Detalles de Resource Manager

Revise los detalles de la escritura de políticas para controlar el acceso al servicio Resource Manager.

Tipo de recurso agregado

orm-family

Tipos de recursos Individuales

orm-config-source-providers

orm-jobs

orm-private-endpoints

orm-stacks

orm-template

orm-work-requests

Variables soportadas

Resource Manager soporta todas las variables generales (consulte Variables generales para todas las solicitudes), además de las que se muestran aquí.

El tipo de recurso orm-jobs puede utilizar las siguientes variables.

Variable Tipo de variable Comentarios
target.job.operation Cadena

Utilice esta variable con el fin de controlar el acceso para ejecutar tipos de trabajo especificados. Por ejemplo, para limitar el acceso a trabajos PLAN y APPLY, utilice la siguiente frase: where any {target.job.operation = 'PLAN', target.job.operation = 'APPLY'}

target.stack.id Cadena Utilice esta variable para limitar el acceso a las pilas especificadas. Por ejemplo, utilice la frase siguiente: where any {target.stack.id = ocid1.ormstack.uniqueid1, target.stack.id = ocid1.ormstack.uniqueid2}

Detalles de combinaciones de verbo + tipo de recurso

En las siguientes tablas, se muestran los permisos y las operaciones de API que abarca cada verbo. El nivel de acceso es acumulativo al recorrer la progresión inspect > read > use > manage. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda directamente por encima, mientras que "no extra" indica que no hay acceso incremental..

orm-config-source-providers
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

ORM_CONFIG_SOURCE_PROVIDER_INSPECT

ListConfigurationSourceProviders

ninguna

read

INSPECT +

ORM_CONFIG_SOURCE_PROVIDER_READ

GetConfigurationSourceProvider CreateStack: al crear pilas que utilizan proveedores de origen de configuración (valor configSourceType GIT_CONFIG_SOURCE), también se necesita manage orm-stacks
use

READ +

no extra

no extra

ninguna

manage

USE +

ORM_CONFIG_SOURCE_PROVIDER_CREATE

ORM_CONFIG_SOURCE_PROVIDER_UPDATE

ORM_CONFIG_SOURCE_PROVIDER_MOVE

ORM_CONFIG_SOURCE_PROVIDER_DELETE

CreateConfigurationSourceProvider

UpdateConfigurationSourceProvider

ChangeConfigurationSourceProviderCompartment

DeleteConfigurationSourceProvider

ninguna

orm-jobs
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

ORM_JOB_INSPECT

ListJobs

ninguna

read

INSPECT +

ORM_JOB_READ

GetJob

GetJobTfState

GetJobTfConfig

GetJobTfPlan

GetJobLogs

GetJobLogsContent

ninguna

use

READ +

no extra

no extra

ninguna

manage

USE +

ORM_JOB_MANAGE

UpdateJob

CancelJob

CreateJob (también necesita use orm-stacks)
orm-private-endpoints
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect ORM_PRIVATE_ENDPOINT_INSPECT ListPrivateEndpoints

ninguna

read

INSPECT +

ORM_PRIVATE_ENDPOINT_READ

GetPrivateEndpoint

GetReachableIp

ninguna

use

READ +

ORM_PRIVATE_ENDPOINT_UPDATE

UpdatePrivateEndpoint

ninguna

manage

USE +

ORM_PRIVATE_ENDPOINT_CREATE

ORM_PRIVATE_ENDPOINT_DELETE

ORM_PRIVATE_ENDPOINT_MOVE

ChangePrivateEndpointCompartment

CreatePrivateEndpoint

DeletePrivateEndpoint

ninguna

orm-stacks
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

ORM_STACK_INSPECT

ListResourceDiscoveryServices

ListStacks

ListTerraformVersions

ninguna

read

INSPECT +

ORM_STACK_READ

GetStack

GetStackTfConfig

GetStackTfState

ListStackResourceDriftDetails

ninguna

use

READ +

ORM_STACK_USE

no extra

CreateJob (también necesita manage orm-jobs)
manage

USE +

ORM_STACK_CREATE

ORM_STACK_UPDATE

ORM_STACK_MOVE

ORM_STACK_DELETE

CreateStack (a menos que se utilicen proveedores de origen de configuración)

UpdateStack

ChangeStackCompartment

DeleteStack

DetectStateDrift

ListTerraformVersions

CreateStack: al crear pilas que utilizan proveedores de origen de configuración (valor configSourceType GIT_CONFIG_SOURCE), también se necesita read orm-config-source-providers
orm-template
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect ORM_TEMPLATE_INSPECT ListTemplates

ninguna

read

INSPECT +

ORM_TEMPLATE_READ

GetTemplate

GetTemplateLogo

GetTemplateTfConfig

ninguna

use

READ +

ORM_TEMPLATE_UPDATE

UpdateTemplate

ninguna

manage

USE +

ORM_TEMPLATE_CREATE

ORM_TEMPLATE_DELETE

ORM_TEMPLATE_MOVE

ChangeTemplateCompartment

CreateTemplate

DeleteTemplate

ninguna

orm-work-requests
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

ORM_WORK_REQUEST_INSPECT

ListWorkRequests

ninguna

read

INSPECT +

ORM_WORK_REQUEST_READ

ListWorkRequestErrors

ListWorkRequestLogs

GetWorkRequest

ninguna

use

READ +

no extra

no extra

ninguna

manage

USE +

no extra

no extra

ninguna

Permisos necesarios para cada operación de API

En la siguiente tabla, se muestran las operaciones de API en orden alfabético.

Para obtener más información sobre los permisos, consulte Permisos.

Operación de API Permisos necesarios para utilizar la operación
CancelJob ORM_JOB_MANAGE
ChangeConfigurationSourceProviderCompartment ORM_CONFIG_SOURCE_PROVIDER_MOVE
ChangePrivateEndpointCompartment ORM_PRIVATE_ENDPOINT_MOVE
ChangeStackCompartment ORM_STACK_MOVE
ChangeTemplateCompartment ORM_TEMPLATE_MOVE
CreateConfigurationSourceProvider ORM_CONFIG_SOURCE_PROVIDER_CREATE
CreateJob ORM_JOB_MANAGE y ORM_STACK_USE
CreatePrivateEndpoint ORM_PRIVATE_ENDPOINT_CREATE
CreateStack

ORM_STACK_CREATE si no se utilizan proveedores de origen de configuración.

Si se utilizan proveedores de origen de configuración (valor configSourceType GIT_CONFIG_SOURCE), también se necesita read orm-config-source-providers

CreateTemplate ORM_TEMPLATE_CREATE
DeleteConfigurationSourceProvider ORM_CONFIG_SOURCE_PROVIDER_DELETE
DeletePrivateEndpoint ORM_PRIVATE_ENDPOINT_DELETE
DeleteStack ORM_STACK_DELETE
DeleteTemplate ORM_TEMPLATE_DELETE
DetectStateDrift ORM_STACK_UPDATE
GetConfigurationSourceProvider ORM_CONFIG_SOURCE_PROVIDER_READ
GetJob ORM_JOB_READ
GetJobLogs ORM_JOB_READ
GetJobLogsContent ORM_JOB_READ
GetJobTfConfig ORM_JOB_READ
GetJobTfPlan ORM_JOB_READ
GetJobTfState ORM_JOB_READ
GetPrivateEndpoint ORM_PRIVATE_ENDPOINT_READ
GetReachableIp ORM_PRIVATE_ENDPOINT_READ
GetStack ORM_STACK_READ
GetStackTfConfig ORM_STACK_READ
GetStackTfState ORM_STACK_READ
GetTemplate ORM_TEMPLATE_READ
GetTemplateLogo ORM_TEMPLATE_READ
GetTemplateTfConfig ORM_TEMPLATE_READ
GetWorkRequest ORM_WORK_REQUEST_READ
ListConfigurationSourceProviders ORM_CONFIG_SOURCE_PROVIDER_INSPECT
ListJobs ORM_JOB_INSPECT
ListPrivateEndpoints ORM_PRIVATE_ENDPOINT_INSPECT
ListResourceDiscoveryServices ORM_STACK_INSPECT
ListStackResourceDriftDetails ORM_STACK_READ
ListStacks ORM_STACK_INSPECT
ListTemplateCategories Ninguno
ListTemplates ORM_TEMPLATE_INSPECT
ListTerraformVersions ORM_STACK_INSPECT
ListWorkRequestErrors ORM_WORK_REQUEST_READ
ListWorkRequestLogs ORM_WORK_REQUEST_READ
ListWorkRequests ORM_WORK_REQUEST_INSPECT
UpdateConfigurationSourceProvider ORM_CONFIG_SOURCE_PROVIDER_UPDATE
UpdateJob ORM_JOB_MANAGE
UpdatePrivateEndpoint ORM_PRIVATE_ENDPOINT_UPDATE
UpdateStack ORM_STACK_UPDATE
UpdateTemplate ORM_TEMPLATE_UPDATE