Detalles para el servicio File Storage

En este tema, se tratan los detalles de la escritura de políticas para controlar el acceso al servicio File Storage.

Tipo de recurso agregado

  • file-family

Tipos de recursos Individuales

  • file-systems
  • mount-targets
  • export-sets

Comentarios

Una política que utiliza <verb> file-family equivale a escribir una política con una sentencia <verb> <individual resource-type> independiente para cada uno de los tipos de recursos individuales.

Consulte en la tabla Detalles de combinaciones de verbo + tipo de recurso los detalles de las operaciones de API que cubre cada verbo para cada tipo de recurso individual incluido en file-family.

Detalles de combinaciones de verbo + tipo de recurso

En las siguientes tablas, se muestran los permisos y las operaciones de API que abarca cada verbo. El nivel de acceso es acumulativo al recorrer la progresión inspect > read > use > manage. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda directamente por encima, mientras que "no extra" indica que no hay acceso incremental.

Por ejemplo, el verbo read para el tipo de recurso file-systems incluye los mismos permisos y operaciones de API que el verbo inspect, además del permiso FILE_SYSTEM_READ y una serie de operaciones de API (p. ej., GetFileSystem, ListMountTargets, etc.). El verbo use abarca otro permiso y juego de operaciones de API en comparación con read. Por último, manage abarca dos permisos y operaciones más en comparación con use.

export-sets
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

EXPORT_SET_INSPECT

ListExportSets

ninguna

read

INSPECT +

EXPORT_SET_READ

INSPECT +

GetExport

GetExportSet

ListExports

ninguna

use

no extra

no extra

ninguna

manage

USE +

EXPORT_SET_CREATE

EXPORT_SET_UPDATE

EXPORT_SET_DELETE

USE +

CreateExportSet

UpdateExportSet

DeleteExportSet

CreateExport

DeleteExport

(también necesitan use file-systems)

file-systems
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

FILE_SYSTEM_INSPECT

ListFileSystems

ninguna

read

INSPECT +

FILE_SYSTEM_READ

INSPECT +

GetFileSystem

GetSnapshot

ListSnapshots

ninguna

use

READ +

FILE_SYSTEM_NFSv3_EXPORT

FILE_SYSTEM_NFSv3_UNEXPORT

FILE_SYSTEM_CLONE

no extra

DeleteExport

(también necesitan manage export-sets)

manage

USE +

FILE_SYSTEM_CREATE

FILE_SYSTEM_UPDATE

FILE_SYSTEM_DELETE

FILE_SYSTEM_MOVE

FILE_SYSTEM_CREATE_SNAPSHOT

FILE_SYSTEM_DELETE_SNAPSHOT

FILE_SYSTEM_CLONE

USE +

CreateFileSystem

UpdateFileSystem

DeleteFileSystem

ChangeFileSystemCompartment

CreateSnapshot

DeleteSnapshot

 

Si crea un sistema de archivos o un clon cifrado con una clave de cifrado maestra de Key Management, también se necesita use key-delegate (para el emisor de llamada) y read keys (para el principal de servicio). Para obtener más información, consulte Detalles para el servicio Vault.

La clonación de un sistema de archivos utiliza la API CreateFileSystem y necesita FILE_SYSTEM_CLONE.

mount-targets
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

MOUNT_TARGET_INSPECT

ListMountTargets

ninguna

read

INSPECT +

MOUNT_TARGET_READ

INSPECT +

GetMountTarget

ninguna

use

no extra

no extra

ninguna

manage

USE +

MOUNT_TARGET_CREATE

MOUNT_TARGET_UPDATE

MOUNT_TARGET_DELETE

MOUNT_TARGET_MOVE

USE +

CreateMountTarget,

DeleteMountTarget

(también necesitan use vnics, use private-ips y use subnets)

ChangeMountTargetCompartment

 

Permisos necesarios para cada operación de API

En la siguiente tabla, se muestran las operaciones de API en un orden lógico, agrupadas por tipo de recurso.

Consejo

Si un grupo utiliza la consola para crear sistemas de archivos, se necesitan permisos para leer destinos de montaje. Consulte los ejemplos de políticas de almacenamiento de archivos para obtener más información.

Para obtener más información sobre los permisos, consulte Permisos.

Operación de API Permisos necesarios para utilizar la operación
ListExports EXPORT_SET_READ
CreateExport EXPORT_SET_UPDATE + FILE_SYSTEM_NFSv3_EXPORT
GetExport EXPORT_SET_READ
DeleteExport EXPORT_SET_UPDATE + FILE_SYSTEM_NFSv3_UNEXPORT
ListExportSets EXPORT_SET_INSPECT
CreateExportSet EXPORT_SET_CREATE
GetExportSet EXPORT_SET_READ
UpdateExportSet EXPORT_SET_UPDATE
DeleteExportSet EXPORT_SET_DELETE
ListFileSystems FILE_SYSTEM_INSPECT
CreateFileSystem FILE_SYSTEM_CREATE

La clonación de un sistema de archivos también requiere FILE_SYSTEM_CLONE

GetFileSystem FILE_SYSTEM_READ
UpdateFileSystem FILE_SYSTEM_UPDATE
DeleteFileSystem FILE_SYSTEM_DELETE
ChangeFileSystemCompartment FILE_SYSTEM_MOVE
ListMountTargets MOUNT_TARGET_INSPECT
CreateMountTarget MOUNT_TARGET_CREATE + VNIC_CREATE(vnicCompartment) + SUBNET_ATTACH(subnetCompartment) + VNIC_ATTACH(vnicCompartment) + PRIVATE _IP_CREATE(subnetCompartment) + PRIVATE_IP_ASSIGN(subnetCompartment) + VNIC_ASSIGN(subnetCompartment)
GetMountTarget MOUNT_TARGET_READ
UpdateMountTarget MOUNT_TARGET_UPDATE
DeleteMountTarget

MOUNT_TARGET_DELETE +

VNIC_DELETE(vnicCompartment) +

SUBNET_DETACH(subnetCompartment) +

VNIC_DETACH(vnicCompartment) +

PRIVATE_IP_DELETE(subnetCompartment) +

PRIVATE_IP_UNASSIGN(subnetCompartment) +

VNIC_UNASSIGN(vnicCompartment)

ChangeMountTargetCompartment MOUNT_TARGET_MOVE
ListSnapshots FILE_SYSTEM_READ
CreateSnapshot FILE_SYSTEM_CREATE_SNAPSHOT
GetSnapshot FILE_SYSTEM_READ
DeleteSnapshot FILE_SYSTEM_DELETE_SNAPSHOT