Documentación de Oracle Cloud Infrastructure

Visión general de la sintaxis de las políticas

La sintaxis general de una sentencia de política se explica en esta sección.

Para poder controlar el acceso a los recursos de Application Dependency Management, debe crear usuarios y colocarlos en los grupos adecuados (consulte Gestión de usuarios y Gestión de grupos). A continuación, puede crear políticas y sentencias de política para controlar el acceso (consulte Gestión de políticas). Un grupo dinámico es un tipo especial de grupo que contiene recursos que coinciden con las reglas que defina. Para obtener más información, consulte Gestión de grupos dinámicos.

Una política permite a un grupo  trabajar de determinadas formas con tipos específicos de recursos  en un compartimento  concreto. 

Allow <subject> to <verb> <resource-type> in <location> where <condition>

Por ejemplo, puede especificar:

  • Un grupo o grupo dinámico por nombre u OCID como <subject>. O bien, puede utilizar any-user para abarcar a todos los usuarios del arrendamiento.

  • inspect, read, use y manage como <verb> para otorgar a <subject> acceso a uno o más permisos.

    A medida que pase de inspect > read > use > manage, el nivel de acceso aumentará y los permisos otorgados serán acumulativos. Por ejemplo, use incluye read más la capacidad de actualizar.

  • Familia de recursos como adm-family para <resource-type>. O bien, puede especificar un recurso individual en una familia como adm-knowledge-bases y adm-vulnerability-audits.

  • Compartimento por nombre u OCID como <location>. O bien, puede utilizar tenancy para que se abarque todo el arrendamiento.

  • Una o más condiciones de <condition>, que se deben cumplir para que se otorgue acceso. Para varias condiciones, puede utilizar any u all.

    Una condición consta de una o más variables. Una variable puede ser relevante para la propia solicitud (por ejemplo, request.operation) o para el recurso sobre el que se realiza una acción en la solicitud (por ejemplo, target.compartment.id). Para ilustrar, a fin de permitir que un grupo gestione una base de conocimientos específica y no otra base de conocimientos:

    Allow group <group-name> to manage adm-knowledge-bases in compartment <compartment-name> where target.compartment.id = '<compartment-ocid>'

    O bien, para permitir que un grupo gestione todos los recursos de Application Dependency Management, excepto la supresión de bases de conocimientos:

    Allow group <group-name> to manage adm-family in compartment <compartment-name> where request.permission != 'ADM_KNOWLEDGE_BASE_DELETE'

Para obtener más información, consulte Sintaxis de políticas. Para obtener más información sobre la creación de políticas, consulte Funcionamiento de las políticas y Referencia de políticas.