Referencia de políticas
Obtenga una visión general de los temas de referencia de políticas de IAM, incluidos los verbos, los tipos de recursos y las variables generales.
Esta referencia incluye:
- Verbos: lista de las acciones disponibles para emparejar con un tipo de recurso
- Tipos de recursos: lista de los principales tipos de recursos
- Variables generales para todas las solicitudes: variables que puede utilizar al escribir políticas para cualquier tipo de recurso
- Límites de servicio: consulte los límites, las cuotas y el uso de su arrendamiento en la consola
- Detalles de Automatización de proceso
- Analytics Cloud: consulte Asignación de permisos para gestionar instancias de Analytics Cloud
- Detalles del servicio de anuncios
- Detalles de gateway de API
- Detalles de Application Performance Monitoring
- Artifact Registry: consulte la sección sobre políticas de Artifact Registry
- Detalles del servicio Audit
- Autonomous Linux: consulte Políticas de Linux autónomas
- Autonomous Recovery Service: consulte Políticas de Autonomous Recovery Service
- Bastion: consulte la sección sobre políticas de Bastion
- Big Data Service: consulte Introducción a los recursos y los permisos de Big Data Service en las políticas de IAM.
- Blockchain Platform: consulte Acerca de los permisos y las políticas para gestionar Oracle Blockchain Platform
- Detalles del servicio Certificates
- Cloud Advisor: consulte Creación de políticas de Cloud Advisor
- Cloud Guard: consulte Políticas de Cloud Guard
- Cluster Placement Groups: consulte Cluster Placement Groups Policies
- Detalles de Compute Cloud@Customer
- Container Instances: consulte Políticas de IAM de Container Instances
- Detalles de los servicios básicos (esto incluye Networking, Compute y Block Volume)
- Content Management: consulte la sección sobre políticas de servicio
- Console Dashboards: consulte Detalles de políticas de Console Dashboards
- Data Catalog: consulte Políticas de Data Catalog
- Data Flow: consulte Políticas de Data Flow
- Data Integration: consulte Políticas de Data Integration
- Data Safe: consulte la sección sobre la creación de políticas de IAM para usuarios de Oracle Data Safe
- Data Science: consulte Políticas de Data Science
- Detalles del servicio Database
- Detalles de la gestión de la base de datos
- Database Migration: consulte Políticas de Database Migration
- OCI Database con PostgreSQL: consulte OCI Database con políticas PostgreSQL
- DevOps: consulte Políticas de DevOps
- Digital Assistant: consulte Políticas de Digital Assistant
- Detalles del servicio DNS
- Detalles del servicio Email Delivery
- Detalles del servicio de eventos
- Detalles del servicio File Storage
- Fleet Application Management: consulte Políticas y permisos de Fleet Application Management
- Detalles de Functions
- Full Stack Disaster Recovery: consulte Políticas de Full Stack Disaster Recovery
- Globally Distributed Autonomous Database: consulte Políticas de Autonomous Database distribuidas globalmente
- GoldenGate: consulte Políticas de Oracle Cloud Infrastructure GoldenGate
- Detalles de Health Checks
- Detalles de IAM sin dominios de identidad
- Para Integration Generation 2 e Integration 3, consulte la sección sobre detalles de Oracle Integration.
- Detalles del servicio de gestión de Java
- Detalles de Kubernetes Engine
- Detalles de License Manager
- Detalles de Load Balancing
- Detalles del registro
- Detalles de Logging Analytics
- Detalles de Management Agent
- Detalles del panel de control de gestión
- Detalles del servicio Marketplace
- Media Services: consulte la sección sobre políticas de Media y la sección sobre políticas de Media
- Detalles de Monitoring
- HeatWave: consulte Políticas de IAM
- NoSQL Database Cloud: consulte Detalles de NoSQL Database Cloud
- Oracle Cloud Migrations: consulte Políticas de migración de Oracle Cloud
- Detalles de Notifications
- Referencia de políticas de firewall de red
- Detalles de Object Storage, Archive Storage y Data Transfer
- OCI Control Center: consulte Políticas del centro de control
- Detalles de Ops Insights
- OS Management: consulte Referencia de las políticas de OS Management
- OS Management Hub: consulte Políticas de OS Management Hub
- Detalles de Automatización de proceso
- Detalles de cola
- Detalles del servicio de cuotas
- Información de Container Registry
- Detalles de Resource Manager
- Detalles del servicio Search
- Detalles para escritorios seguros
- Security Zones: consulte Políticas de Cloud Guard
- Detalles de Connector Hub
- Service Mesh: consulte Políticas de IAM de Service Mesh
- Detalles de Stack Monitoring
- Detalles del servicio Streaming
- Detalles de suscripciones, facturas e historial de pago
- Threat Intelligence: consulte la sección sobre políticas de Threat Intelligence
- Detalles para el servicio Vault
- Visual Builder: consulte Variables de entrada
- Visual Builder Studio: consulte Detalles de política de IAM para VB Studio
- Detalles de Oracle Cloud VMware Solution
- Detalles de Gestión de organización
- Vulnerability Scanning: consulte Vulnerability Scanning
- Detalles del servicio WAF
- Detalles del servicio Web Application Acceleration
Para obtener instrucciones sobre cómo crear y gestionar políticas mediante la consola o la API, consulte Visión general del trabajo con políticas.
Verbos
Los verbos se incluyen en orden de menor a mayor grado de capacidad. El significado exacto de cada verbo depende del tipo de recurso con el que está emparejado. En las tablas posteriores de esta sección se muestran las operaciones de API cubiertas por cada combinación de verbo y tipo de recurso.
Verbo | Tipos de acceso cubiertos | Usuario de destino |
---|---|---|
inspect
|
Capacidad para mostrar recursos, sin acceso a información confidencial o metadatos especificados por el usuario que pueden formar parte de ese recurso. Importante: la operación para enumerar políticas incluye el contenido de las propias políticas, y las operaciones de lista de los tipos de recursos de Networking devuelven toda la información (por ejemplo, el contenido de las listas de seguridad y las tablas de rutas). | Auditores de terceros |
read
|
Incluye inspect y la capacidad de obtener metadatos especificados por el usuario y el propio recurso. |
Auditores internos |
use
|
Incluye read y la capacidad de trabajar con recursos existentes (las acciones varían según el tipo de recurso). Incluye la capacidad de actualizar el recurso, excepto los tipos de recursos en los que la operación "update" tiene el mismo efecto que la operación "create" (p. ej., UpdatePolicy , UpdateSecurityList , etc.), en cuyo caso la capacidad "update" solo está disponible con el verbo manage . En general, este verbo no incluye la capacidad de crear o suprimir ese tipo de recurso. |
Usuarios finales diarios de recursos |
manage
|
Incluye todos los permisos para el recurso. | Administradores |
Tipos de recursos
A continuación, se muestran algunos tipos de recursos familiares comunes. Para ver los tipos de recursos individuales que forman cada familia, siga los enlaces.
all-resources
: todos los tipos de recursos de Oracle Cloud Infrastructurecluster-family
Consulte Detalles de Kubernetes Enginecompute-management-family
: consulte Detalles de los servicios básicosdata-catalog-family
: consulte Políticas de Data Catalogdata-science-family
: consulte Políticas de Data Sciencedatabase-family
: consulte Detalles del servicio Databasedatasafe-family-resources
: consulte Recursos de OCI para Oracle Data Safedns
: consulte Detalles del servicio DNSemail-family
: consulte Detalles del servicio Email Deliveryfile-family
: consulte Detalles del servicio File Storageinstance-agent-command-family
: consulte Detalles de los servicios básicosinstance-agent-family
: consulte Detalles de los servicios básicosinstance-family
: consulte Detalles de los servicios básicosobject-family
: consulte Detalles de Object Storage, Archive Storage y Data Transferoptimizer-api-family
: consulte Creación de políticas de Cloud Advisorappmgmt-family
: consulte Detalles de Stack Monitoringstack-monitoring-family
: consulte Detalles de Stack Monitoring.virtual-network-family
: consulte Detalles de los servicios básicosvolume-family
: consulte Detalles de los servicios básicos
IAM no tiene tipos de recurso family, solo individuales. Consulte Detalles de IAM con dominios de identidad o Detalles de IAM sin dominios de identidad, en función de si su arrendamiento tiene dominios de identidad o no.
Variables generales para todas las solicitudes
Se utilizan variables al agregar condiciones a una política. Para obtener más información, consulte Condiciones. Estas son las variables generales aplicables a todas las solicitudes.
Nombre | Tipo | Descripción |
---|---|---|
request.user.id
|
Entidad (OCID) | OCID del usuario solicitante. |
request.user.name |
Cadena | Nombre del usuario solicitante. |
request.user.mfaTotpVerified
|
Booleana |
Verifica si el usuario ha sido verificado mediante autenticación multifactor (MFA). Para restringir el acceso solo a usuarios verificados mediante MFA, agregue la condición
Consulte Gestión de autenticación multifactor para obtener información sobre la configuración de MFA. |
request.groups.id
|
Lista de entidades (OCID) | Los OCID de los grupos en los que está el usuario solicitante. |
request.permission
|
Cadena | El permiso subyacente que se solicita (consulte Permisos). |
request.operation
|
Cadena | El nombre de la operación de API que se solicita (por ejemplo, ListUsers). |
request.networkSource.name
|
Cadena | Nombre del grupo de orígenes de red que especifica las direcciones IP permitidas desde las que puede proceder la solicitud. Consulte Gestión de orígenes de red para obtener más información. |
request.utc-timestamp |
Cadena | Hora UTC a la que se envía la solicitud, especificada en formato ISO 8601. Consulte Restricción del acceso a los recursos en función del marco temporal para obtener más información. |
request.utc-timestamp.month-of-year |
Cadena | Mes en el que se envía la solicitud especificado en formato numérico ISO 8601 (por ejemplo, '1', '2', '3', ... '12'). Consulte Restricción del acceso a los recursos en función del marco temporal para obtener más información. |
request.utc-timestamp.day-of-month |
Cadena | Día del mes en el que se envía la solicitud especificado en formato numérico: '1' - '31'. Consulte Restricción del acceso a los recursos en función del marco temporal para obtener más información. |
request.utc-timestamp.day-of-week |
Cadena | Día de la semana en el que se envía la solicitud especificado en inglés (por ejemplo, 'Monday', 'Tuesday', 'Wednesday', etc.) Consulte Restricción del acceso a los recursos en función del marco temporal para obtener más información. |
request.utc-timestamp.time-of-day |
Cadena | Intervalo de tiempo UTC durante el cual se envía la solicitud en formato ISO 8601 (por ejemplo, '01:00:00Z' Y '02:01:00Z'). Consulte Restricción del acceso a los recursos en función del marco temporal para obtener más información. |
request.region
|
Cadena |
La clave de 3 letras de la región en la que se realiza la solicitud. Los valores permitidos son: Nota: Para las políticas de cuota, se debe especificar el nombre de región en lugar de los siguientes valores de clave de 3 letras. Consulte también Cuotas de ejemplo para obtener más información.
|
request.ad
|
Cadena | El nombre del dominio de disponibilidad en el que se realiza la solicitud. Para obtener una lista de nombres de dominio de disponibilidad, utilice la operación ListAvailabilityDomains. |
request.principal.compartment.tag
|
Cadena | Se evalúan las etiquetas aplicadas al compartimento al que pertenece el recurso de solicitud para buscar una coincidencia. Para obtener instrucciones de uso, consulte Uso de etiquetas para gestionar el acceso. |
request.principal.group.tag
|
Cadena | Las etiquetas aplicadas a los grupos a los que pertenece el usuario se evalúan para buscar una coincidencia. Para obtener instrucciones de uso, consulte Uso de etiquetas para gestionar el acceso. |
target.compartment.name
|
Cadena | El nombre del compartimento especificado en target.compartment.id . |
target.compartment.id
|
Entidad (OCID) |
El OCID del compartimento que contiene el recurso principal. Nota: |
target.resource.compartment.tag
|
Cadena | Se evalúa la etiqueta aplicada al compartimento de destino de la solicitud. Para obtener instrucciones de uso, consulte Uso de etiquetas para gestionar el acceso. |
target.resource.tag
|
Cadena | Se evalúa la etiqueta aplicada al recurso de destino de la solicitud. Para obtener instrucciones de uso, consulte Uso de etiquetas para gestionar el acceso. |