Verbos
El elemento verbal de una sentencia de política especifica el tipo de acceso. Por ejemplo, utilice inspect para permitir que los auditores de terceros muestren los recursos especificados.
Los verbos para crear políticas de IAM los define Oracle.
De menos a más acceso, los siguientes son posibles verbos:
- inspect
- read
- use
- manage
Acceso general cubierto por cada verbo
Los siguientes son tipos generales de acceso y usuarios de destino para cada verbo posible, que se ordenan de menos a más acceso. Algunos recursos admiten excepciones. Ver
| Verbo | Usuario de destino | Tipos de acceso cubiertos |
|---|---|---|
inspect
|
Auditores de terceros | Capacidad para mostrar recursos, sin acceso a información confidencial ni a metadatos especificados por el usuario que puedan ser parte de ese recurso. Importante: la operación para mostrar las políticas incluye el contenido de las propias políticas. Las operaciones de lista de los tipos de recursos de Networking devuelven toda la información (por ejemplo, el contenido de listas de seguridad y las tablas del enrutamiento). |
read
|
Auditores internos | Incluye inspect y la capacidad de obtener metadatos especificados por el usuario y el propio recurso. |
use
|
Usuarios finales diarios de recursos | Incluye read y la capacidad de trabajar con recursos existentes (las acciones varían según el tipo de recurso). Incluye la capacidad de actualizar el recurso, excepto aquellos tipos de recursos en los cuales la operación "update" tiene el mismo efecto que la operación "create" (por ejemplo, UpdatePolicy, UpdateSecurityList, etc.), en cuyo caso la capacidad "update" solo está disponible con el verbo manage. En general, este Verbo no incluye la capacidad de crear o suprimir ese tipo de recurso. |
manage
|
Administradores | Incluye todos los permisos para el recurso. |
El verbo proporciona un determinado tipo de acceso general (por ejemplo, inspect le permite enumerar y obtener recursos). Al unirse a ese tipo de acceso con un determinado tipo de recurso en una política (por ejemplo, Allow group XYZ to inspect compartments in the tenancy), le otorga a dicho grupo acceso a un juego específico de permisos y operaciones de API (por ejemplo, ListCompartments, GetCompartment). Para obtener más ejemplos, consulte Detalles de combinaciones de verbo + tipo de recurso. La referencia de política de servicio detallada incluye una tabla similar para cada servicio, lo que le proporciona una lista de las operaciones exactamente de API para cada combinación de verbo y tipo de recurso.
Existen algunas excepciones o matices especiales para ciertos tipos de recursos.
Usuarios: el acceso a la manage users y a la manage groups permite realizar cualquier actividad con usuarios y grupos, incluidas la creación y eliminación de usuarios y grupos, así como de la agregación/eliminación de usuarios de los grupos. Para agregar/eliminar usuarios de los grupos sin acceso a la creación y la supresión de usuarios y grupos, solo se necesita use users y use groups. Consulte Plantillas de política de Policy Builder.
Políticas: la capacidad para actualizar una política solo está disponible con manage policies, no use policies, porque el proceso de actualización de una política es similar a la creación de una nueva política (puede sobrescribir las instrucciones de política existentes). Además, inspect policies le permite obtener el contenido completo de las políticas.
Objetos de Object Storage: inspect objects permite mostrar todos los objetos de un cubo y realizar una operación HEAD para un objeto determinado. En comparación, read objects le permite descargar el objeto en sí.
Recursos de Load Balancer: Tenga en cuenta que inspect load-balancers permite obtener toda la información sobre los equilibradores de carga y los componentes relacionados (conjuntos de backend, etc.).
Recursos de red:
Tenga en cuenta que el verbo inspect no solo devuelve información general sobre los componentes de la red en la nube (por ejemplo, el nombre y el OCID de una lista de seguridad o de una tabla de rutas). También incluye el contenido del componente (por ejemplo, las reglas reales en la lista de seguridad, las rutas en la tabla de rutas, etc.).
Además, los siguientes tipos de capacidades están disponibles solo con el verbo manage, no con el verbo use:
- Actualizar (activar/desactivar)
internet-gateways - Actualizar
security-lists - Actualizar
route-tables - Actualizar
dhcp-options - Asociar un gateway de direccionamiento dinámico (DRG) a una red Virtual en la Nube (VCN)
- Crear una conexión de IPSec entre un equipo de DRG y equipos locales de cliente (CPE)
- VCN de peers
Cada VCN tiene varios componentes que afectan directamente al comportamiento de la red (tablas de rutas, listas de seguridad, opciones DHCP, gateway de Internet, etc.). Cuando crea uno de estos componentes, establece una relación entre dicho componente y la VCN, lo que significa que debe estar autorizado en una política tanto para crear el componente como para gestionar la VCN. Sin embargo, la capacidad de realizar actualizar dicho componente (cambiar las reglas de ruta, las reglas de las listas de seguridad, etc.) no requiere permiso para gestionar la propia VCN en sí, aunque al cambiar dicho componente pueda afectar directamente al comportamiento de la red. Esta discrepancia está diseñada para proporcionarle flexibilidad a la hora a la que otorgar menos privilegios a los usuarios y no tenga que otorgar acceso excesivo a la VCN para que el usuario pueda gestionar otros componentes de la red. Tenga en cuenta que, al concederle a alguien la posibilidad de actualizar un tipo de componente en particular, está confiándole implícitamente el control del comportamiento de la red.