Políticas de seguridad de IAM

Las políticas de seguridad de IAM se utilizan para gestionar el acceso de los grupos de IAM a los recursos en compartimentos y arrendamiento.

Oracle recomienda asignar acceso con el mínimo de privilegios a los grupos de IAM para acceder a los recursos. El formato común de las políticas de IAM se muestra en el siguiente ejemplo.

Allow group <group_name> to <verb> <resource-type> in compartment <compartment_name>
Allow group <group_name> to <verb> <resource-type> in tenancy

Las políticas de IAM permiten cuatro verbos predefinidos: inspect, read, use y manage. Inspect permite el acceso con el mínimo de privilegios y manage permite el acceso con el máximo de privilegios. Los cuatro verbos se muestran en orden ascendente de privilegios en la siguiente tabla.

Verbos de la política de IAM
Verbo Tipo de acceso Usuario de ejemplo
inspect Solo debe mostrar los metadatos. Normalmente, esto ofrece la capacidad de mostrar recursos. Auditor externo.
read Funciones de inspect junto con la capacidad de leer metadatos de usuarios y recursos. Este es el permiso que más usuarios necesitan para realizar el trabajo. Auditores internos
use Funciones de read junto con la capacidad para trabajar con recursos (las acciones varían según el tipo de recurso). Excluye la capacidad de crear o suprimir recursos. Usuarios comunes (desarrolladores de software, ingenieros de sistemas, gestores de desarrollo, etc.) que configuran recursos de arrendamiento y las aplicaciones que se ejecutan en ellos.
manage Todos los permisos para todos los recursos. Administradores, ejecutivos (para situaciones de acceso de emergencia).

Los tipos de recursos de Oracle Cloud Infrastructure se muestran en la siguiente tabla.

Familias de recursos, descripciones y tipos de recursos de IAM
Familia de tipos de recursos Descripción Tipos de recurso
all-resources Todos los tipos de recurso  
Sin nombre por defecto Tipos de recursos en el servicio IAM compartments, users, groups, dynamic-groups, policies, identity-providers, tenancy tag-namespaces, tag-definitions
instance-family Tipos de recursos en el servicio Compute console-histories, instance-console-connection, instance-images, instances, volume-attachmentsapp-catalog-listing
volume-family Tipos de recursos en el servicio Block Storage volumes, volume-attachments, volume-backups
virtual-network-family Tipos de recursos en el servicio Virtual Networking vcns, subnets, route-tables, security-lists, dhcp-options, private-ips, public-ips, internet-gateways, local-peering-gatewaysdrgs, deg-attachments, cpes, ipsec-connections, cross-connects, cross-connect-groups, virtual-circuits, vnics, vnic-attachments
object-family Tipos de recursos en el servicio Object Storage buckets, objects
database-family Tipos de recursos en el servicio DbaaS db-systems, db-nodes, db-homes, databases, backups
load-balancers Recursos en el servicio Load Balancer load-balancers
file-family Recursos en el servicio File Storage file-systems, mount-targets, export-sets
dns Recursos en el servicio DNS dns-zones, dns-records, dns-traffic
email-family Recursos en el servicio Email Delivery approved-senders, suppressions

Para obtener más información sobre los verbos de IAM y las asignaciones de permisos de tipos de recursos, consulte Detalles de los servicios principales.

Las políticas de seguridad de IAM se pueden elaborar de forma más detallada con condiciones específicas. El acceso especificado en la política solo se permite si las sentencias de condición se evalúan como true. Las condiciones se especifican utilizando variables predefinidas. Las variables utilizan las palabras clave request o target, dependiendo de si la variable es relevante para la solicitud o el recurso sobre el que se está realizando la acción, respectivamente. Para obtener información sobre las variables predefinidas admitidas, consulte Referencia de políticas.

Los grupos dinámicos de IAM se utilizan para autorizar que las instancias de recursos informáticos accedan a las API de Oracle Cloud Infrastructure. La función de principales de instancia la pueden utilizar las aplicaciones, que se ejecutan en las instancias, para acceder mediante programación a los servicios de Oracle Cloud Infrastructure. Los clientes crean grupos dinámicos, que incluyen instancias como miembros, y autorizan el acceso a los recursos de su arrendamiento mediante las políticas de seguridad de IAM. Todos los accesos por instancias se capturan en los logs de auditoría disponibles para los clientes.