Políticas de Identity and Access Management (IAM)
Descubra cómo escribir políticas de OCI IAM para controlar el acceso a los recursos de Oracle Cloud VMware Solution.
Por defecto, solo los usuarios del grupo Administrators
pueden acceder a todos los recursos y funciones de la solución VMware. Para controlar el acceso de usuarios que no sean administradores a los recursos y funciones de la solución VMware, cree grupos de IAM y, a continuación, escriba políticas que proporcionen a los grupos el acceso adecuado.
Si necesita una lista completa de las políticas de Oracle Cloud Infrastructure, consulte Referencia de políticas.
Tipos de recursos
sddcs
Variables soportadas
Solo están soportadas las variables generales (consulte Variables generales para todas las solicitudes).
Detalles de las combinaciones de verbo + tipo de recurso
En las siguientes tablas, se muestran los permisos y las operaciones de API que cubre cada verbo de la solución VMware. El nivel de acceso es acumulativo a medida que pasa de inspect
a read
a use
a manage
. Un signo más (+)
en una celda de la tabla indica un acceso incremental en comparación con la celda situada directamente encima, mientras que "sin extra" indica que no hay un acceso incremental.
sddcs
Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
---|---|---|---|
inspeccionar |
SDDC_INSPECT |
|
Ninguno |
lectura |
INSPECCIONAR + SDDC_READ |
INSPECCIONAR +
|
ninguno |
Usar |
LEER + SDDC_UPDATE SDDC_UPDATE_ESXI_HOST |
LEER +
|
ninguno |
gestionar |
USO + SDDC_CREATE SDDC_MOVE SDDC_ADD_ESXI_HOST SDDC_DELETE_ESXI_HOST SDDC_DELETE |
USO +
|
|
Permisos necesarios para cada operación de API
En la siguiente tabla se muestran las operaciones de API en un orden lógico, agrupadas por tipo de recurso.
Operación de API | Permisos necesarios para utilizar la operación |
---|---|
ListSddcs
|
SDDC_INSPECT |
GetSddc
|
SDDC_READ |
CreateSddc
|
SDDC_CREATE & INSTANCE_CREATE & INSTANCE_ATTACH_SECONDARY_VNIC & VCN_READ & VCN_ATTACH & SUBNET_READ & SUBNET_ATTACH & VNIC_READ & VNIC_CREATE & VLAN_READ & VLAN_ATTACH & PRIVATE_IP_CREATE & PRIVATE_IP_ASSIGN & SECURITY_LIST_READ & NETWORK_SECURITY_GROUP_LIST_SECURITY_RULES |
ListWorkRequests
|
SDDC_INSPECT |
GetWorkRequest
|
SDDC_READ |
ChangeSddcCompartment
|
SDDC_MOVE |
UpdateSddc
|
SDDC_UPDATE |
DeleteSddc
|
SDDC_DELETE & INSTANCE_DELETE & INSTANCE_DETACH_SECONDARY_VNIC & VCN_DETACH & SUBNET_DETACH & VLAN_DETACH & VNIC_READ & VNIC_DELETE & PRIVATE_IP_DELETE & PRIVATE_IP_UNASSIGN |
ListEsxiHosts
|
SDDC_INSPECT |
CreateEsxiHost
|
SDDC_ADD_ESXI_HOST & INSTANCE_CREATE & INSTANCE_ATTACH_SECONDARY_VNIC & VCN_READ & VCN_ATTACH & SUBNET_READ & SUBNET_ATTACH & VLAN_READ & VLAN_ATTACH & VNIC_READ & VNIC_CREATE & PRIVATE_IP_CREATE & PRIVATE_IP_ASSIGN |
UpdateEsxiHost
|
SDDC_UPDATE_ESXI_HOST |
DeleteEsxiHost
|
SDDC_DELETE_ESXI_HOST & INSTANCE_DELETE & INSTANCE_DETACH_SECONDARY_VNIC & VCN_DETACH & SUBNET_DETACH & VLAN_DETACH & VNIC_READ & VNIC_DELETE & PRIVATE_IP_DELETE & PRIVATE_IP_UNASSIGN |
Creación de una política
Para crear políticas para un grupo de usuarios, debe conocer el nombre del grupo de IAM de Oracle Cloud Infrastructure.
Para crear una política:
- En el menú de navegación de la consola, seleccione Identidad y seguridad y, a continuación, en Identidad, seleccione Políticas.
- Haga clic en Crear política.
- Introduzca un nombre y una descripción (opcional) para la política.
- Seleccione el compartimento en el que crear la política.
- Seleccione Mostrar editor manual. A continuación, introduzca las sentencias de políticas que necesita.
- (Opcional) Seleccione Crear otra política para permanecer en la página Crear política después de crear esta política.
- Para crear esta política, haga clic en Crear.
Políticas comunes
Permitir a los usuarios crear, gestionar y suprimir SDDC, hosts ESXi y VLAN
Tipo de acceso: capacidad para crear, gestionar o suprimir un SDDC, un host ESXi o VLAN.
Dónde crear la política: en el arrendamiento, de forma que la capacidad para crear, gestionar o suprimir un recurso de solución VMware se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de estas funciones administrativas a SDDC en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Este ejemplo de política también incluye permisos para recursos informáticos y de red. Estos recursos informáticos y de red son necesarios para crear, gestionar o suprimir SDDC, hosts ESXi o VLAN. Se muestra el permiso mínimo necesario para cada uno.
Allow group <group_name> to manage sddcs in tenancy
Allow group <group_name> to manage instances in tenancy
Allow group <group_name> to manage vcns in tenancy
Allow group <group_name> to use subnets in tenancy
Allow group <group_name> to use vnics in tenancy
Allow group <group_name> to use vlans in tenancy
Allow group <group_name> to use private-ips in tenancy
Allow group <group_name> to inspect security-lists in tenancy
Allow group <group_name> to use network-security-groups in tenancy