Documentación de Oracle Cloud Infrastructure

Políticas de Acceso entre Arrendamientos

Utilice sentencias de política entre arrendamientos para crear políticas de IAM que funcionen entre arrendamientos.

Puede crear sentencias de política entre arrendamientos, además de las sentencias de política de servicio y usuario necesarias, para compartir recursos con otra organización que tenga su propio arrendamiento. Esa organización puede ser otra unidad de negocio de su compañía, un cliente de compañía, una compañía que presta servicios a su compañía, etcétera.

Para acceder a los recursos y compartirlos, los administradores de ambos arrendamientos deben crear sentencias de política especiales que determinen de forma explícita los recursos que se pueden compartir y a los que se puede acceder. Estas sentencias especiales usan las palabras Define, Endorse y Admit.

Sentencias Endorse, Admit y Define

Utilice las siguientes palabras de inicio especiales en sentencias entre arrendamientos:

  • Endorse: determina el juego general de capacidades que un grupo de su propio arrendamiento puede realizar en otros arrendamientos. La sentencia Endorse siempre corresponde al arrendamiento que contiene el grupo de usuarios y que cruzan los límites para trabajar con los recursos de otro arrendamiento. En los ejemplos, este arrendamiento se denomina arrendamiento de origen.
  • Admit: determina el tipo de capacidad de su propio arrendamiento que desea otorgar a un grupo del otro arrendamiento. La sentencia Admit corresponde al arrendamiento con el que se otorga "admisión" al arrendamiento. La sentencia Admit identifica el grupo de usuarios que necesitan acceso a recursos desde el arrendamiento del origen y que se identifica con una sentencia Endorse correspondiente. En los ejemplos, este arrendamiento se denomina arrendamiento de destino.

  • Define: asigna un alias a un OCID de arrendamiento para las sentencias de política Endorse y Admit. También se necesita la sentencia Define en el arrendamiento de destino para asignar un alias al OCID del grupo de IAM de origen para las sentencias Admit.

    Incluya una sentencia Define en la misma sentencia de política que la sentencia de política Endorse o Admit.

Las sentencias Endorse y Admit funcionan juntas. Una sentencia Endorse reside en el arrendamiento de origen y una sentencia Admit reside en el arrendamiento de destino. Sin una sentencia correspondiente que especifique el acceso, una sentencia Endorse o Admit en particular no otorga acceso. Ambos arrendamientos deben aceptar el acceso.

Importante

Además de las sentencias de política, los arrendamientos de origen y destino deben suscribirse a las mismas regiones para compartir recursos.

Ejemplos entre arrendamientos

  • La siguiente política permite al grupo StorageAdmins gestionar recursos en los recursos de Object Storage del arrendamiento de destino:

    Endorse group StorageAdmins to manage object-family in any-tenancy

    Las siguientes sentencias de política avalan el grupo de IAM StorageAdmins del arrendamiento de origen para realizar cualquier acción con todos los recursos de Object Storage de su arrendamiento de destino:

    Define tenancy SourceTenancy as ocid1.tenancy.oc1.exampleuniqueID
Define group StorageAdmins as ocid1.group.oc1.exampleuniqueID
Admit group StorageAdmins of tenancy SourceTenancy to manage object-family in tenancy

  • Para escribir una política que reduzca el ámbito de acceso del arrendamiento, el administrador del origen debe Hacer referencia al OCID del arrendamiento de destino proporcionado por el administrador del destino. Las siguientes sentencias de política avalan el grupo StorageAdmins de IAM para gestionar recursos de Object Storage solo en DestinationTenancy:

    Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group StorageAdmins to manage object-family in tenancy DestinationTenancy

    Estas instrucciones de política de ejemplo avalan el grupo StorageAdmins de IAM en el arrendamiento de origen para gestionar recursos de Object Storage solo en el compartimento SharedBuckets:

    Define tenancy SourceTenancy as ocid1.tenancy.oc1..exampleuniqueID
Define group StorageAdmins as ocid1.group.oc1..exampleuniqueID
Admit group StorageAdmins of tenancy SourceTenancy to manage object-family in compartment SharedBuckets