Denegar problemas conocidos de políticas
Problemas conocidos para trabajar con políticas de denegación de IAM.
Retraso de propagación inicial para políticas de denegación basadas en etiquetas
Al activar las políticas de denegación de IAM en un arrendamiento por primera vez, las políticas de denegación basadas en etiquetas de usuarios, grupos y grupos dinámicos pueden tardar hasta 24 horas en entrar en vigor.
Las políticas de denegación de IAM no sustituyen los roles de administración del dominio de identidad
Las políticas de denegación de IAM no sustituyen los roles de administración de dominios de identidad (por ejemplo, administrador de dominio de identidad, administrador de seguridad o gestor de usuarios).
Las políticas de denegación basadas en etiquetas de recursos de destino no bloquean las supresiones iniciadas por la consola
Las políticas de denegación de IAM que utilizan etiquetas de destino no impiden la supresión de usuarios, grupos o grupos dinámicos cuando estas acciones se inician desde la consola.
Ejemplo:
deny group low-privilege-peter to manage dynamic-groups in tenancy where target.resource.tag.{tagNamespace}.{tagKeyDefinition}='<value>'No se admiten las condiciones de denegación mediante identificadores de grupo dinámico
Las políticas de denegación de IAM no aplican políticas que utilicen target.dynamicgroup.id o target.dynamicgroup.name en la consola, el SDK o la API.
Puede gestionar el acceso mediante etiquetas de dos formas:
- Mediante el uso de las etiquetas aplicadas al recurso solicitante (el recurso que solicita el acceso).
- Mediante el uso de las etiquetas aplicadas al recurso de destino (etiquetas del recurso para el que se restringe el acceso).
Consulte Uso de etiquetas para gestionar el acceso
deny group low-privilege-peter to manage dynamic-groups in tenancy where target.dynamicgroup.id = '<dynamicGroupOCID>'deny group low-privilege-peter to manage dynamic-groups in tenancy where target.dynamicgroup.name = '<dynamicGroupName>'