Gestión de grupos

En este tema, se describen los aspectos básicos del trabajo con grupos.

Importante

Si su arrendamiento está federado con Oracle Identity Cloud Service, consulte Gestión de usuarios y grupos de Oracle Identity Cloud Service en la consola de Oracle Cloud Infrastructure para gestionar grupos.

Política de IAM necesaria

Si está en el grupo Administradores, tiene el acceso necesario para gestionar grupos.

Si no está familiarizado con las políticas, consulte Introducción a las políticas y Políticas comunes. Si desea obtener más información sobre la escritura de políticas para grupos u otros componentes de IAM, consulte Detalles de IAM sin dominios de identidad.

Etiquetado de recursos

Puede aplicar etiquetas a los recursos para facilitar su organización según las necesidades de su negocio. Aplique las etiquetas al crear un recurso o actualice el recurso más tarde con las etiquetas que desee. Para obtener información general sobre la aplicación de etiquetas, consulte Etiquetas de recursos.

Trabajar con grupos

Al crear un grupo, debe proporcionar un nombre único no modificable para el grupo. El nombre debe ser único en todos los grupos de su arrendamiento. También debe dotar al grupo de una descripción (aunque puede ser una cadena vacía), que es una descripción no única y modificable. Oracle también asignará al grupo un ID único denominado Oracle Cloud ID (OCID). Para obtener más información, consulte Identificadores de recursos.

Nota

Si suprime un grupo y, a continuación, crea otro con el mismo nombre, se considerarán grupos diferentes porque tendrán diferentes OCID.

Un grupo no tiene permisos hasta que se escribe al menos una política que proporcione a ese grupo permiso para el arrendamiento o para un compartimento. Al escribir la política, puede especificar el grupo mediante el nombre único o el OCID del grupo. De acuerdo con la nota anterior, incluso si especifica el nombre de grupo en la política, IAM utiliza internamente el OCID para determinar el grupo. Para obtener más información sobre la escritura de políticas, consulte Gestión de políticas.

Puede suprimir un grupo, pero solo si está vacío.

Para obtener más información sobre el número de grupos que puede tener, consulte la sección Límites de servicio.

Si está federando con un proveedor de identidad, creará asignaciones entre los grupos del proveedor de identidad y los grupos de IAM. Para obtener más información, consulte Federación con proveedores de identidad.

Uso de la consola

Para crear un grupo

Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Dominios. Se mostrará una lista de los grupos de su arrendamiento.
Haga clic en Crear grupo.
Introduzca lo siguiente:
- Nombre: nombre único para el grupo. El nombre debe ser único en todos los grupos de su arrendamiento. No se puede cambiar más adelante. El nombre debe tener entre 1 y 100 caracteres y puede incluir los siguientes caracteres: letras en minúscula a-z, letras en mayúscula A-Z, 0-9, y punto (.), guion (-) y guion bajo (_). No se permiten espacios. Evite introducir información confidencial.
- Descripción: una descripción fácil de recordar. Puede cambiar esto más tarde si lo desea.
- Etiquetas: si tiene permisos para crear un recurso, también los tiene para aplicar etiquetas de formato libre a ese recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si aplicar etiquetas, omita esta opción o pregunte a un administrador. Puede aplicar etiquetas más tarde.
Haga clic en Crear grupo.

A continuación, puede que desee agregar usuarios al grupo o escribir una política para el grupo. Consulte Para crear una política.

Para agregar un usuario a un grupo

Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Dominios. Se mostrará una lista de los grupos de su arrendamiento.
Localice el grupo en la lista.
Haga clic en el grupo. Se muestran sus detalles
Haga clic en Agregar usuario a grupo.
Seleccione el usuario en la lista desplegable y, a continuación, haga clic en Agregar usuario.

Para eliminar un usuario de un grupo

Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Dominios. Se mostrará una lista de los grupos de su arrendamiento.
Localice el grupo en la lista.
Haga clic en el grupo para mostrar los detalles. Se mostrará una lista de usuarios del grupo.
Localice al usuario en la lista.
Para el usuario que desea eliminar, haga clic en Eliminar.
Confirme cuando se le solicite.

Para suprimir un grupo

Requisito: para suprimir un grupo, no debe tener ningún usuario en él.

Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Dominios. Se mostrará una lista de los grupos de su arrendamiento.
Localice el grupo en la lista.
Para el grupo que desea suprimir, haga clic en Suprimir.
Confirme cuando se le solicite.

Para actualizar la descripción de un grupo

Esto solo está disponible a través de la API. Si no tiene acceso a la API y necesita actualizar la descripción de un grupo, póngase en contacto con Oracle Support.

Para aplicar etiquetas a un grupo

Para obtener instrucciones, consulte Etiquetas de recursos.

Uso de la API

Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte la documentación de la API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.

Nota

Las actualizaciones no son inmediatas en todas las regiones

Sus recursos de IAM residen en su región principal. Para aplicar la política en todas las regiones, el servicio IAM replica sus recursos en cada región. Cuando se crea o se cambia una política, un usuario o un grupo, los cambios se aplican en primer lugar en la región principal y después se propagan a las demás regiones. Pueden pasar varios minutos antes de que los cambios surtan efecto en todas las regiones. Por ejemplo, suponga que tiene un grupo con permisos para iniciar instancias en el arrendamiento. Si agrega a UserA a este grupo, UserA podrá iniciar instancias en su región principal en el transcurso de un minuto. Sin embargo, UserA no podrá iniciar instancias en otras regiones hasta que el proceso de replicación haya terminado. Este proceso puede tardar varios minutos. Si UserA intenta iniciar una instancia antes de que se complete la replicación, recibirá un error de falta de autorización.

Utilice estas operaciones de API para gestionar grupos:

CreateGroup
ListGroups
GetGroup
UpdateGroup: solo puede actualizar la descripción del grupo.
DeleteGroup
ListUserGroupMemberships: utilice esta opción para obtener una lista de los usuarios de un grupo o los grupos en los que está un usuario.
AddUserToGroup: esta operación da como resultado un objeto UserGroupMembership con su propio OCID.
GetUserGroupMembership
RemoveUserFromGroup: esta operación suprime un objeto UserGroupMembership.

Para conocer las operaciones de API relacionadas con asignaciones de grupos para proveedores de identidad, consulte Federación con proveedores de identidad.