Documentación de Oracle Cloud Infrastructure

Visión general de las políticas de IAM

Las políticas de IAM controlan el control de los recursos en los arrendamientos de Oracle Cloud Infrastructure (OCI).

Una política contiene una o más sentencias de política. Cada sentencia utiliza sintaxis básica o condicional.

Sintaxis básica:

Allow <subject> to <verb> <resource> in <location>

Sintaxis condicional:

Allow <subject> to <verb> <resource> in <location> where <conditions>

En la siguiente tabla se explican brevemente los elementos de la sintaxis y se proporcionan enlaces a información detallada sobre cada elemento.

Elemento Descripción
Permitir Palabra de inicio necesaria. Una sentencia de política siempre comienza con la palabra Allow. Las políticas solo permiten el acceso; no pueden denegarlo.
<sujeto>

Usuario, grupo u otro principal al que se le otorgará acceso. El asunto incluye el tipo de principal y el identificador (nombre u OCID) y tiene el prefijo del nombre del dominio de identidad, a menos que se utilice el dominio de identidad por defecto.

Un administrador de su organización define los grupos y compartimentos de su arrendamiento. 

Allow group <identity_domain_name>/<group_name> to <verb> <resource-type> in tenancy
<verbo> Nivel de acceso. Oracle define los posibles verbos y tipos de recursos que puede utilizar en las políticas. Consulte Verbos.
<resource>

Recursos a los que la política otorga acceso. Oracle define los posibles tipos de recursos que puede utilizar en las políticas. Consulte Recursos. Algunas operaciones de API requieren acceso a varios tipos de recursos. Por ejemplo, LaunchInstance requiere la capacidad de crear instancias y trabajar con una red en la nube. La operación CreateVolumeBackup requiere acceso tanto al volumen como a la copia de seguridad del volumen. Esto requiere sentencias de política independientes para otorgar acceso a cada tipo de recurso. Estas sentencias individuales no tienen por qué estar en la misma política. Un usuario puede obtener el acceso necesario al estar en diferentes grupos.

<ubicación>

(Opcional) Compartimento o arrendamiento al que se aplica la política. Para un compartimento, el valor incluye un identificador (nombre u OCID).

A veces, la política se debe aplicar a todo el arrendamiento y no a un compartimento dentro del arrendamiento. A continuación, se muestra un ejemplo de una sentencia de política específica del compartimento, en la que <location> es un compartimento específico:

Allow group <identifier> to <verb> <resource> in compartment <identifier>

A continuación, se muestra un ejemplo de una sentencia de política para todo el arrendamiento, en la que <location> es arrendamiento:

Allow group <identifier> to <verb> <resource> in tenancy
<condición> (Opcional) Limita el acceso a un recurso.
Diagrama de ferrocarril de la estructura de políticas de IAM

OCI también le permite crear políticas entre arrendamientos. Para obtener más información, consulte Políticas de acceso entre arrendamientos.

Políticas de arrendamiento combinado

Las sentencias de política entre arrendamientos otorgan a los sujetos permiso para utilizar recursos en otros arrendamientos. Consulte Políticas de acceso entre arrendamientos.