Políticas comunes

Esta sección incluye algunas políticas comunes que puede que desee utilizar en su organización.

Nota

Estas políticas utilizan nombres de grupo y compartimento de ejemplo. Asegúrese de sustituirlos por sus propios nombres.

Permitir al servicio de ayuda gestionar usuarios

Tipo de acceso: capacidad para crear, actualizar y suprimir usuarios y sus credenciales. No incluye la capacidad de colocar a los usuarios en grupos.

Dónde crear la política: en el arrendamiento, ya que los usuarios residen en el arrendamiento.

Allow group HelpDesk to manage users in tenancy

Permitir a los auditores inspeccionar sus recursos

Tipo de acceso: capacidad para mostrar una lista de los recursos en todos los compartimentos. Tenga en cuenta que:

La operación para mostrar las listas de políticas de IAM incluye el contenido de las propias políticas.
Las operaciones de listas para los tipos de recursos de redes devuelven toda la información (por ejemplo, el contenido de las listas de seguridad y las tablas de rutas).
La operación para mostrar listas de instancias necesita el verbo read en lugar de inspect, y el contenido incluye los metadatos proporcionados por el usuario.
La operación para ver eventos del servicio de auditoría requiere el verbo read en lugar de inspect.

Dónde crear la política: en el arrendamiento. Debido al concepto de herencia de políticas, los auditores pueden inspeccionar el arrendamiento y todos los compartimentos que se encuentren por debajo. O bien, puede otorgar a los auditores acceso solo a compartimentos específicos si no necesitan acceder a todo el arrendamiento.

Allow group Auditors to inspect all-resources in tenancy

Allow group Auditors to read instances in tenancy

Allow group Auditors to read audit-events in tenancy

Permitir a los administradores de red gestionar una red en la nube

Tipo de acceso: capacidad para gestionar todos los componentes de la red. Esto incluye redes en la nube, subredes, gateways, circuitos virtuales, listas de seguridad, tablas de rutas, etc. Si los administradores de red necesitan iniciar instancias para probar la conectividad de red, consulte Permitir a los usuarios iniciar instancias informáticas.

Dónde crear la política: en el arrendamiento. Debido al concepto de herencia de políticas, NetworkAdmins puede gestionar una red en la nube en cualquier compartimento. Para reducir el ámbito de acceso a un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group NetworkAdmins to manage virtual-network-family in tenancy

Permitir a los administradores de red gestionar los equilibradores de carga

Tipo de acceso: capacidad para gestionar todos los componentes en el equilibrador de carga. Si el grupo necesita iniciar instancias, consulte Permitir a los usuarios iniciar instancias informáticas.

Dónde crear la política: en el arrendamiento. Debido al concepto de herencia de políticas, NetworkAdmins puede entonces gestionar los equilibradores de carga en cualquier compartimento. Para reducir el ámbito de acceso a un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group NetworkAdmins to manage load-balancers in tenancy

Si el grupo utiliza la consola para gestionar los equilibradores de carga, se necesita una política adicional para utilizar los recursos de red asociados:

Allow group NetworkAdmins to manage load-balancers in tenancy

Allow group NetworkAdmins to use virtual-network-family in tenancy

Si un grupo concreto necesita actualizar un equilibrador de carga existente (por ejemplo, modificar el juego de backends) pero no crearlos ni suprimirlos, utilice esta sentencia:

Allow group LBUsers to use load-balancers in tenancy

Permitir a los usuarios iniciar instancias informáticas

Tipo de acceso: capacidad para realizar todas las operaciones con instancias iniciadas en la red en la nube y las subredes del compartimento XYZ, y asociar/desociar cualquier volumen que ya exista en el compartimento ABC. La primera sentencia también permite al grupo crear y gestionar imágenes de instancia en el compartimento ABC. Si el grupo no necesita asociar o desconectar volúmenes, puede suprimir la sentencia volume-family.

Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores de los compartimentos individuales (ABC y XYZ) tengan control sobre las sentencias de política individuales, consulte Asociación de políticas.

Allow group InstanceLaunchers to manage instance-family in compartment ABC
Allow group InstanceLaunchers to read app-catalog-listing in tenancy
Allow group InstanceLaunchers to use volume-family in compartment ABC
Allow group InstanceLaunchers to use virtual-network-family in compartment XYZ

Para permitir a los usuarios crear nuevas redes y subredes en la nube, consulte Permitir a los administradores de red gestionar una red en la nube.

Para permitir a los usuarios determinar si la capacidad está disponible para una unidad específica antes de crear una instancia, agregue la siguiente sentencia a la política:

Allow group InstanceLaunchers to manage compute-capacity-reports in tenancy

Permitir a los usuarios iniciar instancias informáticas desde una imagen personalizada específica

Tipo de acceso: capacidad de iniciar instancias en la red y las subredes en la nube en el compartimento XYZ con solo la imagen personalizada especificada. La política también incluye la capacidad de asociar/desasociar cualquier volumen existente que ya exista en el compartimento ABC. Si el grupo no necesita asociar/desasociar volúmenes, puede suprimir la sentencia volume-family.

Para especificar varias imágenes personalizadas, puede utilizar condiciones.

Allow group ImageUsers to inspect instance-images in compartment ABC
Allow group ImageUsers to {INSTANCE_IMAGE_READ} in compartment ABC where target.image.id='<image_OCID>'
Allow group ImageUsers to manage instances in compartment ABC
Allow group ImageUsers to read app-catalog-listing in tenancy
Allow group ImageUsers to use volume-family in compartment ABC
Allow group ImageUsers to use virtual-network-family in compartment XYZ

Permitir a los administradores de imágenes gestionar imágenes personalizadas

Tipo de acceso: capacidad de realizar todas las tareas con imágenes personalizadas e instancias informáticas. También incluye la capacidad de realizar todas las tareas con cubos, objetos y espacios de nombres de Object Storage en el compartimento Y (para crear imágenes a partir de objetos y crear solicitudes autenticadas previamente en imágenes); asociar/desasociar cualquier volumen existente en el compartimento X; e iniciar instancias en la red y las subredes en la nube en el compartimento Z (para crear nuevas instancias en las que basar una imagen). Si el grupo no necesita asociar/desasociar volúmenes, puede suprimir la sentencia volume-family.

Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores de los compartimentos individuales (X, Y y Z) tengan control sobre las sentencias de política individuales para sus compartimentos, consulte Asociación de políticas.

Allow group ImageAdmins to manage instances in compartment X
Allow group ImageAdmins to manage instance-images in compartment X
Allow group ImageAdmins to read app-catalog-listing in tenancy
Allow group ImageAdmins to manage object-family in compartment Y
Allow group ImageAdmins to use volume-family in compartment X
Allow group ImageAdmins to use virtual-network-family in compartment Z

Permitir a los usuarios gestionar las configuraciones de las instancias informáticas, los pools de instancias y las redes de cluster

Tipo de acceso: capacidad para hacer todo lo relacionado con las configuraciones de instancias, los pools de instancias y las redes de cluster en todos los compartimentos.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a las configuraciones de instancias, los pools de instancias y las redes de cluster en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group InstancePoolAdmins to manage compute-management-family in tenancy

Si un grupo necesita crear configuraciones de instancia utilizando instancias existentes como plantilla y utiliza la API, los SDK o la interfaz de línea de comandos (CLI) para ello, agregue las siguientes sentencias a la política:

Allow group InstancePoolAdmins to read instance-family in tenancy
Allow group InstancePoolAdmins to inspect volumes in tenancy

Si un grupo concreto necesita iniciar, parar o restablecer las instancias en pools de instancias existentes, pero no crear o suprimir pools de instancias, utilice esta sentencia:

Allow group InstancePoolUsers to use instance-pools in tenancy

Si los recursos utilizados por el pool de instancias contienen etiquetas por defecto, agregue la siguiente sentencia a la política para otorgar permiso al grupo para el espacio de nombres de etiqueta Oracle-Tags:

Allow group InstancePoolUsers to use tag-namespaces in tenancy where target.tag-namespace.name = 'oracle-tags'

Si la configuración de instancia utilizada por el pool de instancias inicia instancias en una reserva de capacidad, agregue la siguiente sentencia a la política:

Allow service compute_management to use compute-capacity-reservations in tenancy

Si el volumen de inicio que se utiliza en la configuración de instancia para crear un pool de instancias está cifrado con una clave de KMS, agregue la siguiente sentencia a la política:

allow service compute, blockstorage, compute_management to use key-family in compartment <compartment_id/<tenant_id>>

Permitir a los usuarios gestionar las configuraciones de escala automática de recursos informáticos

Tipo de acceso: capacidad para crear, actualizar y suprimir configuraciones de escala automática.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a las configuraciones de escala automática en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group AutoscalingAdmins to manage auto-scaling-configurations in tenancy
Allow group AutoscalingAdmins to manage instance-pools in tenancy

Permitir a los usuarios mostrar imágenes del catálogo de imágenes del partner y suscribirse a ellas

Tipo de acceso: capacidad para mostrar y crear suscripciones a imágenes en el catálogo de imágenes del partner. No incluye la capacidad de crear instancias utilizando imágenes del catálogo de imágenes del partner (consulte Permitir a los usuarios iniciar instancias informáticas).

Dónde crear la política: en el arrendamiento. Para reducir el ámbito de acceso a la creación de suscripciones en un compartimento concreto, especifique dicho compartimento en lugar del arrendamiento en la tercera sentencia.

Allow group CatalogSubscribers to inspect app-catalog-listing in tenancy
Allow group CatalogSubscribers to read app-catalog-listing in tenancy
Allow group CatalogSubscribers to manage app-catalog-listing in tenancy

Permitir a los usuarios crear conexiones de consola de instancia informática

Tipo de acceso: capacidad de crear conexiones de consola de la instancia.

Dónde crear la política: en el arrendamiento.

Allow group <group_name> to manage instance-console-connection in tenancy
Allow group <group_name> to read instance in tenancy

Permitir a los usuarios gestionar hosts de máquina virtual dedicados de recursos informáticos

Tipo de acceso: permite crear, actualizar y suprimir hosts de máquinas virtuales dedicados, así como iniciar instancias en dichos hosts.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a las instancias y los hosts de máquina virtual dedicados en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group DedicatedVMHostAdmins to manage dedicated-vm-hosts in tenancy
Allow group DedicatedVMHostAdmins to manage instances in tenancy

Permitir a los usuarios iniciar instancias informáticas en hosts de máquinas virtuales dedicados.

Tipo de acceso: capacidad para iniciar instancias en hosts de máquinas virtuales dedicados.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a las instancias y los hosts de máquina virtual dedicados en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group DedicatedVMHostAdmins to use dedicated-vm-hosts in tenancy
Allow group DedicatedVMHostAdmins to manage instances in tenancy

Permitir a los administradores de volúmenes gestionar volúmenes de bloques, copias de seguridad y grupos de volúmenes

Tipo de acceso: capacidad de realizar todas las tareas con volúmenes de almacenamiento de bloques, copias de seguridad de volúmenes y grupos de volúmenes en todos los compartimentos, excepto la copia de copias de seguridad de volúmenes entre regiones. Esto es pertinente si desea tener un único juego de administradores de volúmenes que gestione todos los volúmenes, las copias de seguridad de volúmenes y los grupos de volúmenes de todos los compartimentos. Se necesita la segunda sentencia para asociar/desasociar los volúmenes de las instancias.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los volúmenes/copias de seguridad e instancias de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group VolumeAdmins to manage volume-family in tenancy

Allow group VolumeAdmins to use instance-family in tenancy

Si el grupo necesita también copiar copias de seguridad de volúmenes y copias de seguridad de volúmenes de inicio entre regiones, agregue las siguientes sentencias a la política:

Allow group VolumeAdmins to use volume-backups in tenancy where request.permission='VOLUME_BACKUP_COPY'
Allow group VolumeAdmins to use boot-volume-backups in tenancy where request.permission='BOOT_VOLUME_BACKUP_COPY'

Permitir a los administradores de copia de seguridad de volúmenes gestionar solo copias de seguridad.

Tipo de acceso: permite realizar todas las tareas con copias de seguridad de volúmenes, pero no crear ni gestionar volúmenes en sí. Esto es pertinente si desea tener un solo juego de administradores de copias de seguridad de volúmenes que gestione todas las copias en todos los compartimentos. La primera sentencia proporciona el acceso necesario al volumen del que se está realizando la copia de seguridad; la segunda sentencia permite la creación de la copia de seguridad (y la capacidad de suprimir copias de seguridad). La tercera sentencia permite la creación y gestión de políticas de copia de seguridad definidas por el usuario; la cuarta sentencia permite la asignación y eliminación de políticas de copia de seguridad.

Allow group VolumeBackupAdmins to use volumes in tenancy

Allow group VolumeBackupAdmins to manage volume-backups in tenancy

Allow group VolumeBackupAdmins to manage backup-policies in tenancy

Allow group VolumeBackupAdmins to manage backup-policy-assignments in tenancy

Si el grupo va a utilizar la consola, la siguiente política proporciona una mejor experiencia de usuario:

Allow group VolumeBackupAdmins to use volumes in tenancy

Allow group VolumeBackupAdmins to manage volume-backups in tenancy

Allow group VolumeBackupAdmins to inspect volume-attachments in tenancy

Allow group VolumeBackupAdmins to inspect instances in tenancy

Allow group VolumeBackupAdmins to manage backup-policies in tenancy

Allow group VolumeBackupAdmins to manage backup-policy-assignments in tenancy

Las dos últimas sentencias no son necesarias para gestionar las copias de seguridad de volúmenes. Sin embargo, permiten que la consola muestre toda la información sobre un volumen determinado y las políticas de copia de seguridad disponibles.

Permitir a los administradores de copias de seguridad de volúmenes de inicio gestionar solo copias de seguridad

Tipo de acceso: permite realizar todas las tareas con copias de seguridad de volúmenes de inicio, pero no crear ni gestionar volúmenes de inicio en sí. Esto es pertinente si desea tener un solo conjunto de administradores de copias de seguridad de volúmenes de inicio que gestionen todas las copias de seguridad de volúmenes de inicio en todos los compartimentos. La primera sentencia proporciona el acceso necesario al volumen de inicio del que se está realizando la copia de seguridad; la segunda sentencia permite la creación de la copia de seguridad (y la capacidad de suprimir copias de seguridad). La tercera sentencia permite la creación y gestión de políticas de copia de seguridad definidas por el usuario; la cuarta sentencia permite la asignación y eliminación de políticas de copia de seguridad.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los volúmenes de inicio y las copias de seguridad de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group BootVolumeBackupAdmins to use volumes in tenancy

Allow group BootVolumeBackupAdmins to manage boot-volume-backups in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policies in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policy-assignments in tenancy

Si el grupo va a utilizar la consola, la siguiente política proporciona una mejor experiencia de usuario:

Allow group BootVolumeBackupAdmins to use volumes in tenancy

Allow group BootVolumeBackupAdmins to manage boot-volume-backups in tenancy

Allow group BootVolumeBackupAdmins to inspect instances in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policies in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policy-assignments in tenancy

Las dos últimas sentencias no son necesarias para gestionar las copias de seguridad de volúmenes. Sin embargo, permiten que la consola muestre toda la información sobre un volumen de inicio determinado y las políticas de copia de seguridad disponibles.

Permitir a los usuarios crear un grupo de volúmenes

Tipo de acceso: capacidad para crear un grupo de volúmenes a partir de un juego de volúmenes.

Allow group VolumeGroupCreators to inspect volumes in tenancy
Allow group VolumeGroupCreators to manage volume-groups in tenancy

Permitir a los usuarios clonar un grupo de volúmenes

Tipo de acceso: capacidad para clonar un grupo de volúmenes a partir de un grupo de volúmenes existente.

Allow group VolumeGroupCloners to inspect volumes in tenancy
Allow group VolumeGroupCloners to manage volume-groups in tenancy
Allow group VolumeGroupCloners to manage volumes in tenancy

Permitir a los usuarios crear una copia de seguridad de grupo de volúmenes

Tipo de acceso: capacidad para crear una copia de seguridad de grupo de volúmenes.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los volúmenes/copias de seguridad y grupos de volúmenes/copias de seguridad de grupos de volúmenes de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group VolumeGroupBackupAdmins to inspect volume-groups in tenancy
Allow group VolumeGroupBackupAdmins to manage volumes in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-group-backups in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-backups in tenancy

Permitir a los usuarios restaurar una copia de seguridad de grupo de volúmenes

Tipo de acceso: capacidad para crear un grupo de volúmenes mediante la restauración de una copia de seguridad de grupo de volúmenes.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a los volúmenes/copias de seguridad y grupos de volúmenes/copias de seguridad de grupos de volúmenes de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group VolumeGroupBackupAdmins to inspect volume-group-backups in tenancy
Allow group VolumeGroupBackupAdmins to read volume-backups in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-groups in tenancy
Allow group VolumeGroupBackupAdmins to manage volumes in tenancy

Permitir a los usuarios crear, gestionar y suprimir sistemas de archivos

Tipo de acceso: capacidad de crear, gestionar o suprimir un sistema de archivos o un clon del sistema de archivos. Las funciones administrativas de un sistema de archivos incluyen la capacidad de cambiarle el nombre, suprimirlo o desconectarse de él.

Dónde crear la política: en el arrendamiento, de forma que la capacidad para crear, gestionar o suprimir un sistema de archivos se pueda conceder fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de estas funciones administrativas a sistemas de archivos en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group StorageAdmins to manage file-family in tenancy

Permitir a los usuarios crear sistemas de archivos

Tipo de acceso: capacidad de crear un sistema de archivos o un clon del sistema de archivos.

Dónde crear la política: en el arrendamiento, de modo que la capacidad para crear un sistema de archivos se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de estas funciones administrativas a sistemas de archivos en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group Managers to manage file-systems in tenancy

Allow group Managers to read mount-targets in tenancy

La segunda sentencia es necesaria cuando los usuarios crean un sistema de archivos mediante la consola. Permite a la consola mostrar una lista de destinos de montaje con los que se puede asociar el nuevo sistema de archivos.

Permitir a los administradores de Object Storage gestionar cubos y objetos

Tipo de acceso: capacidad para realizar todas las tareas con los cubos y objetos de Object Storage en todos los compartimentos.

Allow group ObjectAdmins to manage buckets in tenancy

Allow group ObjectAdmins to manage objects in tenancy

Permitir a los usuarios escribir objetos en los cubos de Object Storage

Tipo de acceso: capacidad para escribir objetos en cualquier cubo de Object Storage en el compartimento ABC (imagine una situación en la que el cliente necesite escribir archivos log regularmente en un cubo). Consiste en la capacidad de mostrar los cubos en el compartimento, mostrar los objetos de un cubo y crear un nuevo objeto en un cubo. Aunque la segunda sentencia ofrece acceso amplio con el verbo manage, el ámbito de ese acceso se limita entonces a los permisos OBJECT_INSPECT y OBJECT_CREATE con la condición al final de la sentencia.

Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores del compartimento ABC tengan control sobre la política, consulte Cómo funcionan las políticas.

Allow group ObjectWriters to read buckets in compartment ABC

Allow group ObjectWriters to manage objects in compartment ABC where any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}

Acceso limitado a un cubo específico: para limitar el acceso a un cubo específico en un compartimento concreto, agregue la condición where target.bucket.name='<bucket_name>'. La siguiente política permite al usuario mostrar todos los cubos de un compartimento concreto, pero solo se pueden mostrar y cargar objetos en BucketA:

Allow group ObjectWriters to read buckets in compartment ABC

Allow group ObjectWriters to manage objects in compartment ABC where all {target.bucket.name='BucketA', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

Acceso limitado a cubos con una etiqueta definida específica: para limitar el acceso a los cubos con una etiqueta específica en un compartimento determinado, agregue la condición where target.bucket.tag.<TagNamespace>.<TagKeyDefinition>='<TagValue>'. La siguiente política permite al usuario mostrar todos los cubos del compartimento ABC. Sin embargo, solo puede mostrar los objetos del cubo y cargar objetos en él con la etiqueta MyTagNamespace.TagKey='MyTagValue':

Allow group ObjectWriters to read buckets in compartment ABC
Allow group ObjectWriters to manage objects in compartment ABC where all {target.bucket.tag.MyTagNamespace.TagKey='MyTagValue', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

Para obtener más información sobre el uso de condiciones, consulte Funciones de políticas avanzadas.

Permitir a los usuarios descargar objetos de los cubos de Object Storage

Tipo de acceso: capacidad para descargar objetos de cualquier cubo de Object Storage en el compartimento ABC. Consiste en la capacidad de mostrar los cubos en el compartimento, mostrar los objetos de un cubo y leer los objetos existentes en un cubo.

Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores del compartimento ABC tengan control sobre la política, consulte Cómo funcionan las políticas.

Allow group ObjectReaders to read buckets in compartment ABC

Allow group ObjectReaders to read objects in compartment ABC

Acceso limitado a un cubo específico: para limitar el acceso a un cubo específico en un compartimento concreto, agregue la condición where target.bucket.name='<bucket_name>'. La siguiente política permite al usuario mostrar todos los cubos de un compartimento concreto, pero solo puede leer los objetos en BucketA y descargarlos de este:

Allow group ObjectReaders to read buckets in compartment ABC

Allow group ObjectReaders to read objects in compartment ABC where target.bucket.name='BucketA'

Acceso limitado a cubos con una etiqueta definida específica

Para limitar el acceso a los cubos con una etiqueta específica en un compartimento determinado, agregue la condición where target.bucket.tag.<TagNamespace>.<TagKeyDefinition>='<TagValue>'. La siguiente política permite al usuario mostrar todos los cubos del compartimento ABC. Sin embargo, solo puede leer los objetos del cubo y descargarlos de este con la etiqueta MyTagNamespace.TagKey='MyTagValue':

Allow group ObjectReaders to read buckets in compartment ABC
Allow group ObjectReaders to read objects in compartment ABC where target.bucket.tag.MyTagNamespace.TagKey='MyTagValue'

Para obtener más información sobre el uso de condiciones, consulte Funciones de políticas avanzadas.

Permitir a los usuarios tener acceso completo a una carpeta de un cubo de Object Storage

Tipo de acceso: capacidad de un grupo de usuarios para realizar todas las acciones en un cubo de Object Storage y sus objetos.

Dónde crear la política: en el arrendamiento en el que residen los usuarios.

ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*'}

Permitir a los usuarios tener acceso de solo lectura a una carpeta de un cubo de Object Storage

Tipo de acceso: capacidad de un grupo de usuarios para tener acceso de solo lectura a un cubo de Object Storage y sus objetos.

Dónde crear la política: en el arrendamiento en el que residen los usuarios.

ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*', any{request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}

Permitir a los usuarios tener acceso de una sola escritura a una carpeta de un cubo de Object Storage (sin lectura ni supresión)

Tipo de acceso: capacidad de un grupo de usuarios de tener acceso de solo escritura a una carpeta de objetos de un cubo. Los usuarios no pueden ver una lista de objetos del cubo ni suprimir ningún objeto que contenga.

Dónde crear la política: en el arrendamiento en el que residen los usuarios.

ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*', any{request.permission='OBJECT_CREATE'}}

Permitir a los usuarios tener acceso de lectura y escritura a una carpeta de un cubo de Object Storage (sin lista ni sobrescritura)

Tipo de acceso: capacidad de un grupo de usuarios para tener acceso de lectura y escritura a una carpeta de objetos dentro de un cubo de Object Storage. Los usuarios no pueden generar una lista de objetos en la carpeta ni sobrescribir los objetos existentes en la carpeta.

Dónde crear la política: en el arrendamiento en el que residen los usuarios.

ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*', any{request.permission='OBJECT_CREATE', request.permission='OBJECT_READ'}}

Permitir que un usuario tenga acceso completo a un patrón de objeto en un cubo de Object Storage

Tipo de acceso: capacidad de un usuario especificado para tener acceso completo a todos los objetos que coinciden con un patrón especificado en un cubo de Object Storage.

Dónde crear la política: en el arrendamiento donde reside el usuario.

ALLOW any-user TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = '*.pdf', request.user.id='ocid1.user.oc1..exampleuniqueID'}

Permitir a los administradores de bases de datos gestionar sistemas de base de datos de Oracle Cloud

Tipo de acceso: capacidad de realizar todas las tareas con los siguientes tipos de sistema y sus recursos asociados en todos los compartimentos:

Instancias de Exadata Database Service on Dedicated Infrastructure
sistemas de base de datos con hardware dedicado
sistemas de base de datos de máquina virtual

Esto tiene sentido si desea que un único juego de administradores de bases de datos gestione todos los sistemas con hardware dedicado, de máquina virtual y de Exadata en todos los compartimentos.

Allow group DatabaseAdmins to manage database-family in tenancy

Permitir a los administradores de bases de datos gestionar instancias de Exadata Database Service en Cloud at Customer

Tipo de acceso: capacidad para realizar todas las tareas con los recursos de Exadata Database Service on Cloud@Customer en todos los compartimentos. Esto es pertinente si desea tener un único juego de administradores de base de datos que gestionen todos los sistemas Exadata Database Service on Cloud@Customer en todos los compartimentos.

Sistemas en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group ExaCCAdmins to manage database-family in tenancy

Permitir a los administradores de bases de datos gestionar recursos de MySQL Database

Tipo de acceso:

Capacidad de realizar todas las tareas con los recursos de MySQL Database y MySQL HeatWave en todos los compartimentos. La creación y la gestión de sistemas de base de datos MySQL Database también requiere un acceso limitado a las VCN, las subredes y los espacios de nombres de etiquetas en el arrendamiento.

Dónde crear la política: en el arrendamiento, otorgando acceso a todos los compartimentos mediante la herencia de políticas.

Allow group <group_name> to {
  	COMPARTMENT_INSPECT, 
    VCN_READ, 
    SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH, 
    NETWORK_SECURITY_GROUP_UPDATE_MEMBERS,
    VNIC_CREATE, VNIC_UPDATE, VNIC_DELETE, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP
  } in tenancy | compartment <compartment_name> | compartment <compartment_ocid>
  Allow group <group_name> to manage mysql-family in tenancy | compartment <compartment_name> | compartment <compartment_ocid>
  Allow group <group_name> to use tag-namespaces in tenancy

Permitir a los administradores de bases de datos gestionar recursos de base de datos externa de Oracle Cloud

Tipo de acceso: capacidad de realizar todas las tareas con los siguientes recursos de base de datos externa de OCI en todos los compartimentos:

Recursos de la base de datos de contenedores externa de OCI
Recursos de la base de datos conectable externa de OCI
Recursos de la base de datos sin contenedor externa de OCI
Conectores de base de datos externa de OCI

Esto es pertinente si desea tener un único juego de administradores de base de datos que gestionen todos los recursos de base de datos externa de OCI en todos los compartimentos.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso solo a los recursos de base de datos externa de OCI de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group OnPremDatabaseAdmins to manage external-database-family in tenancy

Permitir a los administradores de bases de datos y de conjuntos gestionar Autonomous Databases

Tipo de acceso: capacidad de gestionar recursos de Autonomous Database en todos los compartimentos. Es aplicable si desea que un único juego de administradores de bases de datos gestione todos los recursos de Autonomous Database en todos los compartimentos.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda a todos los compartimentos mediante la herencia política. Para reducir el ámbito de acceso solo a las bases de datos de Autonomous Database de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Ejemplo 1: para Roles de usuario asociados a Autonomous Database en una infraestructura de Exadata dedicada. Permite al administrador de conjuntos de Autonomous Database acceder a todos los tipos de carga de trabajo y gestionar los siguientes recursos de infraestructura de Exadata dedicada: bases de datos de contenedores autónomas y clusters de VM autónomos.

Allow group DatabaseAdmins to manage autonomous-database-family in tenancy

Consejo

El tipo de recurso agregado autonomous-database-family no cubre el tipo de recurso cloud-exadata-infrastructures necesario para aprovisionar Autonomous Database en una infraestructura de Exadata dedicada. Consulte Detalles de política para Exadata Database Service on Dedicated Infrastructure para obtener información sobre los permisos necesarios para gestionar los recursos de infraestructura de Exadata en la nube. Consulte Permitir a los administradores de bases de datos gestionar sistemas de base de datos de Oracle Cloud para obtener una política de ejemplo que cubra los recursos de la infraestructura de Exadata en la nube.

Si debe restringir el acceso a los tipos de recurso Cluster de VM autónomo y Base de datos de contenedores autónoma (solo se aplica a la infraestructura de Exadata dedicada), puede hacerlo creando sentencias de política independientes para los administradores de base de datos que solo permitan el acceso a las instancias de Autonomous Database y sus copias de seguridad. Debido a que una sentencia de política solo puede especificar un tipo de recurso, debe crear sentencias independientes para la base de datos y los recursos de copia de seguridad.

Ejemplo 2: para Autonomous Database en infraestructura de Exadata dedicada. Permite a los administradores de bases de datos de Autonomous Database acceder a las bases de datos y las copias de seguridad de los distintos tipos de carga de trabajo, pero deniega el acceso a las bases de datos de contenedores autónomas, los clusters de VM autónomos y los recursos de la infraestructura de Exadata en la nube.

Allow group ADB-Admins to manage autonomous-database in tenancy

Allow group ADB-Admins to manage autonomous-backup in tenancy

Para reducir el ámbito de acceso de las bases de datos y las copias de seguridad a un tipo de carga de trabajo específico, utilice una cláusula where.

Ejemplo 3: para Autonomous Database en infraestructura de Exadata dedicada. Limita el acceso de Autonomous Database a las bases de datos y las copias de seguridad para un tipo de carga de trabajo específico.

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'workload_type'

Allow group ADB-Admins to manage autonomous-backups in tenancy where target.workloadType = 'workload_type'

En los ejemplos de código anteriores, workload_type es una de las cadenas que se muestran en la siguiente tabla.

Cadenas de tipo de carga de trabajo de Autonomous Database
Tipo de carga de trabajo de base de datos	Cadena workload_type para políticas
Autonomous Database para el procesamiento de transacciones y cargas de trabajo mixtas	`OLTP`
Autonomous Database para análisis y almacenamiento de datos	`DW`
Autonomous JSON Database	`AJD`
Desarrollo de aplicaciones de Oracle APEX	`APEX`

Permitir a los administradores de seguridad gestionar almacenes, claves y secretos

Tipo de acceso: capacidad para realizar todas las tareas con el servicio Vault en todos los compartimentos. Esto es pertinente si desea tener un único conjunto de administradores de seguridad que gestionen todos los almacenes, las claves y los componentes secretos (incluidos secretos, versiones de secretas y grupos de secretos) en todos los compartimentos.

Dónde crear la política: en el arrendamiento, de forma que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso solo a los almacenes, las claves y los componentes secretos de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento. Para reducir el ámbito de acceso solo a almacenes, claves o componentes secretos, incluya solo la sentencia de política que pertenece al tipo de recurso individual o agregado correspondiente, según corresponda.

Allow group SecurityAdmins to manage vaults in tenancy

Allow group SecurityAdmins to manage keys in tenancy

Allow group SecurityAdmins to manage secret-family in tenancy

Permitir a los administradores de seguridad gestionar todas las claves en un almacén específico de un compartimento

Tipo de acceso: capacidad para hacer todo tipo de tareas con claves en un almacén específico del compartimento ABC.

Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Si desea que los administradores del compartimento individual (ABC) tengan control sobre las sentencias de política individuales para su compartimento, consulte Asociación de políticas.

Allow group SecurityAdmins to manage keys in compartment ABC where target.vault.id='<vault_OCID>'

Permitir a los administradores de seguridad utilizar una clave específica en un compartimento

Tipo de acceso: capacidad para mostrar, ver y realizar operaciones criptográficas con una clave específica en un compartimento.

Allow group SecurityAdmins to use keys in compartment ABC where target.key.id='<key_OCID>'

Permitir a un grupo de usuarios delegar el uso de claves en un compartimento

Tipo de acceso: capacidad para asociar un cubo de Object Storage, un volumen de Block Volume, el sistema de archivos de File Storage, un cluster de Kubernetes o un pool de flujos de Streaming a una clave específica autorizada para su uso en un compartimento específico. Con esta política, un usuario del grupo especificado no tiene permiso para utilizar la clave en sí. En su lugar, por asociación, la clave la puede utilizar Object Storage, Block Volume, File Storage, Container Engine for Kubernetes o Streaming en nombre del usuario para:

Crear o actualizar un cubo, un volumen o un sistema de archivos cifrados y para cifrar o descifrar datos en el cubo, volumen o sistema de archivos.
Cree clusters de Kubernetes con secretos de Kubernetes cifrados en reposo en el almacén de clave-valor de etcd.
Cree una pool de flujos para cifrar los datos de los flujos en el pool de flujos.

Esta política requiere que también tenga una política complementaria que permita a Object Storage, Block Volume, File Storage, Container Engine for Kubernetes o Streaming utilizar la clave para realizar operaciones criptográficas.

Allow group ObjectWriters, VolumeWriters, FileWriters, ClusterWriters, StreamWriters to use key-delegate in compartment ABC where target.key.id = '<key_OCID>'

Permitir que los servicios Block Volume, Object Storage, File Storage, Container Engine y Streaming cifren y descifren volúmenes, copias de seguridad de volúmenes, cubos, sistemas de archivos, secretos de Kubernetes y pools de flujos

Tipo de acceso: capacidad para mostrar, ver y realizar operaciones criptográficas con todas las claves en el compartimento ABC. Puesto que Object Storage es un servicio regional, tiene puntos finales regionales. Como tal, debe especificar el nombre del servicio regional para cada región en la que esté utilizando Object Storage con cifrado de Vault. Esta política también requiere que tenga una política complementaria que permita a un grupo de usuarios utilizar la clave delegada que utilizará Object Storage, Block Volume, File Storage, Container Engine for Kubernetes o Streaming.

Allow service blockstorage, objectstorage-<region_name>, <file_storage_service_user>, oke, streaming to use keys in compartment ABC where target.key.id = '<key_OCID>'

Para Object Storage, sustituya <region_name> por el identificador de región adecuado, por ejemplo:

objectstorage- us-phoenix-1
objectstorage- us-ashburn-1
objectstorage- eu-frankfurt-1
objectstorage- uk-london-1
objectstorage-ap-tokyo-1

Para determinar el valor de nombre de una región de Oracle Cloud Infrastructure, consulte Regiones y dominios de disponibilidad.

El nombre del usuario del servicio File Storage depende de su dominio. Para dominios con números de clave de dominio de 10 o menos, el patrón del usuario del servicio File Storage es FssOc<n>Prod, donde n es el número de clave de dominio. Los dominios con un número de clave de dominio mayor que 10 tienen un usuario de servicio de fssocprod. Para obtener más información sobre los dominios, consulte Acerca de las regiones y los dominios de disponibilidad.

Para Container Engine for Kubernetes, el nombre de servicio utilizado en la política es oke.

Para Streaming, el nombre de servicio utilizado en la política es streaming.

Permitir a los administradores de seguridad gestionar todos los secretos en un almacén específico de un compartimento

Tipo de acceso: capacidad para hacer todo tipo de tareas con secretos en un almacén específico del compartimento ABC.

Allow group SecurityAdmins to manage secret-family in compartment ABC where target.vault.id='<vault_OCID>'

Permita a los usuarios leer, actualizar y rotar todos los secretos

Tipo de acceso: capacidad para leer, actualizar y rotar todos los secretos en cualquier almacén del arrendamiento.

Allow group SecretsUsers to use secret-family in tenancy

Permitir a los administradores de grupos gestionar la afiliación a grupos

Tipo de acceso: capacidad para gestionar la afiliación de un grupo. No incluye la capacidad de crear o suprimir usuarios, o bien gestionar sus credenciales (consulte Permitir al servicio de ayuda gestionar usuarios).

Las dos primeras sentencias permiten a GroupAdmins mostrar todos los usuarios y grupos del arrendamiento, mostrar los usuarios de un grupo concreto y mostrar los grupos en los que está un usuario concreto.

Las dos últimas sentencias permiten a GroupAdmins cambiar la afiliación a un grupo. La condición al final de las dos últimas sentencias permite a GroupAdmins gestionar la afiliación a todos los grupos excepto el grupo Administradores (consulte Grupo de administradores, política y roles de administrador). Debe proteger la afiliación a ese grupo porque confiere poder para hacer cualquier operación en el arrendamiento.

En principio, las dos últimas sentencias también deberían abarcar la funcionalidad de listado básica que activan las dos primeras sentencias. Para comprender mejor cómo funcionan las condiciones y por qué necesita también las dos primeras sentencias, consulte Variables no aplicables al resultado de una solicitud en una solicitud rechazada.

Dónde crear la política: en el arrendamiento, ya que los usuarios y grupos residen en el arrendamiento.

Allow group GroupAdmins to inspect users in tenancy

Allow group GroupAdmins to inspect groups in tenancy

Allow group GroupAdmins to use users in tenancy where target.group.name != 'Administrators'

Allow group GroupAdmins to use groups in tenancy where target.group.name != 'Administrators'

Permitir a los usuarios gestionar sus propias contraseñas y credenciales

No se necesita ninguna política para permitir a los usuarios gestionar sus propias credenciales. Todos los usuarios tienen la capacidad de cambiar y restablecer sus propias contraseñas, gestionar sus propias claves de API y gestionar sus propios tokens de autenticación. Para obtener más información, consulte Credenciales de usuario.

Permitir a un administrador de compartimento gestionar el compartimento

Tipo de acceso: permite gestionar todos los aspectos de un compartimento concreto. Por ejemplo, un grupo denominado A-Admins podría gestionar todos los aspectos de un compartimento denominado Project-A, incluida la escritura de políticas adicionales que afectan al compartimento. Para obtener más información, consulte Anexo de políticas. Para ver un ejemplo de este tipo de políticas de configuración y políticas adicionales que resultan útiles, consulte Escenario de ejemplo.

Dónde crear la política: en el arrendamiento.

Allow group A-Admins to manage all-resources in compartment Project-A

Restringir el acceso de administrador a una región específica

Tipo de acceso: capacidad para gestionar recursos en una región específica. Recuerde que los recursos IAM deben gestionarse en la región principal. Si la región especificada no es la región principal, el administrador no podrá gestionar los recursos de IAM. Para obtener más información sobre la región principal, consulte Gestión de regiones.

Dónde crear la política: en el arrendamiento.

Allow group PHX-Admins to manage all-resources in tenancy where request.region='phx'

La política anterior permite a PHX-Admins gestionar todos los aspectos de todos los recursos de Oeste de EE. UU. (Phoenix).

Los miembros del grupo PHX- Admins solo pueden gestionar los recursos de IAM si la región principal del arrendamiento es Oeste de EE. UU. (Phoenix).

Restringir el acceso de usuario para ver solo anuncios resumidos

Tipo de acceso: capacidad para ver las versiones resumidas de anuncios sobre el estado operativo de los servicios de Oracle Cloud Infrastructure.

Dónde crear la política: en el arrendamiento.

Allow group AnnouncementListers to inspect announcements in tenancy

La política anterior permite a AnnouncementListers ver una lista de anuncios resumidos.

Permitir a los usuarios ver detalles de los anuncios

Tipo de acceso: capacidad para ver los detalles de los anuncios sobre el estado operativo de los servicios de Oracle Cloud Infrastructure.

Dónde crear la política: en el arrendamiento.

Allow group AnnouncementReaders to read announcements in tenancy

La política anterior permite a AnnouncementReaders ver una lista de anuncios resumidos y los detalles de anuncios específicos.

Permitir a los administradores gestionar suscripciones a anuncios

Tipo de acceso: capacidad de gestionar suscripciones que entregan anuncios sobre el estado operativo de los servicios de Oracle Cloud Infrastructure.

Dónde crear la política: el enfoque más sencillo es colocar esta política en el arrendamiento. Debido al concepto de herencia de políticas, el grupo al que otorga acceso puede gestionar las suscripciones a anuncios en cualquier compartimento. Para reducir el ámbito de acceso a los anuncios para un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group AnnouncementAdmins to manage announcement-subscriptions in tenancy

La política anterior permite a AnnouncementAdmins ver una lista de anuncios de resumen y los detalles de anuncios específicos.

Permitir a los administradores de flujos gestionar recursos de flujo

Tipo de acceso: capacidad para realizar todas las tareas con el servicio Streaming en todos los compartimentos.

Allow group StreamAdmins to manage stream-family in tenancy

Permitir a los usuarios de streaming publicar mensajes en los flujos

Tipo de acceso: capacidad para emitir mensajes en flujos con el servicio Streaming en todos los compartimentos.

Allow group StreamUsers to use stream-push in tenancy

Permitir a los usuarios de streaming publicar mensajes en un flujo específico

Tipo de acceso: capacidad de emitir mensajes en un flujo con el servicio Streaming.

Allow group StreamUsers to use stream-push in tenancy where target.stream.id = '<stream_OCID>'

Permitir a los usuarios de flujo publicar mensajes en un flujo de un pool de flujos específico

Tipo de acceso: capacidad de emitir mensajes en un flujo con el servicio Streaming.

Allow group StreamUsers to use stream-push in tenancy where target.streampool.id = '<streampool_OCID>'

Permitir a los usuarios de streaming consumir mensajes de flujos

Tipo de acceso: capacidad para consumir mensajes de flujos con el servicio Streaming en todos los compartimentos.

Allow group StreamUsers to use stream-pull in tenancy

Permitir a los usuarios ver definiciones de métricas en un compartimento

Tipo de acceso: capacidad para ver definiciones de métricas en un compartimento específico. Para obtener más información sobre métricas, consulte Visión general de la función Métricas.

Allow group MetricReaders to inspect metrics in compartment ABC

Permitir a los usuarios acceder a las métricas de supervisión en un compartimento

Tipo de acceso: capacidad para ver y recuperar métricas de supervisión para recursos soportados en un compartimento específico. Para obtener más información sobre métricas, consulte Visión general de la función Métricas.

Allow group MetricReaders to read metrics in compartment ABC

Restringir el acceso del usuario a un espacio de nombres de métrica específico

Tipo de acceso: capacidad para ver y recuperar métricas de supervisión para recursos de un espacio de nombres de métrica específico. Para obtener más información sobre métricas, consulte Visión general de la función Métricas.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso al espacio de nombres de métrica especificado a un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group MetricReaders to read metrics in compartment ABC where target.metrics.namespace='oci_computeagent'

La política anterior permite a MetricReaders ver y recuperar puntos de datos de métricas de todas las instancias informáticas activadas para supervisión del compartimento ABC.

Permitir a los usuarios publicar métricas personalizadas

Tipo de acceso: capacidad para publicar métricas personalizadas en un espacio de nombres de métrica específico para el servicio Monitoring. Para obtener instrucciones, consulte Publicación de métricas personalizadas.

Allow group MetricPublishers to use metrics in tenancy where target.metrics.namespace='mycustomnamespace'

La política anterior permite a MetricPublishers publicar puntos de datos para el espacio de nombres de métrica personalizado mycustomnamespace en el arrendamiento.

Permitir a las instancias realizar llamadas de API para acceder a métricas de supervisión en el arrendamiento

Tipo de acceso: capacidad de llamar a la API de Monitoring para acceder a métricas de supervisión. Las instancias en las que se originan las solicitudes de API deben ser miembros del grupo dinámico indicado en la política. Para obtener más información, consulte Llamada a servicios desde una instancia y Visión general de la función Métricas.

Dónde crear la política: en el arrendamiento.

Allow dynamic-group MetricInstances to read metrics in tenancy

La política anterior permite a las aplicaciones que se ejecutan en instancias informáticas del grupo dinámico MetricInstances enviar solicitudes de API al servicio Monitoring en el arrendamiento.

Permitir a los usuarios ver alarmas

Tipo de acceso: capacidad para ver alarmas de recursos soportados en el arrendamiento. No incluye la capacidad de crear alarmas ni de crear o suprimir temas. Para obtener más información sobre alarmas, consulte Visión general de la función Alarmas.

Dónde crear la política: en el arrendamiento. Debido al concepto de herencia de políticas, AlarmUsers podrá ver las alarmas de cualquier compartimento. Para reducir el ámbito de acceso a un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group AlarmUsers to read alarms in tenancy

Allow group AlarmUsers to read metrics in tenancy

Permitir a los usuarios gestionar alarmas

Tipo de acceso: capacidad para ver y crear alarmas con temas de notificación existentes para recursos soportados en el arrendamiento. No incluye la capacidad de crear o suprimir temas. Para obtener más información sobre alarmas, consulte Visión general de la función Alarmas.

Todas las sentencias son necesarias para permitir a AlarmUsers crear alarmas.

Dónde crear la política: en el arrendamiento. Debido al concepto de herencia de políticas, AlarmUsers podrá ver y crear alarmas en cualquier compartimento. Para reducir el ámbito de acceso a un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Allow group AlarmUsers to manage alarms in tenancy

Allow group AlarmUsers to read metrics in tenancy

Allow group AlarmUsers to use ons-topics in tenancy

Permitir a los usuarios gestionar alarmas y crear temas

Tipo de acceso: capacidad para ver y crear alarmas (con temas nuevos o existentes) para recursos soportados en el arrendamiento. También incluye la capacidad de crear suscripciones en el arrendamiento, publicar mensajes (mensajes de notificación transmitidos) en todas las suscripciones del arrendamiento y mover alarmas a distintos compartimentos del arrendamiento. Para obtener más información sobre alarmas, consulte Visión general de la función Alarmas.

Allow group AlarmUsers to manage alarms in tenancy

Allow group AlarmUsers to read metrics in tenancy

Allow group AlarmUsers to manage ons-topics in tenancy

Permitir a los usuarios acceder a los informes de uso

Tipo de acceso: capacidad para ver informes de uso del arrendamiento. Para obtener más información sobre los informes de uso, consulte Visión general de los informes de uso y costos.

Dónde crear la política: se trata de una política especial de varios arrendamientos y se debe crear en el arrendamiento. Para obtener más información, consulte Acceso a los informes de uso y costos.

define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
				endorse group Administrators to read objects in tenancy usage-report

Cómo permitir que los usuarios analicen los costos

Tipo de acceso: capacidad para ver costos del arrendamiento. Consulte Comprobación de los gastos y el uso.

Dónde crear la política: en el arrendamiento para que los usuarios de <Example_Group> puedan ver los costos de toda la cuenta.

Allow group <Example_Group> to read usage-reports in tenancy

Permitir a un grupo gestionar temas

Tipo de acceso: capacidad para obtener, crear, actualizar y suprimir temas en el arrendamiento, así como para mover temas a diferentes compartimentos en el arrendamiento. También incluye la capacidad de crear suscripciones en el arrendamiento y publicar mensajes (mensajes de notificación transmitidos) en todas las suscripciones del arrendamiento.

Dónde crear la política: en el arrendamiento.

Allow group A-Admins to manage ons-topics in tenancy

Permitir a un grupo gestionar suscripciones a temas

Tipo de acceso: capacidad para mostrar, crear, actualizar y suprimir suscripciones a temas en el arrendamiento. Capacidad para mover suscripciones a diferentes compartimentos en el arrendamiento.

Dónde crear la política: en el arrendamiento.

Allow group A-Admins to manage ons-subscriptions in tenancy

Permitir a un grupo publicar mensajes a temas

Tipo de acceso: capacidad para enviar mensajes de notificación a todas las suscripciones del arrendamiento, así como mostrar, crear, actualizar y suprimir suscripciones en el arrendamiento.

Dónde crear la política: en el arrendamiento.

Allow group A-Admins to use ons-topics in tenancy

Permite a los usuarios crear, desplegar y gestionar funciones y aplicaciones mediante el uso de Cloud Shell

Tipo de acceso: capacidad de crear, desplegar y gestionar aplicaciones y funciones de OCI Functions mediante Cloud Shell. Estas sentencias de política proporcionan al grupo acceso a Cloud Shell, los repositorios de Oracle Cloud Infrastructure Registry, los logs, las métricas, las funciones, las redes y el rastreo.

Dónde crear la política: en el arrendamiento, para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso solo a los recursos de un compartimento concreto, puede especificar el compartimento en lugar del arrendamiento para la mayoría de las sentencias de política. Sin embargo, to use cloud-shell, to manage repos y to read objectstorage-namespaces siempre deben estar en el ámbito del arrendamiento.


Allow group functions-developers to use cloud-shell in tenancy
Allow group functions-developers to manage repos in tenancy
Allow group functions-developers to read objectstorage-namespaces in tenancy
Allow group functions-developers to manage logging-family in tenancy
Allow group functions-developers to read metrics in tenancy
Allow group functions-developers to manage functions-family in tenancy
Allow group functions-developers to use virtual-network-family in tenancy
Allow group functions-developers to use apm-domains in tenancy
Allow group functions-developers to read vaults in tenancy
Allow group functions-developers to use keys in tenancy
Allow service faas to use apm-domains in tenancy
Allow service faas to read repos in tenancy where request.operation='ListContainerImageSignatures'
Allow service faas to {KEY_READ} in tenancy where request.operation='GetKeyVersion'
Allow service faas to {KEY_VERIFY} in tenancy where request.operation='Verify'

Permitir a los usuarios mostrar reglas de eventos en un compartimento

Tipo de acceso: capacidad para mostrar reglas de eventos.

Dónde crear la política: en el arrendamiento.

Allow group RuleReaders to read cloudevents-rules in tenancy

La política anterior permite a RuleReaders mostrar reglas en el arrendamiento.

Permitir a los administradores gestionar reglas de eventos en un compartimento

Tipo de acceso: capacidad de gestionar reglas de eventos, incluidas la creación, supresión y actualización de reglas.

Dónde crear la política: en el arrendamiento.

Esta línea permite al usuario inspeccionar el acceso a los recursos en compartimentos para seleccionar acciones.

allow group <RuleAdmins> to inspect compartments in tenancy

Esta línea proporciona al usuario acceso a etiquetas definidas para aplicar etiquetas de filtro a las reglas.

allow group <RuleAdmins> to use tag-namespaces in tenancy

Estas líneas proporcionan al usuario acceso a los recursos de streaming para acciones.

allow group <RuleAdmins> to inspect streams in tenancy
allow group <RuleAdmins> to use stream-push in tenancy
allow group <RuleAdmins> to use stream-pull in tenancy

Estas líneas proporcionan al usuario acceso a recursos de funciones para acciones.

allow group <RuleAdmins> to use virtual-network-family in tenancy
allow group <RuleAdmins> to manage function-family in tenancy

Esta línea proporciona al usuario acceso a temas de notificaciones para acciones.

allow group <RuleAdmins> to use ons-topic in tenancy

Esta línea proporciona al usuario acceso de administración a reglas para eventos.

allow group <RuleAdmins> to manage cloudevents-rules in tenancy

Permitir a un grupo acceder a todos los Cloud Guard

Tipo de acceso: acceso de solo lectura a todos los Cloud Guard. En la política de ejemplo, el grupo es "CloudGuard_ReadOnly".

allow group CloudGuard_ReadOnly to read cloud-guard-family in tenancy
allow group CloudGuard_ReadOnly to read compartments in tenancy
allow group CloudGuard_ReadOnly to read announcements in tenancy

Permitir a un grupo acceder a los problemas de Cloud Guard

Tipo de acceso: acceso de solo lectura a los problemas de Cloud Guard. En la política de ejemplo, el grupo es "CloudGuard_ReadOnlyProblems".

allow group CloudGuard_ReadOnlyProblems to read cloud-guard-family in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-detectors in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-targets in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-resource-types in tenancy
allow group CloudGuard_ReadOnlyProblems to read announcements in tenancy
allow group CloudGuard_ReadOnlyProblems to read compartments in tenancy
allow group CloudGuard_ReadOnlyProblems to read cloud-guard-config in tenancy

Permitir a un grupo acceder a recetas de detector de Cloud Guard

Tipo de acceso: acceso de solo lectura a recetas de detector de Cloud Guard. En la política de ejemplo, el grupo es "CloudGuard_ReadOnlyDetectors".

allow group CloudGuard_ReadOnlyDetectors to read cloud-guard-detector-recipes in tenancy
allow group CloudGuard_ReadOnlyDetectors to read announcements in tenancy
allow group CloudGuard_ReadOnlyDetectors to read compartments in tenancy
allow group CloudGuard_ReadOnlyDetectors to read cloud-guard-config in tenancy

Permitir a un grupo acceder a Cloud Guard en un solo compartimento

Tipo de acceso: acceso de solo lectura a Cloud Guard en un solo compartimento. En la política de ejemplo, el grupo es "CloudGuard_ReadOnly_SingleCompartment" y el nombre del compartimento es "cgDemo_RestrictedAccess".

allow group CloudGuard_ReadOnly_SingleCompartment to read compartments in tenancy where target.compartment.name = 'cgDemo_RestrictedAccess'
allow group CloudGuard_ReadOnly_SingleCompartment to read cloud-guard-family in compartment cgDemo_RestrictedAccess
allow group CloudGuard_ReadOnly_SingleCompartment to read announcements in compartment cgDemo_RestrictedAccess
allow group CloudGuard_ReadOnly_SingleCompartment to read cloud-guard-config in tenancy

Permitir a los administradores de seguridad gestionar todos los bastiones y sesiones

Tipo de acceso: capacidad de gestionar todos los recursos del servicio Bastion en todos los compartimentos. Esto es pertinente si desea que un único juego de administradores de seguridad gestione todos los bastiones y sesiones en todos los compartimentos.

Allow group SecurityAdmins to manage bastion in tenancy
Allow group SecurityAdmins to manage bastion-session in tenancy
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy

Permitir a los administradores de seguridad gestionar sesiones de bastión

Tipo de acceso: capacidad de gestionar todas las sesiones en todos los bastiones y en todos los compartimentos, incluida la creación de sesiones, la conexión a estas y su terminación.

Allow group SecurityAdmins to use bastion in tenancy
Allow group SecurityAdmins to manage bastion-session in tenancy
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy

Permitir a los administradores de seguridad gestionar sesiones de bastión para un host de destino específico de un compartimento

Tipo de acceso: capacidad de gestionar sesiones en un bastión de un compartimento específico y solo para sesiones que proporcionen conectividad a una instancia de Compute específica.

Dónde crear la política: en el arrendamiento, de forma que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas.

Allow group SecurityAdmins to use bastion in compartment ABC
Allow group SecurityAdmins to manage bastion-session in compartment ABC where ALL {target.resource.ocid='<instance_OCID>', target.bastion-session.username='<session_username>'}
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy

Permitir a un grupo gestionar conectores

Tipo de acceso: capacidad para mostrar, crear, actualizar y suprimir conectores en el arrendamiento. Capacidad para mover conectores a diferentes compartimentos en el arrendamiento.

Dónde crear la política: en el arrendamiento.

Allow group A-Admins to manage serviceconnectors in tenancy

Permitir a un grupo llamar a las operaciones de ingesta de Ops Insights en el arrendamiento

Tipo de acceso: capacidad para llamar a operaciones de ingesta de Ops Insights solo en el nivel de arrendamiento.

Dónde crear la política: en el arrendamiento.

allow group opsi-users to use opsi-database-insights in tenancy 
where any 
{request.operation='IngestSqlBucket', 
request.operation='IngestSqlText',
request.operation='IngestSqlPlanLines'}

Permitir a los usuarios crear y suprimir espacios de trabajo sin redes (Data Integration)

Capacidad de crear, suprimir y modificar espacios de trabajo en un compartimento.

allow group <group-name> to manage dis-workspaces in <compartment-name>
allow group <group-name> to manage dis-work-requests in <compartment-name>
allow group <group-name> to manage tag-namespaces in <compartment-name>

Permitir a los usuarios crear y suprimir espacios de trabajo mediante la red (Data Integration)

Capacidad de crear, suprimir y modificar espacios de trabajo dentro de una red virtual.

allow service dataintegration to use virtual-network-family in <compartment-name>
allow group <group-name> to manage dis-workspaces in <compartment-name>
allow group <group-name> to manage dis-work-requests in <compartment-name>
allow group <group-name> to use virtual-network-family in <compartment-name>
allow group <group-name> to manage tag-namespaces in <compartment-name>

Permitir a los usuarios y a la entidad de recurso acceder a Object Storage y utilizarlo para un espacio de trabajo determinado (Data Integration)

Capacidad de crear y utilizar activos de datos de Object Storage en todos los espacios de trabajo.

allow any-user to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow any-user to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to use object-family in <compartment-name>

Para otorgar acceso a un espacio de trabajo individual, especifique el OCID del espacio de trabajo al que desea permitir el acceso. Por ejemplo:

allow any-user to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-user to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}

Permitir a los usuarios y a la entidad de recurso acceder a las bases de datos autónomas y utilizarlas como destino para un espacio de trabajo determinado (Data Integration)

Capacidad de crear y utilizar activos de datos de base de datos autónoma en todos los espacios de trabajo.

allow any-user to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow any-user to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to use object-family in <compartment-name>
allow any-user to manage buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.permission='PAR_MANAGE'}

Para otorgar acceso a un espacio de trabajo individual, especifique el OCID del espacio de trabajo al que desea permitir el acceso. Por ejemplo:

allow any-user to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-user to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-user to manage buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>', request.permission='PAR_MANAGE'}

Permitir a los usuarios buscar objetos en un espacio de trabajo (Data Integration)

Capacidad de buscar los componentes de Data Integration en un espacio de trabajo determinado.

Esta política se debe aplicar en el nivel de arrendamiento (compartimento raíz).

allow service dataintegration to {TENANCY_INSPECT} in tenancy
allow service dataintegration to {DIS_METADATA_INSPECT} in tenancy

Permitir a los usuarios mover espacios de trabajo a un nuevo compartimento (Data Integration)

Capacidad de mover espacios de trabajo a un nuevo compartimento.

allow service dataintegration to inspect compartments in <compartment-name>
allow group <group-name> to manage dis-workspaces in <compartment-name>

Permitir que los usuarios publiquen tareas en el servicio OCI Data Flow (Data Integration)

Capacidad de publicar las diferentes tareas dentro de todos los espacios de trabajo en el servicio Data Flow de OCI.

allow any-user to manage dataflow-application in <compartment-name> where ALL {request.principal.type='disworkspace'}

Para otorgar acceso a un espacio de trabajo individual, especifique el OCID del espacio de trabajo al que desea permitir el acceso. Por ejemplo:

allow any-user to manage dataflow-application in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}

Permitir a los usuarios acceder al servicio OCI Vault para un espacio de trabajo concreto (Data Integration)

Capacidad de utilizar secretos de OCI Vault en todos los espacios de trabajo.

allow any-user to read secret-bundles in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to read secret-bundles in <compartment-name>

Para otorgar acceso a un espacio de trabajo individual, especifique el OCID del espacio de trabajo al que desea permitir el acceso. Por ejemplo:

allow any-user to read secret-bundles in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}

Documentación de Oracle Cloud Infrastructure

Políticas comunes