Documentación de Oracle Cloud Infrastructure

Detalles del servicio Certificates

Conozca los detalles sobre los permisos del servicio Certificates para que pueda escribir políticas para controlar el acceso a sus recursos.

En este tema se tratan los detalles del servicio Certificates acerca de los tipos de recursos para los que puede otorgar permisos, las variables especiales que puede utilizar al agregar condiciones a una política, la jerarquía de permisos y operaciones de API que abarca cada verbo para cada tipo de recurso y los permisos para cada operación de API.

Tipos de recursos Individuales

Los tipos de recursos individuales le permiten escribir sentencias de política con ámbito en un tipo de recurso específico y no en otros.

leaf-certificates

leaf-certificate-versions

leaf-certificate-bundles

certificate-authorities

certificate-authority-versions

certificate-authority-bundles

certificate-authority-delegates

cabundles

certificate-associations

certificate-authority-associations

cabundle-associations

Tipos de recurso agregados

Los tipos de recursos agregados permiten escribir sentencias de política con un ámbito que se extiende más allá de un tipo de recurso individual a todos los tipos de recursos que abarca el tipo de recurso agregado.

leaf-certificate-family

certificate-authority-family

Una política que utiliza <verb> leaf-certificate-family equivale a escribir una política con una sentencia <verb> <individual resource-type> independiente para cada uno de los siguientes tipos de recursos de certificado individuales: leaf-certificates, leaf-certificate-versions, leaf-certificate-bundles, cabundles, certificate-associations y cabundle-associations.

Una política que utiliza <verb> certificate-authority-family equivale a escribir una política con una sentencia <verb> <individual resource-type> independiente para cada uno de los siguientes tipos de recursos de certificado y de autoridad de certificación (CA) individuales: certificate-authorities, certificate-authority-versions, certificate-authority-bundles, certificate-authority-delegates, leaf-certificates, leaf-certificate-versions, leaf-certificate-bundles, cabundles, certificate-associations, certificate-authority-associations y cabundle-associations.

Consulte en la tabla Detalles de combinaciones de verbo + tipo de recurso los detalles de las operaciones de API que abarca cada verbo para cada tipo de recurso individual incluido en leaf-certificate-family y certificate-authority-family.

Variables soportadas

Certificates soporta todas las variables generales, además de las que se muestran aquí. Para obtener más información sobre las variables generales soportadas por los servicios de Oracle Cloud Infrastructure, consulte Variables generales para todas las solicitudes.

Operaciones para este tipo de recurso... Puede utilizar estas variables... Tipo de variable Comentarios
certificate-authorities target.certificate-authority.id Entidad (OCID) Utilice esta variable para controlar el acceso a una autoridad de certificación (CA) según el OCID de la CA. (No puede utilizar esta variable al crear una CA, ya que la CA aún no existe para que tenga un OCID).
target.certificate-authority.name Cadena Utilice esta variable para limitar el acceso a un nombre de CA específico.
target.certificate-authority.subject Cadena Utilice esta variable para controlar el acceso a una CA según el asunto de la CA.
target.certificate-authority.type Cadena Utilice esta variable para limitar el acceso a las CA de un determinado tipo. Los tipos de CA son ROOT_CA y SUBORDINATE_CA.
target.issuer-certificate-authority.id Cadena Utilice esta variable para limitar el acceso a las CA según el OCID de la CA del emisor.
certificate-authority-versions target.certificate-authority.id Entidad (OCID) Utilice esta variable para controlar el acceso a una versión de CA según el OCID de su CA.
target.certificate-authority.name Cadena Utilice esta variable para controlar el acceso a una versión de CA según el nombre de la CA.
certificate-authority-bundles target.certificate-authority.id Entidad (OCID) Utilice esta variable para controlar el acceso al grupo de una CA según el OCID de la CA del grupo.
target.certificate-authority.name Cadena Utilice esta variable para controlar el acceso al grupo de una CA por el nombre de la CA del paquete.
certificate-authority-associations target.association.id Entidad (OCID) Utilice esta variable para controlar el acceso a una asociación de CA según el OCID de la asociación. (No puede utilizar esta variable al crear una asociación de CA, ya que la asociación aún no existe para que tenga un OCID).
target.association.name Cadena Utilice esta variable para controlar el acceso a una asociación de CA según el nombre de la asociación.
target.association.resourceid Entidad (OCID) Utilice esta variable para controlar el acceso a una asociación de CA según el OCID del recurso configurado en la asociación.
target.leaf-certificate.id Entidad (OCID) Utilice esta variable para controlar el acceso a una asociación de CA según el OCID del certificado configurado en la asociación.
target.leaf-certificate.name Cadena Utilice esta variable para controlar el acceso a una asociación de CA según el nombre del certificado configurado en la asociación.
certificate-authority-delegates target.certificate-authority.id Entidad (OCID) Utilice esta variable para controlar el acceso a un delegado de CA según el OCID de la CA.
target.certificate-authority.name Cadena Utilice esta variable para controlar el acceso a un delegado de CA según el nombre de la CA.
target.issuer-certificate-authority.id Cadena Utilice esta variable para controlar el acceso a un delegado de CA según el OCID de la CA del emisor.
target.resource.type Cadena Utilice esta variable para controlar el acceso a los delegados de CA según el tipo de recurso que es el delegado, tanto si el recurso es leaf-certificate, certificate-authority o cabundle.
leaf-certificates target.leaf-certificate.allow-wildcard Cadena Utilice esta variable para controlar el acceso a un certificado en función de si el nombre común del certificado o el nombre alternativo del asunto incluye un comodín.
target.leaf-certificate.alt-subject List Utilice esta variable para controlar el acceso a un certificado según el nombre alternativo del asunto del certificado.
target.leaf-certificate.alt-subject-size Cadena Utilice esta variable para controlar el acceso a un certificado según el número de nombres alternativos de asunto de certificado.
target.leaf-certificate.id Entidad (OCID) Utilice esta variable para controlar el acceso a un certificado según el OCID de certificado. (No puede utilizar esta variable al crear un certificado, ya que el certificado aún no existe para que tenga un OCID).
target.leaf-certificate.name Cadena Utilice esta variable para controlar el acceso a un certificado según el nombre de certificado.
target.issuer-certificate-authority.id Cadena Utilice esta variable para controlar el acceso a un certificado según el OCID de la CA del emisor.
target.leaf-certificate.profile-type Cadena Utilice esta variable para controlar el acceso a los certificados según el tipo de perfil de certificado. Los tipos de perfil de certificado son TLS_SERVER_OR_CLIENT, TLS_SERVER, TLS_CLIENT y TLS_CODE_SIGN.
target.leaf-certificate.subject Cadena Utilice esta variable para controlar el acceso a los certificados según el asunto del certificado.
target.leaf-certificate.type Cadena Utilice esta variable para controlar el acceso a los certificados según la manera en que se creó el certificado. Los tipos de configuración de certificado son MANAGED_EXTERNALLY_ISSUED_BY_INTERNAL_CA, ISSUED_BY_INTERNAL_CA o IMPORTED.
leaf-certificate-versions target.leaf-certificate.id Entidad (OCID) Utilice esta variable para controlar el acceso a las versiones del certificado según el OCID de certificado. Utilice esta variable para controlar si los volúmenes en bloque o los cubos se pueden crear sin una clave de cifrado maestra de Vault.
target.leaf-certificate.name Cadena Utilice esta variable para controlar el acceso a las versiones del certificado según el nombre de certificado.
leaf-certificate-bundles target.leaf-certificate.id Entidad (OCID) Utilice esta variable para controlar el acceso a los grupos de certificados según el OCID del certificado.
target.leaf-certificate.name Cadena Utilice esta variable para controlar el acceso a los grupos de certificados según el nombre del certificado.
target.leaf-certificate.bundle-type Cadena Use esta variable para controlar el acceso a un grupo de certificados según el tipo de grupo de certificados. Los tipos de paquetes de certificados son CERTIFICATE_CONTENT_PUBLIC_ONLY y CERTIFICATE_CONTENT_WITH_PRIVATE_KEY.
certificate-associations target.association.id Entidad (OCID) Utilice esta variable para controlar el acceso a las asociaciones de certificados según el OCID de la asociación. (No puede utilizar esta variable al crear una asociación de certificado, ya que la asociación aún no existe para que tenga un OCID).
target.association.name Cadena Utilice esta variable para controlar el acceso a los grupos de certificados según el nombre de la asociación de grupo de certificados.
target.association.resourceid Entidad (OCID) Utilice esta variable para controlar el acceso a los grupos de certificados según el OCID del recurso de destino en la asociación de grupo de certificados.
target.leaf-certificate.id Entidad (OCID) Utilice esta variable para controlar el acceso a las asociaciones de certificados según el OCID del certificado.
target.leaf-certificate.name Cadena Utilice esta variable para controlar el acceso a las asociaciones de certificados según el nombre del certificado.
cabundles target.cabundle.id Entidad (OCID) Utilice esta variable para controlar el acceso a los grupos de CA según el OCID del grupo de CA. (No puede utilizar esta variable al crear un grupo de CA, ya que el grupo de CA aún no existe para que tenga un OCID).
target.cabundle.name Cadena Utilice esta variable para controlar el acceso a los grupos de CA según el nombre del grupo de CA.
cabundle-associations target.association.id Entidad (OCID) Utilice esta variable para controlar el acceso a una asociación de grupo de CA según el OCID de la asociación de grupo.
target.association.name Cadena Utilice esta variable para controlar el acceso a una asociación de grupo de CA según el nombre de la asociación de grupo (no puede utilizar esta variable al crear una asociación de grupo de CA, ya que la asociación aún no existe para que tenga un OCID).
target.association.resourceid Entidad (OCID) Utilice esta variable para controlar el acceso a una asociación de grupo de CA según el OCID del recurso configurado en la asociación.
target.cabundle.id Entidad (OCID) Utilice esta variable para controlar el acceso a una asociación de grupo de CA según el OCID del grupo.
target.cabundle.name Cadena Utilice esta variable para controlar el acceso a una asociación de grupo de CA según el nombre del grupo.

Detalles de combinaciones de verbo + tipo de recurso

Descripción del acceso incremental que otorga por cada verbo para cada tipo de recurso para que pueda escribir políticas que otorguen solo el acceso necesario y nada más.

En las siguientes tablas, se muestran los permisos y las operaciones de API que abarca cada verbo. El nivel de acceso es acumulativo al recorrer la progresión inspect > read > use > manage. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda directamente por encima, mientras que "no extra" indica que no hay acceso incremental.

Por ejemplo, el verbo use para el tipo de recurso cabundles incluye los mismos permisos y operaciones de API que el verbo read, además del permiso CABUNDLE_UPDATE y la operación de API UpdateCaBundle. El verbo manage permite aún más permisos y operaciones de API en comparación con el verbo use.

leaf-certificates
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

CERTIFICATE_INSPECT

 ListCertificates

ninguna
read

INSPECT +

CERTIFICATE_READ

INSPECT +

GetCertificate

ninguna
use

READ +

CERTIFICATE_UPDATE

no extra

 

RevokeCertificateVersion (también necesita manage leaf-certificate-versions y use certificate-authority-delegates, así como el permiso para update buckets en el cubo asociado a la versión del certificado y los permisos de use certificate-authorities para la CA del emisor)

CancelCertificateVersionDeletion (también necesita el permiso para delete leaf-certificate-versions)

ScheduleCertificateVersionDeletion (también necesita el permiso para delete leaf-certificate-versions)

UpdateCertificate (también necesita los permisos de use certificate-authority-delegates, excepto los certificados importados, así como el permiso para update buckets en el cubo asociado a la versión del certificado, el permiso para use para la autoridad de certificación del emisor y el permiso para use keys)
manage

USE +

CERTIFICATE_CREATE

CERTIFICATE_DELETE

CERTIFICATE_MOVE

USE +

CancelCertificateDeletion

ScheduleCertificateDeletion

ChangeCertificateCompartment

CreateCertificate (también necesita los permisos de use certificate-authority-delegates, excepto cuando se importa un certificado, así como el permiso para update buckets en el cubo asociado a la versión del certificado, el permiso para use keys y los permisos de use certificate-authorities para la CA del emisor, excepto cuando se importa un certificado)
leaf-certificate-versions
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

CERTIFICATE_VERSION_INSPECT

 ListCertificateVersions

ninguna
read

INSPECT +

CERTIFICATE_VERSION_READ

INSPECT +

GetCertificateVersion

ninguna
use

READ +

no extra

ninguna

ninguna
manage

USE +

CERTIFICATE_VERSION_REVOKE

CERTIFICATE_VERSION_DELETE

ninguna

RevokeCertificateVersion (también necesita use leaf-certificates y use certificate-authority-delegates)

CancelCertificateVersionDeletion (también necesita use leaf-certificates)

ScheduleCertificateVersionDeletion (también necesita use leaf-certificates)
certificate-authorities
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

CERTIFICATE_AUTHORITY_INSPECT

 ListCertificateAuthorities

ninguna
read

INSPECT +

CERTIFICATE_AUTHORITY_READ

INSPECT +

GetCertificateAuthority

ninguna
use

READ +

CERTIFICATE_AUTHORITY_UPDATE

no extra

UpdateCertificateAuthority (también necesita use certificate-authority-delegates)
manage

USE +

CERTIFICATE_AUTHORITY_CREATE

CERTIFICATE_AUTHORITY_DELETE

CERTIFICATE_AUTHORITY_MOVE

USE +

CancelCertificateAuthorityDeletion

ScheduleCertificateAuthorityDeletion

ChangeCertificateAuthorityCompartment

CreateCertificateAuthority (también necesita use certificate-authority-delegates)
certificate-authority-versions
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

CERTIFICATE_AUTHORITY_VERSION_INSPECT

 ListCertificateAuthorityVersions

ninguna
read

INSPECT +

CERTIFICATE_AUTHORITY_VERSION_READ

INSPECT +

GetCertificateAuthorityVersion

ninguna
use

READ +

no extra

ninguna

ninguna
manage

USE +

CERTIFICATE_AUTHORITY_VERSION_DELETE

CERTIFICATE_AUTHORITY_VERSION_REVOKE

ninguna

CancelCertificateAuthorityVersionDeletion (también necesita use certificate-authorities)

ScheduleCertificateAuthorityVersionDeletion (también necesita use certificate-authorities)

RevokeCertificateAuthorityVersion (también necesita use certificate-authorities)
leaf-certificate-bundles
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

CERTIFICATE_BUNDLE_INSPECT

 ListCertificateBundleVersions

ninguna
read

INSPECT +

CERTIFICATE_BUNDLE_READ

INSPECT +

GetCertificateBundle

Nota: El permiso necesario para esta operación depende del parámetro de consulta certificateBundleType.

Si certificateBundleType está definido en CERTIFICATE_CONTENT_PUBLIC_ONLY, cualquier usuario con el permiso CERTIFICATE_BUNDLE_READ podrá realizar esta operación.

Si certificateBundleType está definido en CERTIFICATE_CONTENT_WITH_PRIVATE_KEY, necesita una sentencia de política para el grupo que incluya la variable target.leaf-certificate.bundle-type definida en CERTIFICATE_CONTENT_WITH_PRIVATE_KEY.

ninguna
use

READ +

no extra

ninguna

ninguna
manage

USE+

no extra

ninguna

CancelCertificateAuthorityVersionDeletion (también necesita use certificate-authorities)

ScheduleCertificateAuthorityVersionDeletion (también necesita use certificate-authorities)

RevokeCertificateAuthorityVersion (también necesita use certificate-authorities)
certificate-authority-bundles
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

CERTIFICATE_AUTHORITY_BUNDLE_INSPECT

 ListCertificateAuthorityBundleVersions

ninguna
read

INSPECT +

CERTIFICATE_AUTHORITY_BUNDLE_READ

INSPECT +

GetCertificateAuthorityBundle

ninguna
use

READ +

no extra

ninguna

 

ninguna
manage

USE +

no extra

ninguna

ninguna
cabundles
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

CABUNDLE_INSPECT

 ListCaBundles

ninguna
read

INSPECT +

CABUNDLE_READ

INSPECT +

GetCaBundle

ninguna
use

READ +

CABUNDLE_UPDATE

READ+

UpdateCaBundle

 

ninguna
manage

USE +

CABUNDLE_CREATE

CABUNDLE_DELETE

CABUNDLE_MOVE

USE +

CreateCaBundle

DeleteCaBundle

ChangeCaBundleCompartment

ninguna
Certificados-autoridad-delegados
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

ninguna

ninguna

ninguna
read

no extra

ninguna

ninguna
use

READ +

CERTIFICATE_AUTHORITY_APPLY

ninguna

 

UpdateCertificateAuthority (también necesita use certificate-authorities)
manage

USE +

no extra

ninguna

ninguna
certificate-associations
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

CERTIFICATE_ASSOCIATION_INSPECT

 ListAssociations

ninguna
read

INSPECT +

CERTIFICATE_ASSOCIATION_READ

INSPECT +

GetAssociation

ninguna
use

READ +

no extra

ninguna

ninguna
manage

USE +

CERTIFICATE_ASSOCIATION_CREATE

CERTIFICATE_ASSOCIATION_DELETE

USE +

CreateAssociation

DeleteAssociation

ninguna
certificate-authority-associations
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

CERTIFICATE_AUTHORITY_ASSOCIATION_INSPECT

 ListAssociations

ninguna
read

INSPECT +

CERTIFICATE_AUTHORITY_ASSOCIATION_READ

INSPECT +

GetAssociation

ninguna
use

READ +

no extra

ninguna

 

ninguna
manage

USE +

CERTIFICATE_AUTHORITY_ASSOCIATION_CREATE

CERTIFICATE_AUTHORITY_ASSOCIATION_DELETE

USE +

CreateAssociation

DeleteAssociation

ninguna
cabundle-associations
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

CABUNDLE_ASSOCIATION_INSPECT

 ListAssociations

ninguna
read

INSPECT +

CABUNDLE_ASSOCIATION_READ

INSPECT +

GetAssociation

ninguna
use

READ +

no extra

ninguna

ninguna
manage

USE +

CABUNDLE_ASSOCIATION_CREATE

CABUNDLE_ASSOCIATION_DELETE

USE +

CreateAssociation

DeleteAssociation

ninguna

Permisos requeridos para cada operación de API

En la siguiente tabla, se muestran las operaciones de API en un orden lógico, agrupadas por tipo de recurso.

Para obtener más información sobre los permisos, consulte Permisos.

Operación de API Permisos necesarios para utilizar la operación
ListCertificateAuthorities CERTIFICATE_AUTHORITY_INSPECT
GetCertificateAuthority CERTIFICATE_AUTHORITY_READ
CreateCertificateAuthority CERTIFICATE_AUTHORITY_CREATE y CERTIFICATE_AUTHORITY_APPLY
UpdateCertificateAuthority CERTIFICATE_AUTHORITY_UPDATE y CERTIFICATE_AUTHORITY_APPLY
ChangeCertificateAuthorityCompartment CERTIFICATE_AUTHORITY_MOVE
ScheduleCertificateAuthorityDeletion CERTIFICATE_AUTHORITY_DELETE
CancelCertificateAuthorityDeletion CERTIFICATE_AUTHORITY_DELETE
ListCertificateAuthorityVersions CERTIFICATE_AUTHORITY_VERSION_INSPECT
GetCertificateAuthorityVersion CERTIFICATE_AUTHORITY_VERSION_READ
RevokeCertificateAuthorityVersion CERTIFICATE_AUTHORITY_VERSION_REVOKE, CERTIFICATE_AUTHORITY_UPDATE y CERTIFICATE_AUTHORITY_APPLY
ScheduleCertificateAuthorityVersionDeletion CERTIFICATE_AUTHORITY_VERSION_DELETE y CERTIFICATE_AUTHORITY_UPDATE
CancelCertificateAuthorityVersionDeletion CERTIFICATE_AUTHORITY_VERSION_DELETE y CERTIFICATE_AUTHORITY_UPDATE
ListCertificateAuthorityBundleVersions CERTIFICATE_AUTHORITY_BUNDLE_INSPECT
GetCertificateAuthorityBundle CERTIFICATE_AUTHORITY_BUNDLE_READ
ListCertificates CERTIFICATE_INSPECT
GetCertificate CERTIFICATE_READ
CreateCertificate CERTIFICATE_CREATE y CERTIFICATE_AUTHORITY_APPLY
UpdateCertificate CERTIFICATE_UPDATE y CERTIFICATE_AUTHORITY_APPLY
ChangeCertificateCompartment CERTIFICATE_MOVE
ScheduleCertificateDeletion CERTIFICATE_DELETE
CancelCertificateDeletion CERTIFICATE_DELETE
ListCertificateVersions CERTIFICATE_VERSION_INSPECT
GetCertificateVersion CERTIFICATE_VERSION_READ
RevokeCertificateVersion CERTIFICATE_VERSION_REVOKE, CERTIFICATE_UPDATE y CERTIFICATE_AUTHORITY_APPLY
ScheduleCertificateVersionDeletion CERTIFICATE_VERSION_DELETE y CERTIFICATE_UPDATE
CancelCertificateVersionDeletion CERTIFICATE_VERSION_DELETE y CERTIFICATE_UPDATE
ListCertificateBundleVersions CERTIFICATE_BUNDLE_INSPECT
GetCertificateBundle CERTIFICATE_BUNDLE_READ

Para obtener detalles, consulte leaf-certificate-bundles.
ListCaBundles CABUNDLE_INSPECT
GetCaBundle CABUNDLE_READ
CreateCaBundle CABUNDLE_CREATE
UpdateCaBundle CABUNDLE_UPDATE
ChangeCaBundleCompartment CABUNDLE_MOVE
DeleteCaBundle CABUNDLE_DELETE
ListAssociations CERTIFICATE_AUTHORITY_ASSOCIATION_INSPECT (para certificate-authorities), CERTIFICATE_ASSOCIATION_INSPECT (para leaf-certificates) o CABUNDLE_ASSOCIATION_INSPECT (para cabundles)
GetAssociation CERTIFICATE_AUTHORITY_ASSOCIATION_READ (para certificate-authorities), CERTIFICATE_ASSOCIATION_READ (para leaf-certificates) o CABUNDLE_ASSOCIATION_READ (para cabundles)
DeleteAssociation CERTIFICATE_AUTHORITY_ASSOCIATION_DELETE (para certificate-authorities), CERTIFICATE_ASSOCIATION_DELETE (para leaf-certificates) o CABUNDLE_ASSOCIATION_DELETE (para cabundles)