Documentación de Oracle Cloud Infrastructure

Escritura de sentencias de política con el creador de políticas

Trabajar con el creador de políticas.

El creador de políticas de la consola ayuda a crear rápidamente políticas comunes sin necesidad de escribir manualmente las sentencias de política. El creador de políticas sugiere automáticamente los permisos que un administrador puede otorgar a grupos de usuarios o recursos de su arrendamiento, así como a recursos de destino como instancias, redes y cubos. La mayoría de las políticas sugeridas en el creador de políticas también se pueden encontrar en Políticas comunes, donde puede obtener más detalles sobre el acceso que proporciona cada política y los casos de uso de cada una. Los usuarios que no necesiten las sugerencias que ofrece el creador de políticas o que tienen requisitos de política más complejos pueden omitir la opción básica del creador e ir directamente al editor avanzado, donde pueden introducir directamente las sentencias de política en un cuadro de texto de formato libre.

Funciones del creador de políticas

El creador de políticas proporciona plantillas de políticas que puede completar para crear políticas para su arrendamiento. Una plantilla de política incluye todas las sentencias necesarias para proporcionar los permisos requeridos para realizar una tarea o un juego de tareas relacionadas en un servicio en OCI. Para completar la plantilla, seleccione el grupo en un menú de grupos existentes en el arrendamiento y seleccione la ubicación en una lista de compartimentos del arrendamiento.

Las plantillas de políticas del creador de políticas se agrupan por caso de uso, como la gestión de red, la gestión de almacenamiento y la gestión de cuentas, para que sea fácil examinarlas y buscar el juego de permisos que necesita.

Por ejemplo, supongamos que va a configurar los administradores de red de su arrendamiento. Debe otorgar a un grupo de usuarios los permisos necesarios para trabajar con todos los recursos del servicio Networking. Para crear esta política en el creador de políticas:

  • En primer lugar, busque la política que desee: en el menú Casos de uso de política, seleccione Gestión de red. Si no está seguro del caso de uso al que pertenece una política, puede dejar esta opción definida en Todo para examinar todas las plantillas.
  • En el menú Plantillas de políticas comunes, seleccione Permitir a los administradores de red gestionar una red en la nube.

    El creador de políticas mostrará las sentencias de política que se crearán. En este caso, solo hay una sentencia:

    Allow {group name} to manage virtual-network-family in {location}
  • A continuación, todo lo que debe hacer es seleccionar el dominio de identidad y el grupo para la política: al seleccionar un grupo, {group name} en la sentencia de política mostrada también se actualiza con la selección.
  • Por último, seleccione la ubicación. Puede recorrer la jerarquía de compartimentos para buscar y seleccionar el compartimento adecuado. Para crear la política en el arrendamiento, seleccione el compartimento raíz.

Personalización de políticas

Si descubre que una plantilla no se ajusta exactamente a sus necesidades, puede personalizar las políticas proporcionadas agregando sentencias, eliminando sentencias, agregando condiciones u otros cambios para crear la política que necesita. Haga clic en Mostrar editor manual para editar las sentencias en un cuadro de texto de formato libre. Al introducir sentencias directamente en el cuadro de texto, asegúrese de seguir las reglas descritas en Sintaxis de políticas.

Ejemplos de personalización de la política de administradores de red:

  • Debe incluir otro grupo (del dominio de identidad por defecto), GroupB, para esta política. Para agregar un grupo:

    Haga clic en Mostrar editor manual. En el cuadro de texto, escriba los cambios en la política (siguiendo la sintaxis necesaria). 

    Allow group 'Default'/'GroupA', 'Default'/'GroupB' to manage virtual-network-family in compartment CompartmentA

    En esta imagen se muestra el cuadro de texto del creador de políticas avanzado con la sentencia editada

    Nota

    Si solo incluye el nombre de grupo sin un dominio de identidad, el creador de políticas asume que el grupo está en el dominio de identidad por defecto.
  • Necesita agregar una condición a la sentencia. Por ejemplo, desea asegurarse de que solo los usuarios verificados por MFA puedan gestionar sus redes. Puede agregar esa condición a la sentencia de la siguiente manera:
    Allow group GroupA to manage virtual-network-family in compartment CompartmentA where request.user.mfaTotpVerified='true'
  • Necesita agregar otra sentencia a la política. Por ejemplo, desea que se permita a GroupA utilizar instancias. Para agregar otra sentencia, introdúzcala en la siguiente línea:
    Allow group GroupA to manage virtual-network-family in compartment CompartmentA
Allow group GroupA to use instance-family in compartment CompartmentA

Edición de políticas con el creador de políticas

Después de crear la política, puede introducir cualquier cambio de sentencia que necesite realizar directamente en el texto de la política. El selector de plantillas solo está disponible cuando se crea una nueva política. El editor le permite suprimir, agregar, editar o cambiar el orden de las sentencias.