Documentación de Oracle Cloud Infrastructure

Acceso a recursos de Object Storage entre arrendamientos

Obtenga información sobre cómo escribir políticas que proporcionen a su arrendamiento acceso a recursos de Object Storage de otros arrendamientos.

Si no está familiarizado con las políticas, consulte Introducción a las políticas y Detalles de Object Storage, Archive Storage y Data Transfer.

Políticas de arrendamiento combinado

Es posible que la organización también desee compartir recursos con otra organización que tenga su propio arrendamiento. Podría ser otra unidad de negocio de la compañía, un cliente de la compañía, una compañía que presta servicios a su compañía, etc. En casos como estos, necesita políticas de arrendamiento combinado además de las políticas de usuario y servicio necesarias descritas anteriormente.

Para acceder a los recursos y compartirlos, los administradores de ambos arrendamientos deben crear sentencias de política especiales que determinen de forma explícita los recursos que se pueden compartir y a los que se puede acceder. Estas sentencias especiales usan las palabras Define, Endorse y Admit.

Sentencias Endorse, Admit y Define

A continuación, se muestra una visión general de los verbos especiales utilizados en sentencias de arrendamiento combinado:

  • Endorse: determina el juego general de capacidades que un grupo de su propio arrendamiento puede realizar en otros arrendamientos. La sentencia Endorse siempre corresponde al arrendamiento que contiene el grupo de usuarios que cruzan los límites a otro arrendamiento para trabajar con los recursos de dicho arrendamiento. En los ejemplos, hacemos referencia a este arrendamiento como el arrendamiento de origen.
  • Admit: determina el tipo de capacidad de su propio arrendamiento que desea otorgar a un grupo del otro arrendamiento. La sentencia Admit corresponde al arrendamiento que otorga la "admisión" en el arrendamiento. La sentencia Admit identifica el grupo de usuarios que requieren acceso al recurso desde el arrendamiento de origen y que se identifica con la sentencia Endorse correspondiente. En los ejemplos, hacemos referencia a este arrendamiento como el arrendamiento de destino.

  • Define: asigna un alias a un OCID de arrendamiento para las sentencias de política Endorse y Admit. También se necesita una sentencia Define en el arrendamiento de destino para asignar un alias al OCID del grupo de IAM de origen para las sentencias Admit.

    Incluya una sentencia Define en la misma entidad de política que la sentencia Endorse o Admit.

Las sentencias Endorse y Admit funcionan juntas. Una sentencia Endorse reside en el arrendamiento de origen mientras que una sentencia Admit reside en el arrendamiento de destino. Sin una sentencia correspondiente que especifique el acceso, una sentencia Endorse o Admit en particular no otorga acceso. Ambos arrendamientos deben aceptar el acceso.

Importante

Además de las sentencias de política, también debe suscribirse a una región para compartir recursos entre regiones.

Sentencias de política del arrendamiento de origen

El administrador de origen crea sentencias de política que avalan que un grupo de IAM de origen gestione recursos en el arrendamiento de destino.

A continuación se muestra un ejemplo de sentencia de política amplia que avala que el grupo de IAM StorageAdmins realice cualquier acción con todos los recursos de Object Storage de cualquier arrendamiento:

Endorse group StorageAdmins to manage object-family in any-tenancy

Para escribir una política que reduzca el ámbito de acceso al arrendamiento, el administrador de origen debe hacer referencia al OCID del arrendamiento de destino proporcionado por el administrador de destino. A continuación se muestra un ejemplo de sentencias de política que avalan que el grupo de IAM StorageAdmins gestione recursos de Object Storage solo en DestinationTenancy:

Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group StorageAdmins to manage object-family in tenancy DestinationTenancy

Sentencias de política del arrendamiento de destino

El administrador de destino crea sentencias de política que:

  • Definen el arrendamiento de origen y el grupo de IAM que puede acceder a los recursos de su arrendamiento. El administrador de origen debe proporcionar esta información.
  • Admiten los orígenes definidos para acceder a los recursos de Object Storage a los que desee permitir el acceso a su arrendamiento.

A continuación se muestra un ejemplo de sentencias de política que avalan que el grupo de IAM StorageAdmins del arrendamiento de origen realice cualquier acción con todos los recursos de Object Storage de su arrendamiento:

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group StorageAdmins as ocid1.group.oc1..<unique_ID>
Admit group StorageAdmins of tenancy SourceTenancy to manage object-family in tenancy

A continuación se muestra un ejemplo de sentencias de política que avalan que el grupo de IAM StorageAdmins del arrendamiento de origen gestione recursos de Object Storage solo en el compartimento SharedBuckets:

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group StorageAdmins as ocid1.group.oc1..<unique_ID>
Admit group StorageAdmins of tenancy SourceTenancy to manage object-family in compartment SharedBuckets