Grupos
Descubra los cambios de los grupos dinámicos y las reglas de coincidencia, así como los grupos por defecto de los dominios de identidad.
Grupos dinámicos
Los grupos dinámicos de IAM que existían antes de los dominios de identidad permanecen disponibles en el dominio de identidad por defecto. Consulte Gestión de grupos dinámicos.
Reglas de coincidencia para grupos dinámicos
ANY o ALL prefijos antes de condiciones
Si utiliza grupos dinámicos, le recomendamos que revise todas las reglas de paridad que definen los miembros de estos grupos dinámicos. La validación de las reglas de coincidencia ha cambiado. Si una regla de coincidencia evaluaba varias condiciones, pero no incluía un prefijo de ANY o ALL antes de cada condición, IAM procesaba automáticamente la sintaxis como si se implicara un prefijo.
Reescribir reglas de coincidencia para que incluyan el prefijo necesario.
Por ejemplo, anteriormente podría escribir la siguiente regla de coincidencia:
instance.id = 'x', compartment.id = 'y'
Ahora, debe escribir la regla de coincidencia de la siguiente forma:
ANY {instance.id = 'x', compartment.id = 'y'}La sintaxis anterior incluye un recurso si:
- el OCID de instancia era
x. - el OCID del compartimento era
y.
Sentencias Secuenciales en Reglas de Paridad
Las sentencias secuenciales en una regla de coincidencia, como ALL {instance.id = 'x', compartment.id = 'y', ALL {instance.id = 'x', compartment.id = 'y'}, ahora se deben volver a escribir como:
ANY {instance.id = 'x', compartment.id = 'y'}Consulte Escritura de reglas de coincidencia para definir grupos dinámicos.
Nombres de grupo por defecto
Los nombres por defecto para los grupos de usuarios y los grupos de administradores varían en función de si se crean en IAM o se convierten desde Identity Cloud Service.
Nuevo arrendamiento de OCI
Cuando se crea un nuevo arrendamiento de OCI, se crea un dominio por defecto de IAM con los siguientes grupos:
-
Administrators:- Este grupo no se puede suprimir.
- Este grupo otorga acceso administrativo completo a todo el arrendamiento y a cualquier arrendamiento secundario, junto con cualquier dominio de identidad de IAM secundario.
-
All-Domain-Users:- Este grupo no se puede suprimir.
- Todos los usuarios son miembros del dominio de identidad de IAM correspondiente en el que se encuentra el grupo.
-
Domain_Administrators:- Este grupo no se puede suprimir.
- Cuando se agrega un usuario a este grupo, se agrega automáticamente al rol de administrador de dominio de identidad.
- Al agregar un usuario al rol de administrador de dominio de identidad, no se agrega nadie al grupo
Domain_Administrators.
-
All-Domain-Users:- Este grupo no se puede suprimir.
- Todos los usuarios son miembros del dominio de identidad de IAM correspondiente en el que se encuentra el grupo.
Instancia de Identity Cloud Service convertida a IAM con dominios de identidad
Cuando una instancia de Identity Cloud Service se convierte en IAM con dominios de identidad, los grupos del dominio por defecto son los siguientes (cuando se crean dominios secundarios, los grupos son los que se muestran en la sección anterior):
-
IDCS_Administrators:- Este grupo no se puede suprimir.
- Este grupo otorga acceso administrativo solo al dominio por defecto.
-
All-Tenant-Users:- Este grupo no se puede suprimir.
- Todos los usuarios son miembros del dominio de identidad por defecto.
Relación entre grupos y roles
En esta tabla se muestran los nombres de los grupos de usuarios y administradores para los tres escenarios diferentes.
| Escenario | Nombre del Grupo de Usuarios | Nombre del Grupo de Administrador |
|---|---|---|
| Creación de un arrendamiento que utiliza IAM. El dominio predeterminado utiliza estos nombres. |
All-Domain-Users
|
Administrators
|
| Creación de un dominio de identidad secundario en el mismo arrendamiento. |
All-Domain-Users
|
Domain_Administrators
|
| Cuando se ha convertido una instancia de Identity Cloud Service a IAM. |
All-Tenant-Users
|
IDCS_Administrators
|
En este diagrama se muestra la relación entre los nombres y roles de administrador y grupo de usuarios.
