Introducción a los recursos y los permisos de Big Data Service en las políticas de IAM

Oracle Identity and Access Management (IAM) proporciona un marco flexible para escribir sentencias de política que controlan cómo los recursos pueden interactuar entre sí. IAM define una serie de recursos estándar, junto con los permisos necesarios para interactuar con ellos. Big data Service agrega sus propios recursos y permisos específicos del servicio.

En este tema se describen los recursos y permisos que un administrador puede utilizar para crear sentencias de políticas de IAM para Big Data Service.

Tipos de recursos y permisos

Familia de recursos Tipo de recurso Permisos
bds-family bds-instances
  • BDS_INSPECT
  • BDS_READ
  • BDS_CREATE
  • BDS_UPDATE
  • BDS_DELETE
  • BDS_MOVE
bds-family bds-limits
  • BDS_CONSUMPTION_INSPECT

Asignación de operaciones a permisos

En la siguiente tabla se muestran las operaciones de IAM específicas de Big Data Service. Puede escribir una política de IAM que incluya estas operaciones, o bien puede escribir una política que utilice un verbo definido que encapsule estas operaciones.

Operación Operación de API Permiso necesario para usar la operación
Mostrar todos los clusters en el compartimento especificado ListBdsInstances BDS_INSPECT
Crear Cluster CreateBdsInstance BDS_CREATE
Mostrar detalles sobre el cluster especificado GetBdsInstance BDS_READ
Cambiar el tamaño de un cluster ChangeShape BDS_UPDATE
Actualizar detalles de un cluster UpdateBdsInstance BDS_UPDATE
Suprimir la instancia especificada DeleteBdsInstance BDS_DELETE
Agregar almacenamiento de bloques al cluster especificado AddBlockStorage BDS_UPDATE
Agregar nodos de trabajador al cluster especificado AddWorkerNodes BDS_UPDATE
Reiniciar un nodo especificado de un cluster RestartNode BDS_UPDATE
Agregar Cloud SQL al cluster especificado AddCloudSql BDS_UPDATE
Eliminar Cloud SQL del cluster especificado RemoveCloudSql BDS_UPDATE
Mover el cluster de un compartimento a otro ChangeBdsInstanceCompartment BDS_MOVE
Mostratodas las configuraciones de escala automática para el cluster especificado ListAutoScalingConfigurations BDS_INSPECT
Agregar una configuración de escala automática al cluster especificado AddAutoScalingConfiguration BDS_UPDATE
Mostrar los detalles de la configuración de escala automática especificada GetAutoScalingConfiguration BDS_READ
Actualizar los campos de una configuración de escala automática UpdateAutoScalingConfiguration BDS_UPDATE
Suprimir una configuración de escala automática RemoveAutoScalingConfiguration BDS_UPDATE
Mostrar todas las solicitudes de trabajo de Big Data en el compartimento especificado ListWorkRequests BDS_INSPECT
Mostrar detalles sobre las solicitudes de trabajo especificadas GetWorkRequest BDS_READ
Mostrar logs para la solicitud de trabajo especificada ListWorkRequestLogs BDS_INSPECT
Mostrar errores para la solicitud de trabajo especificada ListWorkRequestErrors BDS_INSPECT
Mostrar recursos utilizados ListConsumptions BDS_CONSUMPTION_INSPECT
Mostrar las claves de API en el cluster especificado ListBdsApiKeys BDS_READ
Crear una clave de API en el cluster especificado CreateBdsApiKey BDS_UPDATE
Obtener una clave de API en el cluster especificado GetBdsApiKey BDS_READ
Suprimir una clave de API en el cluster especificado DeleteBdsApiKey BDS_UPDATE
Probar el acceso al cubo de Object Store mediante la clave de API especificada TestBdsObjectStorageConnection BDS_READ

Atributos específicos de la operación

Nota

Para un tipo de recurso determinado, debe tener el mismo juego de atributos en todas las operaciones (obtener, mostrar, suprimir, etc.). La única excepción es para el tipo de operación "create", donde aún no tendrá el ID para ese objeto, por lo que no puede tener un atributo target.RESOURCE-KIND.id para "create".

Tipo de recurso Nombre Tipo Código fuente
bds-instances target.bds-instances.source-compartment.id Entidad Solicitud
bds-instances target.bds-instances.destination-compartment.id Entidad Solicitud

verbos de IAM para su uso con Big Data Service

Tipo de recurso inspeccionar lectura Usar gestionar
bds-instances BDS_INSPECT inspect +

BDS_READ

leído +

BDS_UPDATE

use +

BDS_CREATE

BDS_DELETE

BDS_MOVE

bds-limits BDS_CONSUMPTION_INSPECT . . .

Ejemplo 1 - Administradores con todos los permisos en clusters

La siguiente sentencia de política indica que los miembros de un grupo denominado bds-admins pueden inspeccionar, leer, actualizar, crear, suprimir y mover todos los clusters de un compartimento denominado bds-learn.

allow bds-admins to manage bds-instances in compartment bds-dev

En la sentencia anterior:

  • bds-admins es un grupo creado por un administrador.

  • manage especifica las operaciones que pueden utilizar los miembros del grupo bds-admins. Manage es uno de los verbos descritos en "Verbos de IAM para su uso con Big Data Service". Proporciona a un usuario/grupo permiso para utilizar todas las operaciones proporcionadas por los verbos inspect, read y use, además de algunas operaciones específicas del verbo manage:

    • El verbo inspect incluye la operación BDS_INSPECT.
    • El verbo read incluye las operaciones BDS_INSPECT y BDS_READ.
    • El verbo use incluye las operaciones BDS_INSPECT, BDS_READ y BDS_UPDATE.
    • El verbo manage incluye las operaciones BDS_INSPECT, BDS_READ, BDS_UPDATE, BDS_CREATE, BDS_DELETE y BDS_MOVE.
  • bds-dev es un compartimento creado por un administrador.

La siguiente sentencia de política indica que los miembros del grupo bds-admins pueden gestionar los recursos de la red virtual en la nube (VCN) en todo el arrendamiento.

allow group bds-admins to manage virtual-network-family in tenancy

Ejemplo 2 - Usuarios

La siguiente sentencia de política indica que los miembros de un grupo denominado bds-users pueden inspeccionar y leer todos los clusters del compartimento bds-learn. (El verbo read incluye los permisos inspect y read).

allow bds-users to read bds-instances in compartment bds-learn

Más información

Para obtener información sobre las políticas de IAM, consulte Visión general de Oracle Cloud Infrastructure Identity and Access Management en la documentación de Oracle Cloud Infrastructure. Para obtener más información sobre la escritura de políticas, consulte Sintaxis de políticas y Referencia de políticas.