Documentación de Oracle Cloud Infrastructure

Control de acceso

En este tema se ofrece información básica sobre el uso de los compartimientos y las políticas de IAM para controlar el acceso a una red de la nube.

Compartimentos y una red en la nube

Cada vez que cree un recurso de la nube, como una red virtual en la cloud (VCN) o instancia de Compute, debe especificar en qué compartimento de IAM desea que esté el recurso. Un compartimiento es una recopilación de recursos relacionados, a los que solo pueden acceder determinados grupos a los que ha otorgado permiso un administrador. El administrador crea compartimentos y las políticas de IAM correspondientes para controlar qué usuarios pueden acceder a qué compartimentos. El objetivo es garantizar que cada persona solo pueda acceder a los recursos que necesita.

Si una compañía está empezando a probar Oracle Cloud Infrastructure, solo unas cuantas personas tendrán, para crear y gestionar la VCN y sus componentes, crear instancias en la VCN y asociar volúmenes de almacenamiento de bloques a dichas instancias. Dichas personas necesitan acceder a todos estos recursos, por lo que todos estos podrían estar en el mismo compartimiento.

En un ambiente de producción empresarial con una VCN, la compañía puede utilizar muchos compartimentos para controlar más fácilmente el acceso a determinados tipos de recursos. Por ejemplo, un administrador puede crear Compartment_A para una VCN y otros componentes de red. A continuación, el administrador podría crear Compartment_B para todas las instancias informáticas y los volúmenes de almacenamiento de bloques que utiliza la organización HR, y Compartment_C para todas las instancias y volúmenes de almacenamiento de bloques que utiliza la organización Marketing. A continuación, el administrador crearía políticas de IAM que proporcionen a los usuarios solo el nivel de acceso que necesiten en cada compartimiento. Por ejemplo, el administrador de la instancia de RR. HH. no tiene derecho a cambiar la red en la nube existente. Por lo tanto, tendrían permisos completos para Compartment_B, pero un acceso limitado al compartimiento Compartment_A (solo los necesarios para crear instancias en la red). Si intentara cambiar otros recursos en el Compartment_A, se denegaría esa solicitud.

Los recursos de red como las redes virtuales en la nube, las subredes, las tablas de rutas, las listas de seguridad, los gateways de servicio, los gateways de NAT, las conexiones VPN y las conexiones FastConnect se pueden mover de un compartimento a otro. Cuando mueve un recurso a un nuevo compartimiento, las políticas inherentes se aplican inmediatamente.

Para obtener más información sobre los compartimentos y cómo controlar el acceso a las fuentes en la nube, consulte Aprender las mejores prácticas para configurar la tenencia y Visión general de Identity and Access Management.

Políticas de IAM para Networking

El enfoque más sencillo para otorgar acceso a las redes es la política que se muestra en Permitir a los administradores de red gestionar una red en la nube. Abarca la red en la nube y todos los demás componentes de Networking (subredes, listas de seguridad, tablas de rutas, gateways y etc.). Además, para proporcionar a los administradores de red la capacidad de crear instancias (para probar la conectividad de red), consulte Cómo permitir a los usuarios iniciar instancias informáticas.

Si no está nuevo en las políticas, consulte Gestión de dominios de identidad y Políticas comunes.

Para obtener material de referencia para escribir políticas más detalladas para redes, consulte Detalles para los servicios principales.

Tipos de recursos individuales

Puede crear políticas que se enfoquen en tipos de recursos individuales (por ejemplo, solo listas de seguridad), en lugar del más amplio virtual-network-family. El tipo de recurso instance-family también incluye varios permisos para las VNIC, que residen en una subred pero se conectan a una instancia. Para obtener más información, consulte Detalles de las combinaciones Verbo + Tipo de recurso y Tarjetas de interfaz de red virtual (VNIC).

Un tipo de recurso denominado local-peering-gateways se incluye en virtual-network-family e incluye otros dos tipos de recursos relacionados con el intercambio de tráfico de la VCN local (dentro de la región):

  • local-peering-from
  • local-peering-to

El tipo de recurso local-peering-gateways abarca todos los permisos relacionados con gateways de intercambio de tráfico local (LPG). Los tipos de recursos local-peering-from y local-peering-to se utilizan para otorgar permisos para conectar dos LPG y definir una relación de intercambio de tráfico dentro de una sola región. Para obtener más información, consulte Intercambio de tráfico local mediante un LPG (VCNs in the Same Tenancy) o Intercambio de tráfico local mediante un LPG (VCNs in Different Tenancy).

De manera similar, se incluye un tipo de recurso denominado remote-peering-connections en virtual-network-family e incluye otros dos tipos de recursos relacionados con el intercambio de tráfico remoto de VCN (entre regiones):

  • remote-peering-from
  • remote-peering-to

El tipo de recurso remote-peering-connections abarca todos los permisos relacionados con conexiones de intercambio de tráfico remoto (RPC). Los tipos de recursos remote-peering-from y remote-peering-to se utilizan para otorgar permisos para conectar dos RPC y definir una relación de intercambio de tráfico entre regiones. Para obtener más información, consulte Remote Peering with a Legacy DRG y Remote Peering with an Upgraded DRG.

Diferencias entre distintos verbos

Puede crear políticas que limiten el nivel de acceso mediante un verbo de política diferente (manage en lugar de use, etc.). Si es así, aquí hay algunos matices que debe comprender sobre los verbos de política para redes.

Tenga en cuenta que el verbo inspeccionar no solo devuelve información general sobre los componentes de la red en la nube (por ejemplo, el nombre y el OCID de una lista de seguridad o de una tabla de rutas). También incluye el contenido del componente (por ejemplo, las reglas reales de la lista de seguridad, las rutas de la tabla de rutas, etc.).

Además, los siguientes tipos de capacidades están disponibles solo con el verbo manage, no con el verbo use:

  • Actualizar (activar/desactivar) internet-gateways
  • Actualizar security-lists
  • Actualizar route-tables
  • Actualizar dhcp-options
  • Asociación de un gateway de enrutamiento dinámico (DRG) a una red virtual en la nube (VCN)
  • Cree una conexión de IPSec entre un equipo de DRG y equipos locales de cliente (CPE)
  • VCN de peer
Importante

Cada VCN tiene varios componentes que afectan directamente al comportamiento de la red (tablas de rutas, listas de seguridad, opciones DHCP, Gateway de internet, etc.). Al crear uno de estos componentes, establezca una relación entre dicho componente y la VCN. Esto significará que debe permitir en una política tanto la creación del componente como la gestión de la propia VCN. Sin embargo, la capacidad de actualizar dicho componente (cambiar las reglas de ruta, las reglas de la lista de seguridad, etc.) no necesita permiso para gestionar la propia VCN, aunque el cambio de dicho componente pueda afectar directamente al comportamiento de la red. Esta discrepancia está diseñada para proporcionarle flexibilidad a la hora de otorgar menos privilegios a los usuarios y no necesita que otorgue acceso excesivo a la VCN para que el usuario pueda gestionar otros componentes de la red. Tenga en cuenta que al otorgar a alguien la posibilidad de actualizar un tipo de componente en particular, está confiándole implícitamente el control del comportamiento de la red.

Para obtener más información sobre los verbos de política, consulte Aspectos básicos de políticas.

Políticas de intercambio de tráfico

Para conocer las políticas utilizadas para conectar un DRG a redes virtuales en la nube y DRG en otras regiones y arrendamientos, consulte Políticas de IAM para el enrutamiento entre redes virtuales en la nube.