Referencia de políticas

Esta referencia incluye:

Para obtener instrucciones sobre cómo crear y gestionar políticas mediante la consola o la API, consulte Gestión de políticas.

Verbos

Los verbos se incluyen en orden de menor a mayor grado de capacidad. El significado exacto de cada verbo depende del tipo de recurso con el que está emparejado. En las tablas posteriores de esta sección se muestran las operaciones de API cubiertas por cada combinación de verbo y tipo de recurso.

Verbo Tipos de acceso cubiertos Usuario de destino
inspect Capacidad para mostrar recursos, sin acceso a información confidencial o metadatos especificados por el usuario que pueden formar parte de ese recurso. Importante: la operación para enumerar políticas incluye el contenido de las propias políticas, y las operaciones de lista de los tipos de recursos de Networking devuelven toda la información (por ejemplo, el contenido de las listas de seguridad y las tablas de rutas). Auditores de terceros
read Incluye inspect y la capacidad de obtener metadatos especificados por el usuario y el propio recurso. Auditores internos
use Incluye read y la capacidad de trabajar con recursos existentes (las acciones varían según el tipo de recurso). Incluye la capacidad de actualizar el recurso, excepto los tipos de recursos en los que la operación "update" tiene el mismo efecto que la operación "create" (p. ej., UpdatePolicy, UpdateSecurityList, etc.), en cuyo caso la capacidad "update" solo está disponible con el verbo manage. En general, este verbo no incluye la capacidad de crear o suprimir ese tipo de recurso. Usuarios finales diarios de recursos
manage Incluye todos los permisos para el recurso. Administradores

Tipos de recursos

Los tipos de recurso family se muestran a continuación. Para ver los tipos de recursos individuales que forman cada familia, siga los enlaces.

IAM no tiene tipos de recurso family, solo individuales. Consulte Detalles de IAM sin dominios de identidad o Detalles de IAM sin dominios de identidad, en función de si el arrendamiento tiene dominios de identidad o no.

Variables generales para todas las solicitudes

Se utilizan variables al agregar condiciones a una política. Para obtener más información, consulte Condiciones. Estas son las variables generales aplicables a todas las solicitudes.

Nombre Tipo Descripción
request.user.id Entidad (OCID) OCID del usuario solicitante.
request.user.mfaTotpVerified Booleana

Verifica si el usuario ha sido verificado mediante autenticación multifactor (MFA). Para restringir el acceso solo a usuarios verificados mediante MFA, agregue la condición

where request.user.mfaTotpVerified='true'

Consulte Gestión de autenticación multifactor para obtener información sobre la configuración de MFA.

request.groups.id Lista de entidades (OCID) Los OCID de los grupos en los que está el usuario solicitante.
request.permission Cadena El permiso subyacente que se solicita (consulte Permisos).
request.operation Cadena El nombre de la operación de API que se solicita (por ejemplo, ListUsers).
request.networkSource.name Cadena Nombre del grupo de orígenes de red que especifica las direcciones IP permitidas desde las que puede proceder la solicitud. Consulte Gestión de orígenes de red para obtener más información.
request.utc-timestamp Cadena Hora UTC a la que se envía la solicitud, especificada en formato ISO 8601. Consulte Restricción del acceso a los recursos en función del marco temporal para obtener más información.
request.utc-timestamp.month-of-year Cadena Mes en el que se envía la solicitud especificado en formato numérico ISO 8601 (por ejemplo, '1', '2', '3', ... '12'). Consulte Restricción del acceso a los recursos en función del marco temporal para obtener más información.
request.utc-timestamp.day-of-month Cadena Día del mes en el que se envía la solicitud especificado en formato numérico: '1' - '31'. Consulte Restricción del acceso a los recursos en función del marco temporal para obtener más información.
request.utc-timestamp.day-of-week Cadena Día de la semana en el que se envía la solicitud especificado en inglés (por ejemplo, 'Monday', 'Tuesday', 'Wednesday', etc.) Consulte Restricción del acceso a los recursos en función del marco temporal para obtener más información.
request.utc-timestamp.time-of-day Cadena Intervalo de tiempo UTC durante el cual se envía la solicitud en formato ISO 8601 (por ejemplo, '01:00:00Z' Y '02:01:00Z'). Consulte Restricción del acceso a los recursos en función del marco temporal para obtener más información.
request.region Cadena

La clave de 3 letras de la región en la que se realiza la solicitud. Los valores permitidos son:

  • AMS: se usa para Noroeste de Países Bajos (Ámsterdam)
  • ARN: se utiliza para Suecia central (Estocolmo)
  • AUH: se utiliza para Emiratos Árabes Unidos central (Abu Dabi)
  • BOM - usar para Oeste de India (Mumbai)
  • CDG: se utiliza para Francia central (París)
  • CWL: se utiliza para Oeste de Reino Unido (Newport)
  • DXB: se utiliza para Emiratos Árabes Unidos oriental (Dubái)
  • FRA - usar para Centro de Alemania (Fráncfort)
  • GRU - uso para Este de Brasil (São Paulo)
  • HYD: se utiliza para Sur de India (Hyderabad)
  • IAD - usar para Este de EE. UU. (Ashburn)
  • ICN: - se usa para Centro de Corea del Sur (Seúl)
  • JED: se utiliza para Oeste de Arabia Saudí (Yidda)
  • JNB: se utiliza para Centro de Sudáfrica (Johannesburgo)
  • KIX: se usa para Centro de Japón (Osaka)
  • LHR - se usa para Sur de Reino Unido (Londres)
  • LIN: se utiliza para Italia noroccidental (Milán)
  • MAD: se utiliza para Centro de España (Madrid)
  • MEL: se usa para Sureste de Australia (Melbourne)
  • MRS: se utiliza para Sur de Francia (Marsella)
  • MTZ: se utiliza para Centro de Israel (Jerusalén)
  • NRT - se usa para Este de Japón(Tokio)
  • PHX - se usa para Oeste de EE. UU. (Phoenix)
  • QRO: se utiliza para Mexico Central (Queretaro)
  • SCL: se utiliza para Chile (Santiago)
  • SIN: se utiliza para Singapur (Singapur)
  • SJC: se utiliza para Oeste de EE. UU. (San José)
  • SYD - se usa para Este de Australia (Sídney)
  • VCP: se utiliza para Sureste de Brasil (Vinhedo)
  • YNY: se utiliza para Norte de Corea del Sur (Chuncheon)
  • YUL: se usa para Sureste de Canadá (Montreal)
  • YYZ - se usa para Sureste de Canadá (Toronto)
  • ZRH - se usa para Norte de Suiza (Zúrich)
request.ad Cadena El nombre del dominio de disponibilidad en el que se realiza la solicitud. Para obtener una lista de nombres de dominio de disponibilidad, utilice la operación ListAvailabilityDomains.
request.principal.compartment.tag Cadena Se evalúan las etiquetas aplicadas al compartimento al que pertenece el recurso de solicitud para buscar una coincidencia. Para obtener instrucciones de uso, consulte Uso de etiquetas para gestionar el acceso.
request.principal.group.tag Cadena Las etiquetas aplicadas a los grupos a los que pertenece el usuario se evalúan para buscar una coincidencia. Para obtener instrucciones de uso, consulte Uso de etiquetas para gestionar el acceso.
target.compartment.name Cadena El nombre del compartimento especificado en target.compartment.id.
target.compartment.id Entidad (OCID)

El OCID del compartimento que contiene el recurso principal.

Nota: target.compartment.id y target.compartment.name no se pueden utilizar con una operación de API "List" para filtrar la lista según el acceso del usuario solicitante al compartimento.

target.resource.compartment.tag Cadena  Se evalúa la etiqueta aplicada al compartimento de destino de la solicitud. Para obtener instrucciones de uso, consulte Uso de etiquetas para gestionar el acceso.
target.resource.tag Cadena  Se evalúa la etiqueta aplicada al recurso de destino de la solicitud. Para obtener instrucciones de uso, consulte Uso de etiquetas para gestionar el acceso.