Trabajar con compartimentos
Obtenga información sobre cómo utilizar los compartimentos para organizar los recursos en la nube en OCI.
Cuando empiece a trabajar por primera vez con Oracle Cloud Infrastructure, tendrá que pensar seriamente cómo desea utilizar los compartimentos para organizar y aislar los recursos en la nube. Los compartimentos son fundamentales para ese proceso. La mayoría de los recursos se pueden mover entre compartimentos. Sin embargo, es importante planificar detenidamente el diseño del compartimento para su organización antes de implementar nada. Para obtener más información, consulte Aprender las mejores prácticas para configurar el arrendamiento.
La consola está diseñada para mostrar sus recursos por compartimento dentro de la región actual. Cuando trabaje con los recursos de la consola, debe seleccionar en una lista de la página el compartimento en el que desea trabajar. Esa lista está filtrada para mostrar solo los compartimentos del arrendamiento a los que tiene permiso de acceso. Si es administrador, tendrá permiso para ver todos los compartimentos y trabajar con los recursos de cualquier compartimento, pero si es un usuario con acceso limitado, probablemente no podrá efectuar estas operaciones.
Los compartimentos abarcan todo el arrendamiento atravesando regiones. Cuando crea un compartimento, está disponible en cada región a la que esté suscrito el arrendamiento. Puede obtener una vista entre regiones de los recursos de un compartimento específico con el explorador del arrendamiento. Consulte Visualización de todos los recursos de un compartimento.
Para mayor seguridad, puede asociar un compartimento a una zona de seguridad. Para obtener más información, consulte Zonas de seguridad.
Esta introducción trata sobre los siguientes temas.
Control de acceso para compartimentos
Después de crear un compartimento, debe escribir al menos una política para él; de lo contrario, nadie podrá acceder (excepto los administradores o los usuarios que tengan permisos definidos en el nivel de arrendamiento). Al crear un compartimento dentro de otro, el compartimento hereda los permisos de acceso de los compartimentos situados en niveles superiores de su jerarquía. Para obtener más información, consulte Herencia de políticas.
Al crear una política de acceso, debe especificar el compartimento al que desea asociarla. Esto controla quién puede modificar o suprimir la política más adelante. En función de cómo haya diseñado la jerarquía de compartimentos, puede asociarla al arrendamiento, a un principal o al propio compartimento específico. Para obtener más información, consulte Anexo de políticas.
Colocación de recursos en un compartimento
Para colocar un nuevo recurso en un compartimento, solo tiene que especificar ese compartimento al crear el recurso (el compartimento es uno de los elementos de información necesarios para crear un recurso). Si está trabajando en la consola, basta con asegurarse de que está viendo primero el compartimento donde desea crear el recurso. Tenga en cuenta que la mayoría de los recursos IAM residen en el arrendamiento (esto incluye usuarios, grupos, compartimentos y cualquier política asociada al arrendamiento) y no se pueden crear ni gestionarse en un compartimento específico.
Detección de recursos en compartimentos
Con Resource Manager, puede capturar los recursos desplegados como archivos de estado y configuración de Terraform mediante la detección de recursos. La pila creada le proporciona una configuración de Terraform que puede utilizar para gestionar, versionar y guardar la infraestructura de TI como "infraestructura como código" mediante programación.
Una pila creada a partir de un compartimento representa todos los recursos soportados en todo el compartimento, en el ámbito adecuado. Si selecciona el compartimento raíz para su arrendamiento, el ámbito es el nivel del arrendamiento, como los usuarios y los grupos. Si selecciona un compartimento no raíz, el ámbito es el nivel de compartimento, como las instancias informáticas.
La creación de pilas solo está soportada a partir de un solo compartimento. Las pilas no se pueden crear a partir de compartimentos anidados
Para obtener instrucciones, consulte la sección sobre la creación de una pila a partir de un compartimento existente.
Implicaciones para mover compartimentos
Puede mover un compartimento a otro compartimento principal dentro del mismo arrendamiento. Al mover un compartimento, todo su contenido (subcompartimentos y recursos) se mueve con él. Mover un compartimento tiene consecuencias para el contenido. Estas consecuencias se describen en las siguientes secciones. Asegúrese de que conoce estas consecuencias antes de mover un compartimento.
- Política de IAM solicitada
- Restricciones sobre el movimiento de compartimentos
- Descripción de las consecuencias sobre la política al mover un compartimento
- Ejemplos de políticas
- Los grupos con permisos en el compartimento actual pierden acceso; los grupos con permisos en el compartimento de destino ganan acceso
- Actualización automática de políticas
- Descripción de las consecuencias sobre la cuota de los compartimentos al mover un compartimento
- Descripción de las consecuencias sobre las etiquetas al mover un compartimento
Política de IAM necesaria
Para mover un compartimento, debe pertenecer a un grupo que tenga permisos manage all-resources en el compartimento principal compartido más bajo del compartimento actual y el compartimento de destino.
Restricciones sobre el movimiento de compartimentos
- No es posible mover un compartimento si el origen o el destino forma parte de una zona de seguridad. Debe utilizar la consola de Security Zones para gestionar compartimentos dentro de una zona de seguridad.
-
No puede mover un compartimento a un compartimento de destino con el mismo nombre que el compartimento que se desea mover.
Por ejemplo, suponga que el compartimento A y el compartimento B están ambos bajo el compartimento raíz. Bajo el compartimento A hay un subcompartimento, también denominado compartimento B. No puede mover el compartimento B al compartimento principal B.
Elemento Descripción 
Dos compartimentos en el mismo principal no pueden tener el mismo nombre. Por lo tanto, no puede mover un compartimento a un compartimento de destino donde ya existe un compartimento con el mismo nombre.
Descripción de las consecuencias sobre la política al mover un compartimento
Después de mover un compartimento a un nuevo compartimento principal, las políticas de acceso del nuevo principal entran en vigor y las políticas del principal anterior dejan de tener efecto. Antes de mover un compartimento, asegúrese de que:
- Conoce las políticas que gestionan el acceso al compartimento en su posición actual.
- Conoce las políticas del nuevo compartimento principal que entrarán en vigor al mover el compartimento.
En algunos casos, al mover compartimentos anidados con políticas que especifican la jerarquía, las políticas se actualizan automáticamente para garantizar la coherencia.
Ejemplos de políticas
Los grupos con permisos en el compartimento actual pierden acceso; los grupos con permisos en el compartimento de destino ganan acceso
En la figura siguiente se muestra una jerarquía de compartimentos en la que el compartimento C, un secundario de A:B, se mueve a la jerarquía A:D.
| Elemento | Descripción |
|---|---|
|
El arrendamiento tiene las siguientes políticas definidas para los compartimentos B y D: Política1: |
 |
Efecto al mover de B a D el compartimento C: Política2: |
-
El grupo G1 ya no puede gestionar los recursos instance-family en el compartimento C.
-
El grupo G2 ahora puede gestionar los recursos instance-family en el compartimento C.
Asegúrese de tener en cuenta no solo qué grupos perderán permisos cuando mueva un compartimento, sino también qué grupos ganarán permisos.
Actualización automática de políticas
Cuando mueva un compartimento, algunas políticas se actualizarán automáticamente. Las políticas que especifican la jerarquía de compartimentos hasta el nivel del compartimento que se está moviendo se actualizarán automáticamente cuando la política esté asociada a un ascendiente compartido del principal actual y de destino. Observe el siguiente ejemplo:
Ejemplo 1: Política actualizada automáticamente
| Elemento | Descripción |
|---|---|
|
Política: |
|
Política: |
 |
La política se actualiza automáticamente. El grupo G1 no pierde permisos. |
En este ejemplo, se mueve el compartimento A de Operations:Test a Operations:Dev. La política que gestiona el compartimento A está asociada al principal compartido, Operations. Cuando se mueve el compartimento, el servicio IAM actualiza automáticamente la sentencia de política para especificar la nueva ubicación del compartimento.
No se requiere ninguna intervención manual para permitir al grupo G1 seguir accediendo al compartimento A en su ubicación.
Ejemplo 2: Política no actualizada
| Elemento | Descripción |
|---|---|
|
Política: Allow group G1 to manage buckets in compartment A |
|
Política: Allow group G1 to manage buckets in compartment A |
|
La política no se actualiza. El grupo G1 pierde este permiso. Esta política no es válida y se debe eliminar manualmente. |
En este ejemplo, se mueve el compartimento A de Operations:Test a Operations:Dev. Sin embargo, la política que rige el compartimento A aquí está asociada directamente al compartimento Test. Cuando se mueve el compartimento, la política no se actualiza automáticamente. La política que especifica el compartimento A ya no es válida y se debe eliminar manualmente. El grupo G1 ya no tiene acceso al compartimento A en su nueva ubicación de Dev. A menos que otra política existente otorgue acceso al grupo G1, deberá crear una nueva política para permitir a G1 seguir gestionando cubos en el compartimento A.
Ejemplo 3:La política asociada al arrendamiento se actualiza
| Elemento | Descripción |
|---|---|
|
Política: Allow group G1 to manage buckets in compartment Operations:Test:A |
|
Política: Allow group G1 to manage buckets in compartment HR:Prod:A |
|
La política se actualiza automáticamente. El grupo G1 no pierde permisos. |
En este ejemplo, se mueve el compartimento A de Operations:Test a HR:Prod. La política que rige el compartimento A está asociada al arrendamiento, que es un ascendiente compartido por el compartimento principal original y el nuevo compartimento principal. Por lo tanto, cuando se mueve el compartimento, el servicio IAM actualiza automáticamente la sentencia de política para especificar la nueva ubicación del compartimento.
Descripción de las consecuencias sobre la cuota de los compartimentos al mover un compartimento
Cuando mueve un compartimento a otro, las cuotas de recursos en el compartimento de destino no se verifican y no se aplican. Por lo tanto, si mover el compartimento provoca una violación de cuota en el compartimento de destino, no se bloquea la migración. Una vez movido, el compartimento de destino estará en estado de cuota excedida. No podrá crear nuevos recursos que rebasen la cuota hasta que ajuste las cuotas del compartimento de destino o elimine recursos para cumplir con la cuota existente. Para obtener más información sobre la gestión de cuotas de compartimento, consulte Visión general de las cuotas de compartimento.
Descripción de las consecuencias sobre las etiquetas al mover un compartimento
Las etiquetas no se actualizan automáticamente después de mover un compartimento. Si ha implantado una estrategia de etiquetado basada en un compartimento, debe actualizar las etiquetas de los recursos después del movimiento. Por ejemplo, supongamos que CompartmentA tiene un compartimento secundario, CompartmentB. CompartmentA se configura con valores por defecto de etiquetas para que todos los recursos de CompartmentA se etiqueten con TagA. Por lo tanto, CompartmentB y todos sus recursos están etiquetados con la etiqueta por defecto, TagA. Al mover CompartmentB a CompartmentC, seguirá teniendo las etiquetas por defecto de CompartmentA. Si ha configurado etiquetas por defecto para CompartmentC, deberá agregarlas a los recursos del compartimento movido.
| Elemento | Descripción |
|---|---|
|
Todos los recursos de CompartmentB están etiquetados con las etiquetas por defecto definidas para su principal, CompartmentA. |
|
Cuando CompartmentB se mueve a CompartmentC, las etiquetas por defecto no se actualizan. CompartmentB sigue teniendo las etiquetas por defecto de CompartmentA aplicadas. |