Llamada a servicios desde instancias
En este tema, se describe cómo autorizar a las instancias de Compute para que llamen a los servicios de Oracle Cloud Infrastructure.
Introducción
En este procedimiento se describe cómo autorizar a una instancia de Compute para que realice llamadas de API en servicios de Oracle Cloud Infrastructure. Después de configurar los recursos y las políticas necesarios, una aplicación que se ejecuta en una instancia puede llamar a los servicios públicos de Oracle Cloud Infrastructure, eliminando la necesidad de configurar las credenciales de usuario o un archivo de configuración.
Conceptos
- GRUPO DINÁMICO
- Los grupos dinámicos permiten agrupar instancias de Oracle Cloud Infrastructure Compute como actores principales, similares a los grupos de usuarios. A continuación, puede crear políticas para permitir a las instancias de estos grupos realizar llamadas de API a los servicios de Oracle Cloud Infrastructure. La afiliación al grupo se determina mediante un juego de criterios definido, denominado reglas de coincidencia.
- REGLA DE COINCIDENCIA
- Cuando configura un grupo dinámico, también define las reglas de afiliación al grupo. Los recursos que coinciden con los criterios de las reglas son miembros del grupo dinámico. Las reglas de coincidencia tienen una sintaxis específica que debe seguir. Consulte Escritura de reglas de coincidencia para definir grupos dinámicos.
- PRINCIPALES DE INSTANCIA
- Función del servicio IAM que permite que las instancias de Compute sean actores (o principales) autorizados para realizar acciones en recursos del servicio. Cada instancia de Compute tiene su propia identidad y se autentica con los certificados que se le agregan. Estos certificados se crean, se asignan a instancias y se rotan automáticamente, de modo que usted no necesita distribuir credenciales a sus hosts y rotarlos.
Consideraciones acerca de la seguridad
Cualquier usuario con acceso a la instancia de Compute (es decir, que pueda acceder mediante SSH a la instancia), hereda automáticamente los privilegios otorgados a la instancia. Antes de otorgar permisos a una instancia mediante el proceso descrito en este tema, asegúrese de que sabe quién puede acceder a ella (ya sea porque tiene la clave SSH o porque lo haya agregado como usuario a la instancia) y de que esté autorizado con los permisos que va a otorgar a la instancia.
A todos los principales de instancia de Compute se les otorga el permiso compartment_inspect. No puede revocar este permiso. Este permiso permite a la instancia mostrar los compartimentos (ListCompartments) en el arrendamiento para recuperar la siguiente información:
- Nombres de compartimento
- Descripciones de compartimento
- Etiquetas de formato libre aplicadas a compartimentos
- Valores por defecto de etiqueta automática aplicados a compartimentos. Estas etiquetas, como CreatedBy y CreatedOn, están en el espacio de nombre Oracle-Tag y Oracle las agrega de forma automática.