Introducción a los recursos y los permisos de Big Data Service en las políticas de IAM
Oracle Identity and Access Management (IAM) proporciona un marco flexible para escribir sentencias de política que controlan cómo los recursos pueden interactuar entre sí. IAM define una serie de recursos estándar, junto con los permisos necesarios para interactuar con ellos. Big data Service agrega sus propios recursos y permisos específicos del servicio.
En este tema se describen los recursos y permisos que un administrador puede utilizar para crear sentencias de políticas de IAM para Big Data Service.
Tipos de recursos y permisos
| Familia de recursos | Tipo de recurso | Permisos |
|---|---|---|
| bds-family | bds-instances |
|
| bds-family | bds-limits |
|
Asignación de operaciones a permisos
En la siguiente tabla se muestran las operaciones de IAM específicas de Big Data Service. Puede escribir una política de IAM que incluya estas operaciones, o bien puede escribir una política que utilice un verbo definido que encapsule estas operaciones.
| Operación | Operación de API | Permiso necesario para usar la operación |
|---|---|---|
| Mostrar todos los clusters en el compartimento especificado | ListBdsInstances | BDS_INSPECT |
| Crear Cluster | CreateBdsInstance | BDS_CREATE |
| Mostrar detalles sobre el cluster especificado | GetBdsInstance | BDS_READ |
| Cambiar el tamaño de un cluster | ChangeShape | BDS_UPDATE |
| Actualizar detalles de un cluster | UpdateBdsInstance | BDS_UPDATE |
| Suprimir la instancia especificada | DeleteBdsInstance | BDS_DELETE |
| Agregar almacenamiento de bloques al cluster especificado | AddBlockStorage | BDS_UPDATE |
| Agregar nodos de trabajador al cluster especificado | AddWorkerNodes | BDS_UPDATE |
| Reiniciar un nodo especificado de un cluster | RestartNode | BDS_UPDATE |
| Agregar Cloud SQL al cluster especificado | AddCloudSql | BDS_UPDATE |
| Eliminar Cloud SQL del cluster especificado | RemoveCloudSql | BDS_UPDATE |
| Mover el cluster de un compartimento a otro | ChangeBdsInstanceCompartment | BDS_MOVE |
| Mostratodas las configuraciones de escala automática para el cluster especificado | ListAutoScalingConfigurations | BDS_INSPECT |
| Agregar una configuración de escala automática al cluster especificado | AddAutoScalingConfiguration | BDS_UPDATE |
| Mostrar los detalles de la configuración de escala automática especificada | GetAutoScalingConfiguration | BDS_READ |
| Actualizar los campos de una configuración de escala automática | UpdateAutoScalingConfiguration | BDS_UPDATE |
| Suprimir una configuración de escala automática | RemoveAutoScalingConfiguration | BDS_UPDATE |
| Mostrar todas las solicitudes de trabajo de Big Data en el compartimento especificado | ListWorkRequests | BDS_INSPECT |
| Mostrar detalles sobre las solicitudes de trabajo especificadas | GetWorkRequest | BDS_READ |
| Mostrar logs para la solicitud de trabajo especificada | ListWorkRequestLogs | BDS_INSPECT |
| Mostrar errores para la solicitud de trabajo especificada | ListWorkRequestErrors | BDS_INSPECT |
| Mostrar recursos utilizados | ListConsumptions | BDS_CONSUMPTION_INSPECT |
| Mostrar las claves de API en el cluster especificado | ListBdsApiKeys | BDS_READ |
| Crear una clave de API en el cluster especificado | CreateBdsApiKey | BDS_UPDATE |
| Obtener una clave de API en el cluster especificado | GetBdsApiKey | BDS_READ |
| Suprimir una clave de API en el cluster especificado | DeleteBdsApiKey | BDS_UPDATE |
| Probar el acceso al cubo de Object Store mediante la clave de API especificada | TestBdsObjectStorageConnection | BDS_READ |
Atributos específicos de la operación
Para un tipo de recurso determinado, debe tener el mismo juego de atributos en todas las operaciones (obtener, mostrar, suprimir, etc.). La única excepción es para el tipo de operación "create", donde aún no tendrá el ID para ese objeto, por lo que no puede tener un atributo target.RESOURCE-KIND.id para "create".
| Tipo de recurso | Nombre | Tipo | Código fuente |
|---|---|---|---|
| bds-instances | target.bds-instances.source-compartment.id | Entidad | Solicitud |
| bds-instances | target.bds-instances.destination-compartment.id | Entidad | Solicitud |
verbos de IAM para su uso con Big Data Service
| Tipo de recurso | inspeccionar | lectura | Usar | gestionar |
|---|---|---|---|---|
| bds-instances | BDS_INSPECT | inspect + BDS_READ |
leído + BDS_UPDATE |
use + BDS_CREATE BDS_DELETE BDS_MOVE |
| bds-limits | BDS_CONSUMPTION_INSPECT | . | . | . |
Ejemplo 1 - Administradores con todos los permisos en clusters
La siguiente sentencia de política indica que los miembros de un grupo denominado bds-admins pueden inspeccionar, leer, actualizar, crear, suprimir y mover todos los clusters de un compartimento denominado bds-learn.
allow bds-admins to manage bds-instances in compartment bds-devEn la sentencia anterior:
-
bds-adminses un grupo creado por un administrador. -
manageespecifica las operaciones que pueden utilizar los miembros del grupobds-admins.Managees uno de los verbos descritos en la "Verbos de IAM para el uso con Big Data Service". Proporciona a un usuario/grupo permiso para utilizar todas las operaciones proporcionadas por los verbosinspect,readyuse, además de algunas operaciones específicas del verbomanage:- El verbo
inspectincluye la operaciónBDS_INSPECT. - El verbo
readincluye las operacionesBDS_INSPECTyBDS_READ. - El verbo
useincluye las operacionesBDS_INSPECT,BDS_READyBDS_UPDATE. - El verbo
manageincluye las operacionesBDS_INSPECT,BDS_READ,BDS_UPDATE,BDS_CREATE,BDS_DELETEyBDS_MOVE.
- El verbo
-
bds-deves un compartimento creado por un administrador.
La siguiente sentencia de política indica que los miembros del grupo bds-admins pueden gestionar los recursos de la red virtual en la nube (VCN) en todo el arrendamiento.
allow group bds-admins to manage virtual-network-family in tenancyEjemplo 2 - Usuarios
La siguiente sentencia de política indica que los miembros de un grupo denominado bds-users pueden inspeccionar y leer todos los clusters del compartimento bds-learn. (El verbo read incluye los permisos inspect y read).
allow bds-users to read bds-instances in compartment bds-learnMás información
Para obtener información sobre las políticas de IAM, consulte Visión general de Oracle Cloud Infrastructure Identity and Access Management en la documentación de Oracle Cloud Infrastructure. Para obtener más información sobre la escritura de políticas, consulte Sintaxis de políticas y Referencia de políticas.