Políticas de Identity and Access Management (IAM)

Descubra cómo escribir políticas de OCI IAM para controlar el acceso a los recursos de Oracle Cloud VMware Solution.

Por defecto, solo los usuarios del grupo Administrators pueden acceder a todos los recursos y funciones de la solución VMware. Para controlar el acceso de usuarios que no sean administradores a los recursos y funciones de la solución VMware, cree grupos de IAM y, a continuación, escriba políticas que proporcionen a los grupos el acceso adecuado.

Si necesita una lista completa de las políticas de Oracle Cloud Infrastructure, consulte Referencia de políticas.

Tipos de recursos

sddcs

Variables soportadas

Solo están soportadas las variables generales (consulte Variables generales para todas las solicitudes).

Detalles de las combinaciones de verbo + tipo de recurso

En las siguientes tablas, se muestran los permisos y las operaciones de API que cubre cada verbo de la solución VMware. El nivel de acceso es acumulativo a medida que pasa de inspect a read a use a manage. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda situada directamente encima, mientras que "sin extra" indica que no hay un acceso incremental.

sddcs


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspeccionar	SDDC_INSPECT	`ListSddcs` `ListWorkRequests`	Ninguno
lectura	INSPECCIONAR + SDDC_READ	INSPECCIONAR + `GetSddc` `GetWorkRequest`	ninguno
Usar	LEER + SDDC_UPDATE SDDC_UPDATE_ESXI_HOST	LEER + `UpdateSddc` `UpdateEsxiHost`	ninguno
gestionar	USO + SDDC_CREATE SDDC_MOVE SDDC_ADD_ESXI_HOST SDDC_DELETE_ESXI_HOST SDDC_DELETE	USO + `ChangeSddcCompartment`	`CreateSddc` (también necesita `manage instances`, `manage vcns`, `use subnets`, `use vnics`, `use vlans`, `use private-ips`, `inspect security-lists`, `use network-security-groups`) `DeleteSddc`, `CreateEsxiHost`, `DeleteEsxiHost` (también necesita `manage instances`, `manage vcns`, `use subnets`, `use vnics`, `use vlans`, `use private-ips`)

Permisos necesarios para cada operación de API

En la siguiente tabla se muestran las operaciones de API en un orden lógico, agrupadas por tipo de recurso.


Operación de API	Permisos necesarios para utilizar la operación
`ListSddcs`	SDDC_INSPECT
`GetSddc`	SDDC_READ
`CreateSddc`	SDDC_CREATE & INSTANCE_CREATE & INSTANCE_ATTACH_SECONDARY_VNIC & VCN_READ & VCN_ATTACH & SUBNET_READ & SUBNET_ATTACH & VNIC_READ & VNIC_CREATE & VLAN_READ & VLAN_ATTACH & PRIVATE_IP_CREATE & PRIVATE_IP_ASSIGN & SECURITY_LIST_READ & NETWORK_SECURITY_GROUP_LIST_SECURITY_RULES
`ListWorkRequests`	SDDC_INSPECT
`GetWorkRequest`	SDDC_READ
`ChangeSddcCompartment`	SDDC_MOVE
`UpdateSddc`	SDDC_UPDATE
`DeleteSddc`	SDDC_DELETE & INSTANCE_DELETE & INSTANCE_DETACH_SECONDARY_VNIC & VCN_DETACH & SUBNET_DETACH & VLAN_DETACH & VNIC_READ & VNIC_DELETE & PRIVATE_IP_DELETE & PRIVATE_IP_UNASSIGN
`ListEsxiHosts`	SDDC_INSPECT
`CreateEsxiHost`	SDDC_ADD_ESXI_HOST & INSTANCE_CREATE & INSTANCE_ATTACH_SECONDARY_VNIC & VCN_READ & VCN_ATTACH & SUBNET_READ & SUBNET_ATTACH & VLAN_READ & VLAN_ATTACH & VNIC_READ & VNIC_CREATE & PRIVATE_IP_CREATE & PRIVATE_IP_ASSIGN
`UpdateEsxiHost`	SDDC_UPDATE_ESXI_HOST
`DeleteEsxiHost`	SDDC_DELETE_ESXI_HOST & INSTANCE_DELETE & INSTANCE_DETACH_SECONDARY_VNIC & VCN_DETACH & SUBNET_DETACH & VLAN_DETACH & VNIC_READ & VNIC_DELETE & PRIVATE_IP_DELETE & PRIVATE_IP_UNASSIGN

Creación de una política

Para crear políticas para un grupo de usuarios, debe conocer el nombre del grupo de IAM de Oracle Cloud Infrastructure.

Para crear una política:

En el menú de navegación de la consola, seleccione Identidad y seguridad y, a continuación, en Identidad, seleccione Políticas.
Haga clic en Crear política.
Introduzca un nombre y una descripción (opcional) para la política.
Seleccione el compartimento en el que crear la política.
Seleccione Mostrar editor manual. A continuación, introduzca las sentencias de políticas que necesita.
(Opcional) Seleccione Crear otra política para permanecer en la página Crear política después de crear esta política.
Para crear esta política, haga clic en Crear.

Políticas comunes

Permitir a los usuarios crear, gestionar y suprimir SDDC, hosts ESXi y VLAN

Tipo de acceso: capacidad para crear, gestionar o suprimir un SDDC, un host ESXi o VLAN.

Dónde crear la política: en el arrendamiento, de forma que la capacidad para crear, gestionar o suprimir un recurso de solución VMware se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de estas funciones administrativas a SDDC en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.

Este ejemplo de política también incluye permisos para recursos informáticos y de red. Estos recursos informáticos y de red son necesarios para crear, gestionar o suprimir SDDC, hosts ESXi o VLAN. Se muestra el permiso mínimo necesario para cada uno.

Allow group <group_name> to manage sddcs in tenancy
Allow group <group_name> to manage instances in tenancy
Allow group <group_name> to manage vcns in tenancy
Allow group <group_name> to use subnets in tenancy
Allow group <group_name> to use vnics in tenancy
Allow group <group_name> to use vlans in tenancy
Allow group <group_name> to use private-ips in tenancy
Allow group <group_name> to inspect security-lists in tenancy
Allow group <group_name> to use network-security-groups in tenancy

Documentación de Oracle Cloud Infrastructure