Políticas de seguridad de IAM
Las políticas de seguridad de IAM se utilizan para gestionar el acceso de los grupos de IAM a los recursos en compartimentos y arrendamiento.
Oracle recomienda asignar acceso con el mínimo de privilegios a los grupos de IAM para acceder a los recursos. El formato común de las políticas de IAM se muestra en el siguiente ejemplo.
Allow group <group_name> to <verb> <resource-type> in compartment <compartment_name>
Allow group <group_name> to <verb> <resource-type> in tenancy
Las políticas de IAM permiten cuatro verbos predefinidos: inspect, read, use y manage. Inspect permite el acceso con el mínimo de privilegios y manage permite el acceso con el máximo de privilegios. Los cuatro verbos se muestran en orden ascendente de privilegios en la siguiente tabla.
Verbo | Tipo de acceso | Usuario de ejemplo |
---|---|---|
inspect
|
Solo debe mostrar los metadatos. Normalmente, esto ofrece la capacidad de mostrar recursos. | Auditor externo. |
read
|
Funciones de inspect junto con la capacidad de leer metadatos de usuarios y recursos. Este es el permiso que más usuarios necesitan para realizar el trabajo. | Auditores internos |
use
|
Funciones de read junto con la capacidad para trabajar con recursos (las acciones varían según el tipo de recurso). Excluye la capacidad de crear o suprimir recursos. | Usuarios comunes (desarrolladores de software, ingenieros de sistemas, gestores de desarrollo, etc.) que configuran recursos de arrendamiento y las aplicaciones que se ejecutan en ellos. |
manage
|
Todos los permisos para todos los recursos. | Administradores, ejecutivos (para situaciones de acceso de emergencia). |
Los tipos de recursos de Oracle Cloud Infrastructure se muestran en la siguiente tabla.
Familia de tipos de recursos | Descripción | Tipos de recurso |
---|---|---|
all-resources |
Todos los tipos de recurso | |
Sin nombre por defecto | Tipos de recursos en el servicio IAM | compartments , users , groups , dynamic-groups , policies , identity-providers , tenancy tag-namespaces , tag-definitions |
instance-family |
Tipos de recursos en el servicio Compute | console-histories , instance-console-connection , instance-images , instances , volume-attachments app-catalog-listing |
volume-family |
Tipos de recursos en el servicio Block Storage | volumes , volume-attachments , volume-backups |
virtual-network-family |
Tipos de recursos en el servicio Virtual Networking | vcns , subnets , route-tables , security-lists , dhcp-options , private-ips , public-ips , internet-gateways , local-peering-gatewaysdrgs , deg-attachments , cpes , ipsec-connections , cross-connects , cross-connect-groups , virtual-circuits , vnics , vnic-attachments |
object-family |
Tipos de recursos en el servicio Object Storage | buckets , objects |
database-family |
Tipos de recursos en el servicio DbaaS | db-systems , db-nodes , db-homes , databases , backups |
load-balancers |
Recursos en el servicio Load Balancer | load-balancers |
file-family |
Recursos en el servicio File Storage | file-systems , mount-targets , export-sets |
dns |
Recursos en el servicio DNS | dns-zones , dns-records , dns-traffic |
email-family |
Recursos en el servicio Email Delivery | approved-senders , suppressions |
Para obtener más información sobre los verbos de IAM y las asignaciones de permisos de tipos de recursos, consulte Detalles de los servicios principales.
Las políticas de seguridad de IAM se pueden elaborar de forma más detallada con condiciones específicas. El acceso especificado en la política solo se permite si las sentencias de condición se evalúan como true. Las condiciones se especifican utilizando variables predefinidas. Las variables utilizan las palabras clave request
o target
, dependiendo de si la variable es relevante para la solicitud o el recurso sobre el que se está realizando la acción, respectivamente. Para obtener información sobre las variables predefinidas admitidas, consulte Referencia de políticas.
Los grupos dinámicos de IAM se utilizan para autorizar que las instancias de recursos informáticos accedan a las API de Oracle Cloud Infrastructure. La función de principales de instancia la pueden utilizar las aplicaciones, que se ejecutan en las instancias, para acceder mediante programación a los servicios de Oracle Cloud Infrastructure. Los clientes crean grupos dinámicos, que incluyen instancias como miembros, y autorizan el acceso a los recursos de su arrendamiento mediante las políticas de seguridad de IAM. Todos los accesos por instancias se capturan en los logs de auditoría disponibles para los clientes.