests in <compartment-name>
allow group <group-name> to manage tag-namespaces in <compartment-name>
Permitir a los usuarios crear y suprimir espacios de trabajo mediante la red (Data Integration)

Capacidad de crear, suprimir y modificar espacios de trabajo dentro de una red virtual.

allow service dataintegration to use virtual-network-family in <compartment-name>
allow group <group-name> to manage dis-workspaces in <compartment-name>
allow group <group-name> to manage dis-work-requests in <compartment-name>
allow group <group-name> to use virtual-network-family in <compartment-name>
allow group <group-name> to manage tag-namespaces in <compartment-name>
Permitir a los usuarios y al principal de recurso acceder a Object Storage y utilizarlo para un espacio de trabajo determinado (Data Integration)

Capacidad de crear y utilizar activos de datos de Object Storage en todos los espacios de trabajo.

allow any-user to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow any-user to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to use object-family in <compartment-name>

Para otorgar acceso a un espacio de trabajo individual, especifique el OCID del espacio de trabajo al que desea permitir el acceso. Por ejemplo:

allow any-user to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-user to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
Permitir a los usuarios y al principal de recurso acceder a las bases de datos autónomas y utilizarlas como destino para un espacio de trabajo determinado (Data Integration)

Capacidad de crear y utilizar activos de datos de base de datos autónoma en todos los espacios de trabajo.

allow any-user to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow any-user to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to use object-family in <compartment-name>
allow any-user to manage buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.permission='PAR_MANAGE'}

Para otorgar acceso a un espacio de trabajo individual, especifique el OCID del espacio de trabajo al que desea permitir el acceso. Por ejemplo:

allow any-user to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-user to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-user to manage buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>', request.permission='PAR_MANAGE'}
Permitir a los usuarios mover espacios de trabajo a un nuevo compartimento (Data Integration)

Capacidad de mover espacios de trabajo a un nuevo compartimento.

allow service dataintegration to inspect compartments in <compartment-name>
allow group <group-name> to manage dis-workspaces in <compartment-name>
Permitir que los usuarios publiquen tareas en el servicio OCI Data Flow (Data Integration)

Capacidad de publicar las diferentes tareas dentro de todos los espacios de trabajo en el servicio Data Flow de OCI.

allow any-user to manage dataflow-application in <compartment-name> where ALL {request.principal.type='disworkspace'}

Para otorgar acceso a un espacio de trabajo individual, especifique el OCID del espacio de trabajo al que desea permitir el acceso. Por ejemplo:

allow any-user to manage dataflow-application in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
Permitir a los usuarios acceder al servicio OCI Vault para un espacio de trabajo concreto (Data Integration)

Capacidad de utilizar secretos de OCI Vault en todos los espacios de trabajo.

allow any-user to read secret-bundles in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to read secret-bundles in <compartment-name>

Para otorgar acceso a un espacio de trabajo individual, especifique el OCID del espacio de trabajo al que desea permitir el acceso. Por ejemplo:

allow any-user to read secret-bundles in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
Permitir a los administradores gestionar suscripciones a anuncios

Tipo de acceso: capacidad de gestionar suscripciones que entregan anuncios sobre el estado operativo de los servicios de Oracle Cloud Infrastructure.

Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Debido al concepto de herencia de políticas, el grupo al que otorga acceso puede gestionar las suscripciones a anuncios en cualquier compartimento. Para reducir el ámbito de acceso a los anuncios para un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group AnnouncementAdmins to manage announcement-subscriptions in tenancy

La política anterior permite a AnnouncementAdmins ver una lista de anuncios de resumen y los detalles de anuncios específicos.