Documentación de Oracle Cloud Infrastructure

Control de acceso

En este tema se ofrece información básica sobre el uso de compartimientos  y políticas de IAM para controlar el acceso a su red en la nube.

Los compartimientos y la red en la nube

Cada vez que cree un recurso en la nube, como una red virtual en la nube (VCN) o una instancia de recursos informáticos, debe especificar el compartimiento de IAM en el que desea que se encuentre el recurso. Un compartimiento es una recopilación de recursos relacionados a los que solo pueden acceder determinados grupos que han obtenido permiso de un administrador de la organización. El administrador crea compartimentos y las políticas de IAM correspondientes para controlar qué usuarios de la organización acceden a qué compartimentos. En última instancia, el objetivo es garantizar que cada persona solo pueda acceder a los recursos que necesita.

Si su compañía está empezando a probar Oracle Cloud Infrastructure, solo unas cuantas personas tendrán la necesidad de crear y gestionar la VCN y sus componentes, de iniciar instancias en la VCN, y de asociar volúmenes de almacenamiento de bloques a dichas instancias. Dichas personas necesitan acceder a todos estos recursos, por lo que todos estos podrían estar en el mismo compartimiento.

En un entorno de producción empresarial con una VCN, la compañía puede utilizar varios compartimentos para controlar más fácilmente el acceso a determinados tipos de recursos. Por ejemplo, el administrador podría crear el compartimiento A para la VCN y otros componentes de red. Acto seguido, podría crear el compartimiento B para todas las instancias de recursos informáticos y los volúmenes de almacenamiento de bloques utilizados por la organización de Recursos Humanos, y el compartimiento C para todas las instancias y volúmenes de almacenamiento de bloques utilizados por la organización de marketing. A continuación, el administrador crearía políticas de IAM que proporcionarán a los usuarios solo el nivel de acceso que necesiten en cada compartimiento. Pongamos por caso que el administrador de la instancia de Recursos Humanos no tiene permiso para modificar la red en la nube existente. En este supuesto, tendría permisos totales para el compartimiento B, pero un acceso limitado al compartimiento A (solo los necesarios para iniciar instancias en la red). Si intentara modificar otros recursos en el compartimiento A, se le denegaría esa solicitud.

Los recursos de red, tales como las VCN, las subredes, las tablas de rutas, las listas de seguridad, los gateways de servicio, los gateways de NAT, las conexiones VPN y las conexiones de FastConnect se pueden mover de un compartimiento a otro. Cuando mueve un recurso a un nuevo compartimiento, las políticas inherentes se aplican inmediatamente.

Para obtener más información sobre los compartimentos y cómo controlar el acceso a los recursos en la nube, consulte Aprender las mejores prácticas para configurar el arrendamiento y Visión general de Identity and Access Management .

Políticas de IAM para Networking

El enfoque más sencillo para otorgar acceso al Networking es la política que se muestra en Permitir a los administradores de red gestionar una red en la nube. Abarca la red en la nube y todos los demás componentes de Networking (subredes, listas de seguridad, tablas de rutas, gateways y etc.). Además, para proporcionar a los administradores de red la capacidad de iniciar instancias (para probar la conectividad de red), consulte Permitir a los usuarios iniciar instancias informáticas.

Si es la primera vez que trabaja con políticas, consulte Introducción a las políticas y Políticas comunes.

Para obtener material de referencia para escribir políticas más detalladas para Networking, consulte Detalles para los servicios principales.

Tipos de recursos individuales

Si lo desea, puede crear políticas que se centren en tipos de recursos individuales (por ejemplo, solo listas de seguridad), en lugar del concepto más amplio virtual-network-family. El tipo de recurso instance-family también incluye varios permisos para las VNIC, que residen en una subred pero se conectan a una instancia. Para obtener más información, consulte Detalles de las combinaciones Verbo + Tipo de recurso y Tarjetas de interfaz de red virtual (VNIC).

Hay un tipo de recurso denominado local-peering-gateways que se incluye en virtual-network-family e incluye otros dos tipos de recursos relacionados con el intercambio de tráfico de la VCN local (dentro de la región):

  • local-peering-from
  • local-peering-to

El tipo de recurso local-peering-gateways abarca todos los permisos relacionados con gateways de intercambio de tráfico local (LPG). Los tipos de recursos local-peering-from y local-peering-to se utilizan para otorgar permisos para conectar dos LPG y definir una relación de intercambio de tráfico dentro de una sola región. Para obtener más información, consulte Intercambio de tráfico local mediante un LPG (VCN en el mismo arrendamiento) o Intercambio de tráfico local mediante un LPG (VCN en diferentes arrendamientos).

De manera similar, hay un tipo de recurso denominado remote-peering-connections incluido en virtual-network-family y que incluye otros dos tipos de recursos relacionados con el intercambio de tráfico remoto de VCN (entre regiones):

  • remote-peering-from
  • remote-peering-to

El tipo de recurso remote-peering-connections abarca todos los permisos relacionados con conexiones de intercambio de tráfico remoto (RPC). Los tipos de recursos remote-peering-from y remote-peering-to se utilizan para otorgar permisos para conectar dos RPC y definir una relación de intercambio de tráfico entre regiones. Para obtener más información, consulte Uso de intercambio de tráfico remoto con un DRG heredado y Uso de intercambio de tráfico remoto con un DRG actualizado.

Diferencias entre distintos verbos

Si lo desea, puede crear políticas que limiten el nivel de acceso mediante un verbo de política diferente (manage frente a use, etc.). Si se da el caso, existen algunas diferencias que deben comprenderse sobre los verbos de la política de Networking.

Tenga en cuenta que el verbo inspeccionar no solo devuelve información general sobre los componentes de la red en la nube (por ejemplo, el nombre y el OCID de una lista de seguridad o de una tabla de rutas). También incluye el contenido del componente (por ejemplo, las reglas reales de la lista de seguridad, las rutas de la tabla de rutas, etc.).

Además, los siguientes tipos de capacidades están disponibles solo con el verbo manage, no con el verbo use:

  • Actualizar (activar/desactivar) internet-gateways
  • Actualizar security-lists
  • Actualizar route-tables
  • Actualizar dhcp-options
  • Conecte un gateway de enrutamiento dinámico (DRG) a una red virtual en la nube (VCN)
  • Cree una conexión de IPSec entre un equipo de DRG y equipos locales de cliente (CPE)
  • VCN de peer
Importante

Cada VCN tiene varios componentes que afectan directamente al comportamiento de la red (tablas de rutas, listas de seguridad, opciones DHCP, Gateway de internet, etc.). Al crear uno de estos componentes, establezca una relación entre dicho componente y la VCN. Esto significará que debe permitir en una política tanto la creación del componente como la gestión de la propia VCN. Sin embargo, la capacidad de actualizar dicho componente (para cambiar las reglas de ruta, las reglas de la lista de seguridad, etc.) NO necesita permiso para gestionar la propia VCN, aunque el cambio de dicho componente pueda afectar directamente al comportamiento de la red. Se ha diseñado esta discrepancia para proporcionarle flexibilidad a la hora de otorgar menos privilegios a los usuarios y que no tenga que otorgar acceso excesivo a la VCN para que el usuario pueda gestionar otros componentes de la red. Tenga en cuenta que al otorgar a alguien la posibilidad de actualizar un tipo de componente en particular, está confiándole implícitamente el control del comportamiento de la red.

Para obtener más información sobre los verbos de política, consulte Aspectos básicos de políticas.

Políticas de intercambio de tráfico

Para conocer las políticas utilizadas para conectar un DRG a redes virtuales en la nube y DRG en otras regiones y arrendamientos, consulte Políticas de IAM para el enrutamiento entre redes virtuales en la nube.