Ejemplos de políticas

Utilice los siguientes ejemplos para obtener información sobre la creación de políticas de IAM para varios recursos de Application Dependency Management.

Nota

Después de agregar componentes de IAM (por ejemplo, grupos dinámicos y sentencias de política), no intente realizar las tareas asociadas inmediatamente. Las nuevas políticas de IAM necesitan entre cinco y diez minutos para aplicarse.

Base de conocimientos

Cree una política para permitir a los usuarios de un grupo crear, actualizar o suprimir una base de conocimientos:

Allow group <group-name> to manage adm-knowledge-bases in compartment <compartment_name>

Auditoría de vulnerabilidad

Cree una política para permitir a los usuarios utilizar una base de conocimientos en un compartimento específico y cree, actualice o suprima auditorías de vulnerabilidad en ese compartimento:

Allow group <group-name> to use adm-knowledge-bases in compartment <compartment_name>
Allow group <group-name> to manage adm-vulnerability-audits in compartment <compartment_name>

Solución

Debe crear un grupo dinámico para ejecutar la solución correctamente. Las reglas de coincidencia definen los recursos que pertenecen al grupo dinámico:

ALL {resource.type = 'admremediationrecipe', resource.compartment.id = 'compartmentOCID'}

Cree una política para otorgar a los miembros del grupo adm-admin permiso para gestionar (inspeccionar, leer, crear, actualizar, iniciar, suprimir, mover) la receta de solución, la ejecución de solución, la etapa de ejecución de solución, la auditoría de vulnerabilidad, la recomendación y los recursos de solicitud de trabajo:

Allow group adm-admin to manage adm-remediations-family in tenancy

Cree una política para otorgar a los miembros del grupo adm-dev permiso para inspeccionar, leer y utilizar los recursos Actividad, Ejecución de actividad, Etapa de ejecución de actividad, Receta de solución, Ejecución de solución, Etapa de ejecución de solución, Auditoría de vulnerabilidad y Recomendación. Esto no permite a los miembros crear/suprimir/mover actividades, suprimir ejecuciones de actividades, suprimir auditorías de vulnerabilidad, suprimir recomendaciones:

Allow group adm-dev to use adm-family in tenancy

Para ejecutar la solución, cree las siguientes políticas. Puede asignar al grupo dinámico el nombre adecuado y sustituir compartmentOCID por el OCID del compartimento:

Allow dynamic-group created-adm-dynamic-group to inspect dhcp-options in compartment <compartmentOCID>
Allow dynamic-group created-adm-dynamic-group to { ADM_KNOWLEDGE_BASE_READ, ADM_VULNERABILITY_AUDIT_READ, ADM_VULNERABILITY_AUDIT_CREATE } in compartment <compartmentOCID>
Allow dynamic-group created-adm-dynamic-group to inspect subnets in compartment <compartmentOCID>
Allow service adm to use subnets in compartment <compartmentOCID>
Allow service adm to use vnics in compartment <compartmentOCID>

Cree la siguiente política si utiliza la gestión de código fuente (SCM) externa:

Allow dynamic-group created-adm-dynamic-group to read secret-bundles in compartment <compartmentOCID>

Cree la siguiente política si utiliza OCI DevOps SCM (proporcione el nombre del repositorio):

Allow dynamic-group created-adm-dynamic-group to { DEVOPS_REPOSITORY_READ } in compartment <compartmentOCID> where target.repository.name = 'repositoryName'
Allow dynamic-group created-adm-dynamic-group to { DEVOPS_PULL_REQUEST_UPDATE, DEVOPS_PULL_REQUEST_CREATE, DEVOPS_PULL_REQUEST_INSPECT, DEVOPS_PULL_REQUEST_READ } in compartment <compartmentOCID> where target.repository.name = 'repositoryName'

Cree la siguiente política si utiliza una subred específica del dominio de disponibilidad:

Allow dynamic-group created-adm-dynamic-group to use subnets in compartment <compartmentOCID>
Allow dynamic-group created-adm-dynamic-group to {COMPARTMENT_INSPECT} in compartment <compartmentOCID>

Cree el siguiente grupo dinámico y política si utiliza el pipeline de compilación de OCI Devops:

ALL {resource.type = 'devopsbuildpipeline', resource.compartment.id = 'compartmentOCID'}
Allow dynamic-group devops-build-dynamic-group to { DEVOPS_BUILD_RUN_READ, DEVOPS_BUILD_RUN_CREATE } in compartment <compartmentOCID>