Políticas de IAM relacionadas con el intercambio de tráfico de DRG

Acuerdo explícito necesario por ambas partes

El intercambio de tráfico y el enrutamiento en tránsito implican dos VCN propiedad de la misma parte o de dos diferentes. Las dos partes pueden estar en su compañía, pero en diferentes departamentos. O bien las dos partes podrían estar en compañías completamente diferentes (por ejemplo, en un modelo de proveedor de servicios). Consulte Acceso a recursos de Object Storage entre arrendamientos para obtener más ejemplos de políticas entre arrendamientos.

El acuerdo tiene un formato de políticas de Oracle Cloud Infrastructure Identity and Access Management que cada parte implanta para el compartimento o el arrendamiento de su propia VCN. Si las VCN están en diferentes arrendamientos, cada administrador debe proporcionar su OCID del arrendamiento y poner en marcha sentencias de políticas especiales para activar el intercambio de tráfico. Para obtener más información sobre las políticas de IAM necesarias para conectarse a una VCN de otro arrendamiento, consulte Acceso a las VCN de otros arrendamientos mediante las RPC.

Acceso a las VCN del mismo arrendamiento mediante las RPC

Para obtener más información sobre este caso de uso, consulte Tarea C: configurar las políticas de IAM (VCN en el mismo arrendamiento).

Acceso a las VCN del mismo arrendamiento mediante asociaciones de VCN

Si desea que el grupo de administradores cree y gestione asociaciones de VCN y asigne tablas de rutas de DRG a las asociaciones, implante la siguiente política:

Allow group <administrators> to manage vcns in tenancy
Allow group <administrators> to manage drgs in tenancy

Nota

Para asociar una tabla de rutas de VCN a la asociación, los administradores también necesitan una política "manage route-tables" en el arrendamiento.

Acceso a las VCN de otros arrendamientos mediante las RPC

El solicitante y el aceptante deben garantizar que se apliquen las políticas correctas. Una política mínima consistiría en:

En este ejemplo se muestran las políticas de identidad mínimas necesarias para crear una conexión con intercambio de tráfico remoto entre arrendamientos:

Política R (implantada por el solicitante):

Define tenancy Acceptor as <acceptor-tenancy-ocid>
Allow group <requestor-group-name> to manage remote-peering-from in compartment <<requestor-compartment-name>>
Endorse group <requestor-group-name> to manage remote-peering-to in tenancy Acceptor

Política A (implantada por el aceptante):

Define tenancy Requestor as <requestor-tenancy-ocid>
Define group <requestor-group-name> as <requestor-group-ocid>
Admit group <requestor-group-name> of tenancy Requestor to manage remote-peering-to in compartment <acceptor-compartment-name>

Acceso a las VCN de otros arrendamientos mediante asociaciones de VCN

Este ejemplo de un juego de políticas permite el siguiente juego de acciones:

Los administradores de DRG del inquilino de DRG pueden crear una asociación de DRG en el inquilino de VCN y también asociar a este una tabla de rutas de VCN.
Los administradores de VCN del inquilino de VCN pueden asociar una tabla de rutas de VCN a la asociación (se utiliza cuando la VCN asociada es una VCN de tránsito). Si el administrador de VCN tiene una política para gestionar todos los recursos del inquilino de VCN, ya tiene esta capacidad, porque la asociación de VCN reside en el arrendamiento de VCN.
Los administradores de VCN no tienen la capacidad de cambiar la asociación de tabla de rutas de DRG para la asociación de DRG.

Políticas de IAM del solicitante (el DRG en este arrendamiento)

define tenancy VCN as <vcn-tenant-ocid>
define group VCN-Admin as <vcn-group-ocid>

endorse group DRG-Admin to manage drg-attachment in tenancy VCN
admit group VCN-Admin of tenancy VCN to manage drg in tenancy

Políticas de IAM de aceptante (la VCN en este arrendamiento)

define tenancy DRG as <drg-tenant-ocid>
define group DRG-Admin as <drg-group-ocid>
admit group DRG-Admin of tenancy DRG to manage drg-attachment in tenancy
endorse group VCN-Admin to manage drg in tenancy DRG

Control del establecimiento de intercambios

Con las políticas de IAM, puede controlar:

Quién puede suscribir su arrendamiento a otra región (requerido para el intercambio de tráfico remoto de VCN).
Quién en su organización tiene autoridad para establecer intercambios de VCN (por ejemplo, ver las políticas de IAM en Configuración de un Intercambio de tráfico local y Configuración de un intercambio de tráfico remoto). La supresión de estas políticas de IAM no afectará a ninguno de los intercambios de tráfico existentes, solo a la capacidad de crear intercambios de tráfico futuros.
Quién puede gestionar tablas de rutas y listas de seguridad.