Verbos
Verbos que puede utilizar en sus políticas.
Oracle define los posibles verbos que puede utilizar en sus políticas. Este es un resumen de los verbos, de menor a mayor grado de acceso:
| Verbo | Tipos de acceso cubiertos | Usuario de destino |
|---|---|---|
inspect
|
Capacidad para mostrar recursos, sin acceso a información confidencial o metadatos especificados por el usuario que pueden formar parte de ese recurso. Importante: la operación para enumerar políticas incluye el contenido de las propias políticas, y las operaciones de lista de los tipos de recursos de Networking devuelven toda la información (por ejemplo, el contenido de las listas de seguridad y las tablas de rutas). | Auditores de terceros |
read
|
Incluye inspect y la capacidad de obtener metadatos especificados por el usuario y el propio recurso. |
Auditores internos |
use
|
Incluye read y la capacidad de trabajar con recursos existentes (las acciones varían según el tipo de recurso). Incluye la capacidad de actualizar el recurso, excepto los tipos de recursos en los que la operación "update" tiene el mismo efecto que la operación "create" (p. ej., UpdatePolicy, UpdateSecurityList, etc.), en cuyo caso la capacidad "update" solo está disponible con el verbo manage. En general, este verbo no incluye la capacidad de crear o suprimir ese tipo de recurso. |
Usuarios finales diarios de recursos |
manage
|
Incluye todos los permisos para el recurso. | Administradores |
El verbo proporciona un determinado tipo de acceso general (por ejemplo, inspect le permite enumerar y obtener recursos). Al unirse a ese tipo de acceso con un determinado tipo de recurso en una política (por ejemplo, Allow group XYZ to inspect compartments in the tenancy), le otorga a dicho grupo acceso a un juego específico de permisos y operaciones de API (por ejemplo, ListCompartments, GetCompartment). Para obtener más ejemplos, consulte Detalles de combinaciones de verbo + tipo de recurso. La referencia de política incluye una tabla similar para cada servicio, lo que le proporciona una lista de las operaciones de API cubiertas para cada combinación de verbo y tipo de recurso.
Existen algunas excepciones o matices especiales para ciertos tipos de recursos.
Usuarios: el acceso a manage users y a manage groups permite realizar cualquier acción con usuarios y grupos, incluidas la creación y la supresión de usuarios y grupos, así como la agregación/eliminación de usuarios de los grupos. Para agregar/eliminar usuarios de los grupos sin acceso a la creación y la supresión de usuarios y grupos, solo se necesita use users y use groups. Consulte Políticas comunes.
Políticas: la capacidad para actualizar una política solo está disponible con manage policies, no use policies, porque la actualización de una política es similar a la creación de una nueva política (puede sobrescribir las sentencias de política existentes). Además, inspect policies le permite obtener el contenido completo de las políticas.
Objetos de Object Storage: inspect objects permite mostrar todos los objetos de un cubo y realizar una operación HEAD para un objeto determinado. En comparación, read objects le permite descargar el objeto en sí.
Recursos de Load Balancer: tenga en cuenta que inspect load-balancers permite obtener toda la información sobre los equilibradores de carga y los componentes relacionados ( juegos de backends, etc.).
Recursos de Networking:
Tenga en cuenta que el verbo inspect no solo devuelve información general sobre los componentes de la red en la nube (por ejemplo, el nombre y el OCID de una lista de seguridad o de una tabla de rutas). También incluye el contenido del componente (por ejemplo, las reglas reales en la lista de seguridad, las rutas en la tabla de rutas, etc.).
Además, los siguientes tipos de capacidades están disponibles solo con el verbo manage, no con el verbo use:
- Actualizar (activar/desactivar)
internet-gateways - Actualizar
security-lists - Actualizar
route-tables - Actualizar
dhcp-options - Asociar un gateway de enrutamiento dinámico (DRG) a una red virtual en la nube (VCN)
- Crear una conexión de IPSec entre un equipo de DRG y equipos locales de cliente (CPE)
- VCN de peers
Cada VCN tiene varios componentes que afectan directamente al comportamiento de la red (tablas de rutas, listas de seguridad, opciones DHCP, gateway de Internet, etc.). Cuando crea uno de estos componentes, establece una relación entre dicho componente y la VCN, lo que significa que debe estar autorizado en una política tanto para crear el componente como para gestionar la VCN. Sin embargo, la capacidad de actualizar dicho componente (cambiar las reglas de ruta, las reglas de la lista de seguridad, etc.) NO requiere de permiso para gestionar la VCN en sí, aunque el cambio de dicho componente pueda afectar directamente al comportamiento de la red. Esta discrepancia está diseñada para proporcionarle flexibilidad a la hora de otorgar menos privilegios a los usuarios, de modo que no sea necesario que conceda un acceso excesivo a la VCN para que el usuario pueda gestionar otros componentes de la red. Tenga en cuenta que, al concederle a alguien la posibilidad de actualizar un tipo de componente en particular, está confiándole implícitamente el control del comportamiento de la red.