Introducción a los recursos y los permisos de Big Data Service en las políticas de IAM
Oracle Identity and Access Management (IAM) proporciona un marco flexible para escribir sentencias de política que controlan cómo los recursos pueden interactuar entre sí. IAM define una serie de recursos estándar, junto con los permisos necesarios para interactuar con ellos. Big data Service agrega sus propios recursos y permisos específicos del servicio.
En este tema se describen los recursos y permisos que un administrador puede utilizar para crear sentencias de políticas de IAM para Big Data Service.
Tipos de recursos y permisos
Familia de recursos | Tipo de recurso | Permisos |
---|---|---|
bds-family | bds-instances |
|
bds-family | bds-limits |
|
Asignación de operaciones a permisos
En la siguiente tabla se muestran las operaciones de IAM específicas de Big Data Service. Puede escribir una política de IAM que incluya estas operaciones, o bien puede escribir una política que utilice un verbo definido que encapsule estas operaciones.
Operación | Operación de API | Permiso necesario para usar la operación |
---|---|---|
Mostrar todos los clusters en el compartimento especificado | ListBdsInstances | BDS_INSPECT |
Crear Cluster | CreateBdsInstance | BDS_CREATE |
Mostrar detalles sobre el cluster especificado | GetBdsInstance | BDS_READ |
Cambiar el tamaño de un cluster | ChangeShape | BDS_UPDATE |
Actualizar detalles de un cluster | UpdateBdsInstance | BDS_UPDATE |
Suprimir la instancia especificada | DeleteBdsInstance | BDS_DELETE |
Agregar almacenamiento de bloques al cluster especificado | AddBlockStorage | BDS_UPDATE |
Agregar nodos de trabajador al cluster especificado | AddWorkerNodes | BDS_UPDATE |
Reiniciar un nodo especificado de un cluster | RestartNode | BDS_UPDATE |
Agregar Cloud SQL al cluster especificado | AddCloudSql | BDS_UPDATE |
Eliminar Cloud SQL del cluster especificado | RemoveCloudSql | BDS_UPDATE |
Mover el cluster de un compartimento a otro | ChangeBdsInstanceCompartment | BDS_MOVE |
Mostratodas las configuraciones de escala automática para el cluster especificado | ListAutoScalingConfigurations | BDS_INSPECT |
Agregar una configuración de escala automática al cluster especificado | AddAutoScalingConfiguration | BDS_UPDATE |
Mostrar los detalles de la configuración de escala automática especificada | GetAutoScalingConfiguration | BDS_READ |
Actualizar los campos de una configuración de escala automática | UpdateAutoScalingConfiguration | BDS_UPDATE |
Suprimir una configuración de escala automática | RemoveAutoScalingConfiguration | BDS_UPDATE |
Mostrar todas las solicitudes de trabajo de Big Data en el compartimento especificado | ListWorkRequests | BDS_INSPECT |
Mostrar detalles sobre las solicitudes de trabajo especificadas | GetWorkRequest | BDS_READ |
Mostrar logs para la solicitud de trabajo especificada | ListWorkRequestLogs | BDS_INSPECT |
Mostrar errores para la solicitud de trabajo especificada | ListWorkRequestErrors | BDS_INSPECT |
Mostrar recursos utilizados | ListConsumptions | BDS_CONSUMPTION_INSPECT |
Mostrar las claves de API en el cluster especificado | ListBdsApiKeys | BDS_READ |
Crear una clave de API en el cluster especificado | CreateBdsApiKey | BDS_UPDATE |
Obtener una clave de API en el cluster especificado | GetBdsApiKey | BDS_READ |
Suprimir una clave de API en el cluster especificado | DeleteBdsApiKey | BDS_UPDATE |
Probar el acceso al cubo de Object Store mediante la clave de API especificada | TestBdsObjectStorageConnection | BDS_READ |
Atributos específicos de la operación
Para un tipo de recurso determinado, debe tener el mismo juego de atributos en todas las operaciones (obtener, mostrar, suprimir, etc.). La única excepción es para el tipo de operación "create", donde aún no tendrá el ID para ese objeto, por lo que no puede tener un atributo target.RESOURCE-KIND.id
para "create".
Tipo de recurso | Nombre | Tipo | Código fuente |
---|---|---|---|
bds-instances | target.bds-instances.source-compartment.id | Entidad | Solicitud |
bds-instances | target.bds-instances.destination-compartment.id | Entidad | Solicitud |
verbos de IAM para su uso con Big Data Service
Tipo de recurso | inspeccionar | lectura | Usar | gestionar |
---|---|---|---|---|
bds-instances | BDS_INSPECT | inspect + BDS_READ |
leído + BDS_UPDATE |
use + BDS_CREATE BDS_DELETE BDS_MOVE |
bds-limits | BDS_CONSUMPTION_INSPECT | . | . | . |
Ejemplo 1 - Administradores con todos los permisos en clusters
La siguiente sentencia de política indica que los miembros de un grupo denominado bds-admins
pueden inspeccionar, leer, actualizar, crear, suprimir y mover todos los clusters de un compartimento denominado bds-learn
.
allow bds-admins to manage bds-instances in compartment bds-dev
En la sentencia anterior:
-
bds-admins
es un grupo creado por un administrador. -
manage
especifica las operaciones que pueden utilizar los miembros del grupobds-admins
.Manage
es uno de los verbos descritos en "Verbos de IAM para su uso con Big Data Service". Proporciona a un usuario/grupo permiso para utilizar todas las operaciones proporcionadas por los verbosinspect
,read
yuse
, además de algunas operaciones específicas del verbomanage
:- El verbo
inspect
incluye la operaciónBDS_INSPECT
. - El verbo
read
incluye las operacionesBDS_INSPECT
yBDS_READ
. - El verbo
use
incluye las operacionesBDS_INSPECT
,BDS_READ
yBDS_UPDATE
. - El verbo
manage
incluye las operacionesBDS_INSPECT
,BDS_READ
,BDS_UPDATE
,BDS_CREATE
,BDS_DELETE
yBDS_MOVE
.
- El verbo
-
bds-dev
es un compartimento creado por un administrador.
La siguiente sentencia de política indica que los miembros del grupo bds-admins
pueden gestionar los recursos de la red virtual en la nube (VCN) en todo el arrendamiento.
allow group bds-admins to manage virtual-network-family in tenancy
Ejemplo 2 - Usuarios
La siguiente sentencia de política indica que los miembros de un grupo denominado bds-users
pueden inspeccionar y leer todos los clusters del compartimento bds-learn
. (El verbo read
incluye los permisos inspect
y read
).
allow bds-users to read bds-instances in compartment bds-learn
Más información
Para obtener información sobre las políticas de IAM, consulte Visión general de Oracle Cloud Infrastructure Identity and Access Management en la documentación de Oracle Cloud Infrastructure. Para obtener más información sobre la escritura de políticas, consulte Sintaxis de políticas y Referencia de políticas.