Detalles de Resource Manager

Revise los detalles de la escritura de políticas para controlar el acceso al servicio Resource Manager.

Tipo de recurso agregado

orm-family

Tipos de recursos Individuales

orm-config-source-providers

orm-jobs

orm-private-endpoints

orm-stacks

orm-template

orm-work-requests

Variables soportadas

Resource Manager soporta todas las variables generales (consulte Variables generales para todas las solicitudes), además de las que se muestran aquí.

El tipo de recurso orm-jobs puede utilizar las siguientes variables.


Variable	Tipo de variable	Comentarios
`target.job.operation`	Cadena	Utilice esta variable con el fin de controlar el acceso para ejecutar tipos de trabajo especificados. Por ejemplo, para limitar el acceso a trabajos PLAN y APPLY, utilice la siguiente frase: `where any {target.job.operation = 'PLAN', target.job.operation = 'APPLY'}`
`target.stack.id`	Cadena	Utilice esta variable para limitar el acceso a las pilas especificadas. Por ejemplo, utilice la frase siguiente: `where any {target.stack.id = ocid1.ormstack.uniqueid1, target.stack.id = ocid1.ormstack.uniqueid2}`

Detalles de combinaciones de verbo + tipo de recurso

En las siguientes tablas, se muestran los permisos y las operaciones de API que abarca cada verbo. El nivel de acceso es acumulativo al recorrer la progresión inspect > read > use > manage. Por ejemplo, un grupo que puede utilizar un recurso también puede inspeccionar y leer ese recurso. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda directamente por encima, mientras que "no extra" indica que no hay acceso incremental..

orm-config-source-providers


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	`ORM_CONFIG_SOURCE_PROVIDER_INSPECT`	`ListConfigurationSourceProviders`	ninguna
read	`INSPECT +` `ORM_CONFIG_SOURCE_PROVIDER_READ`	`GetConfigurationSourceProvider`	`CreateStack`: al crear pilas que utilizan proveedores de origen de configuración (valor `configSourceType` `GIT_CONFIG_SOURCE`), también se necesita `manage orm-stacks`
use	`READ +` no extra	no extra	ninguna
manage	`USE +` `ORM_CONFIG_SOURCE_PROVIDER_CREATE` `ORM_CONFIG_SOURCE_PROVIDER_UPDATE` `ORM_CONFIG_SOURCE_PROVIDER_MOVE` `ORM_CONFIG_SOURCE_PROVIDER_DELETE`	`CreateConfigurationSourceProvider` `UpdateConfigurationSourceProvider` `ChangeConfigurationSourceProviderCompartment` `DeleteConfigurationSourceProvider`	ninguna

orm-jobs


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	`ORM_JOB_INSPECT`	`ListJobs`	ninguna
read	`INSPECT +` `ORM_JOB_READ`	`GetJob` `GetJobTfState` `GetJobTfConfig` `GetJobTfPlan` `GetJobLogs` `GetJobLogsContent` `ListJobAssociatedResources` `ListJobOutputs`	ninguna
use	`READ +` no extra	no extra	ninguna
manage	`USE +` `ORM_JOB_MANAGE`	`UpdateJob` `CancelJob`	`CreateJob` (también necesita `use orm-stacks`)

orm-private-endpoints


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	`ORM_PRIVATE_ENDPOINT_INSPECT`	`ListPrivateEndpoints`	ninguna
read	`INSPECT +` `ORM_PRIVATE_ENDPOINT_READ`	`GetPrivateEndpoint` `GetReachableIp`	ninguna
use	`READ +` `ORM_PRIVATE_ENDPOINT_UPDATE`	`UpdatePrivateEndpoint`	ninguna
manage	`USE +` `ORM_PRIVATE_ENDPOINT_CREATE` `ORM_PRIVATE_ENDPOINT_DELETE` `ORM_PRIVATE_ENDPOINT_MOVE`	`ChangePrivateEndpointCompartment` `CreatePrivateEndpoint` `DeletePrivateEndpoint`	ninguna

orm-stacks


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	`ORM_STACK_INSPECT`	`ListResourceDiscoveryServices` `ListStacks` `ListTerraformVersions`	ninguna
read	`INSPECT +` `ORM_STACK_READ`	`GetStack` `GetStackTfConfig` `GetStackTfState` `ListStackAssociatedResources` `ListStackResourceDriftDetails`	ninguna
use	`READ +` `ORM_STACK_USE`	no extra	`CreateJob` (también necesita `manage orm-jobs`)
manage	`USE +` `ORM_STACK_CREATE` `ORM_STACK_UPDATE` `ORM_STACK_MOVE` `ORM_STACK_DELETE`	`CreateStack` (a menos que se utilicen proveedores de origen de configuración) `UpdateStack` `ChangeStackCompartment` `DeleteStack` `DetectStateDrift` `ListTerraformVersions`	`CreateStack`: al crear pilas que utilizan proveedores de origen de configuración (valor `configSourceType` `GIT_CONFIG_SOURCE`), también se necesita `read orm-config-source-providers`

orm-template


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	`ORM_TEMPLATE_INSPECT`	`ListTemplates`	ninguna
read	`INSPECT +` `ORM_TEMPLATE_READ`	`GetTemplate` `GetTemplateLogo` `GetTemplateTfConfig`	ninguna
use	`READ +` `ORM_TEMPLATE_UPDATE`	`UpdateTemplate`	ninguna
manage	`USE +` `ORM_TEMPLATE_CREATE` `ORM_TEMPLATE_DELETE` `ORM_TEMPLATE_MOVE`	`ChangeTemplateCompartment` `CreateTemplate` `DeleteTemplate`	ninguna

orm-work-requests


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	`ORM_WORK_REQUEST_INSPECT`	`ListWorkRequests`	ninguna
read	`INSPECT +` `ORM_WORK_REQUEST_READ`	`ListWorkRequestErrors` `ListWorkRequestLogs` `GetWorkRequest`	ninguna
use	`READ +` no extra	no extra	ninguna
manage	`USE +` no extra	no extra	ninguna

Permisos necesarios para cada operación de API

En la siguiente tabla, se muestran las operaciones de API en orden alfabético.

Para obtener más información sobre los permisos, consulte Permisos.


Operación de API	Permisos necesarios para utilizar la operación
`CancelJob`	`ORM_JOB_MANAGE`
`ChangeConfigurationSourceProviderCompartment`	`ORM_CONFIG_SOURCE_PROVIDER_MOVE`
`ChangePrivateEndpointCompartment`	`ORM_PRIVATE_ENDPOINT_MOVE`
`ChangeStackCompartment`	`ORM_STACK_MOVE`
`ChangeTemplateCompartment`	`ORM_TEMPLATE_MOVE`
`CreateConfigurationSourceProvider`	`ORM_CONFIG_SOURCE_PROVIDER_CREATE`
`CreateJob`	`ORM_JOB_MANAGE and ORM_STACK_USE`
`CreatePrivateEndpoint`	`ORM_PRIVATE_ENDPOINT_CREATE`
`CreateStack`	`ORM_STACK_CREATE` si no se utilizan proveedores de origen de configuración. Si se utilizan proveedores de origen de configuración (valor `configSourceType` `GIT_CONFIG_SOURCE`), también se necesita `ORM_CONFIG_SOURCE_PROVIDER_READ`
`p`	`ORM_TEMPLATE_CREATE`
`DeleteConfigurationSourceProvider`	`ORM_CONFIG_SOURCE_PROVIDER_DELETE`
`DeletePrivateEndpoint`	`ORM_PRIVATE_ENDPOINT_DELETE`
`DeleteStack`	`ORM_STACK_DELETE`
`DeleteTemplate`	`ORM_TEMPLATE_DELETE`
`DetectStackDrift`	`ORM_STACK_UPDATE`
`GetConfigurationSourceProvider`	`ORM_CONFIG_SOURCE_PROVIDER_READ`
`GetJob`	`ORM_JOB_READ`
`GetJobLogs`	`ORM_JOB_READ`
`GetJobLogsContent`	`ORM_JOB_READ`
`GetJobTfConfig`	`ORM_JOB_READ`
`GetJobTfPlan`	`ORM_JOB_READ`
`GetJobTfState`	`ORM_JOB_READ`
`GetPrivateEndpoint`	`ORM_PRIVATE_ENDPOINT_READ`
`GetReachableIp`	`ORM_PRIVATE_ENDPOINT_READ`
`GetStack`	`ORM_STACK_READ`
`GetStackTfConfig`	`ORM_STACK_READ`
`GetStackTfState`	`ORM_STACK_READ`
`GetTemplate`	`ORM_TEMPLATE_READ`
`GetTemplateLogo`	`ORM_TEMPLATE_READ`
`GetTemplateTfConfig`	`ORM_TEMPLATE_READ`
`GetWorkRequest`	`ORM_WORK_REQUEST_READ`
`ListConfigurationSourceProviders`	`ORM_CONFIG_SOURCE_PROVIDER_INSPECT`
`ListJobAssociatedResources`	`ORM_JOB_READ`
`ListJobOutputs`	`ORM_JOB_READ`
`ListJobs`	`ORM_JOB_INSPECT`
`ListPrivateEndpoints`	`ORM_PRIVATE_ENDPOINT_INSPECT`
`ListResourceDiscoveryServices`	`ORM_STACK_INSPECT`
`ListStackAssociatedResources`	`ORM_STACK_READ`
`ListStackResourceDriftDetails`	`ORM_STACK_READ`
`ListStacks`	`ORM_STACK_INSPECT`
`ListTemplateCategories`	Ninguno
`ListTemplates`	`ORM_TEMPLATE_INSPECT`
`ListTerraformVersions`	`ORM_STACK_INSPECT`
`ListWorkRequestErrors`	`ORM_WORK_REQUEST_READ`
`ListWorkRequestLogs`	`ORM_WORK_REQUEST_READ`
`ListWorkRequests`	`ORM_WORK_REQUEST_INSPECT`
`UpdateConfigurationSourceProvider`	`ORM_CONFIG_SOURCE_PROVIDER_UPDATE`
`UpdateJob`	`ORM_JOB_MANAGE`
`UpdatePrivateEndpoint`	`ORM_PRIVATE_ENDPOINT_UPDATE`
`UpdateStack`	`ORM_STACK_UPDATE`
`UpdateTemplate`	`ORM_TEMPLATE_UPDATE`