Documentación de Oracle Cloud Infrastructure

Políticas de IAM de DevOps

Cree políticas de IAM para controlar quién tiene acceso a los recursos DevOps y para controlar el tipo de acceso para cada grupo de usuarios.

Antes de controlar el acceso a recursos de DevOps como repositorios de código, pipelines de compilación y pipelines de despliegue, debe crear usuarios y colocarlos en grupos adecuados (consulte Gestión de usuarios y Gestión de grupos). A continuación, puede crear políticas y sentencias de política para controlar el acceso (consulte Gestión de políticas).

Por defecto, los usuarios del grupo Administrators tienen acceso a todos los recursos de DevOps. Si no está familiarizado con las políticas de IAM, consulte Introducción a las políticas.

Para obtener una lista completa de todas las políticas de Oracle Cloud Infrastructure, consulte Referencia de política y Políticas comunes.

En esta sección se explican los siguientes temas:

Tipos de recursos y permisos

Lista de tipos de recursos de DevOps y permisos asociados.

Para asignar permisos a todos los recursos de DevOps, utilice el tipo agregado devops-family. Para obtener más información, consulte Permisos.

Una política que utiliza <verb> devops-family es igual a escribir una política con una sentencia <verb> <resource-type> independiente para cada uno de los tipos de recursos individuales.

Tipo de recurso Permisos
familia devops Los verbos inspect, read, use, manage se aplican a todos los permisos de tipos de recursos DevOps.

Los verbos inspect y read son aplicables para el permiso DEVOPS_WORK_REQUEST.
devops-project
  • DEVOPS_PROJECT_INSPECT
  • DEVOPS_PROJECT_READ
  • DEVOPS_PROJECT_UPDATE
  • DEVOPS_PROJECT_CREATE
  • DEVOPS_PROJECT_DELETE
  • DEVOPS_PROJECT_MOVE
  • DEVOPS_PROJECT_CASCADE_DELETE
  • DEVOPS_PROJECT_SETTINGS_READ
  • DEVOPS_PROJECT_SETTINGS_UPDATE
  • DEVOPS_PROJECT_SETTINGS_DELETE
familia devops-deploy-

Los verbos inspect, read, use, manage se aplican para los siguientes permisos:

  • DEVOPS_DEPLOY_ARTIFACT
  • DEVOPS_DEPLOY_ENVIRONMENT
  • DEVOPS_DEPLOY_PIPELINE
  • DEVOPS_DEPLOY_STAGE
  • DEVOPS_DEPLOY_DEPLOYMENT
devops-deploy-artifact
  • DEVOPS_DEPLOY_ARTIFACT_INSPECT
  • DEVOPS_DEPLOY_ARTIFACT_READ
  • DEVOPS_DEPLOY_ARTIFACT_UPDATE
  • DEVOPS_DEPLOY_ARTIFACT_CREATE
  • DEVOPS_DEPLOY_ARTIFACT_DELETE
devops-deploy-environment
  • DEVOPS_DEPLOY_ENVIRONMENT_INSPECT
  • DEVOPS_DEPLOY_ENVIRONMENT_READ
  • DEVOPS_DEPLOY_ENVIRONMENT_UPDATE
  • DEVOPS_DEPLOY_ENVIRONMENT_CREATE
  • DEVOPS_DEPLOY_ENVIRONMENT_DELETE
devops-deploy-pipeline
  • DEVOPS_DEPLOY_PIPELINE_INSPECT
  • DEVOPS_DEPLOY_PIPELINE_READ
  • DEVOPS_DEPLOY_PIPELINE_UPDATE
  • DEVOPS_DEPLOY_PIPELINE_CREATE
  • DEVOPS_DEPLOY_PIPELINE_DELETE
devops-deploy-stage
  • DEVOPS_DEPLOY_STAGE_INSPECT
  • DEVOPS_DEPLOY_STAGE_READ
  • DEVOPS_DEPLOY_STAGE_UPDATE
  • DEVOPS_DEPLOY_STAGE_CREATE
  • DEVOPS_DEPLOY_STAGE_DELETE
devops-deployment
  • DEVOPS_DEPLOY_DEPLOYMENT_INSPECT
  • DEVOPS_DEPLOY_DEPLOYMENT_READ
  • DEVOPS_DEPLOY_DEPLOYMENT_UPDATE
  • DEVOPS_DEPLOY_DEPLOYMENT_CREATE
  • DEVOPS_DEPLOY_DEPLOYMENT_DELETE
  • DEVOPS_DEPLOY_DEPLOYMENT_CANCEL
  • DEVOPS_DEPLOY_DEPLOYMENT_APPROVE
devops-work-requests
  • DEVOPS_WORK_REQUEST_INSPECT
  • DEVOPS_WORK_REQUEST_READ
devops-repository-family

Los verbos inspect, read, use, manage se aplican para los siguientes permisos:

  • DEVOPS_REPOSITORY
  • DEVOPS_PULL_REQUEST
  • DEVOPS_PULL_REQUEST_COMMENT
  • DEVOPS_PROTECTED_BRANCH

El verbo manage es aplicable para el permiso DEVOPS_REPOSITORY_SETTINGS.
devops-repository
  • DEVOPS_REPOSITORY_INSPECT
  • DEVOPS_REPOSITORY_READ
  • DEVOPS_REPOSITORY_UPDATE
  • DEVOPS_REPOSITORY_CREATE
  • DEVOPS_REPOSITORY_DELETE
  • DEVOPS_REPOSITORY_SETTINGS_READ
  • DEVOPS_REPOSITORY_SETTINGS_UPDATE
  • DEVOPS_REPOSITORY_SETTINGS_DELETE
devops-pull-request
  • DEVOPS_PULL_REQUEST_INSPECT
  • DEVOPS_PULL_REQUEST_READ
  • DEVOPS_PULL_REQUEST_UPDATE
  • DEVOPS_PULL_REQUEST_CREATE
  • DEVOPS_PULL_REQUEST_DELETE
  • DEVOPS_PULL_REQUEST_REVIEW
devops-pull-request-comment
  • DEVOPS_PULL_REQUEST_COMMENT_INSPECT
  • DEVOPS_PULL_REQUEST_COMMENT_READ
  • DEVOPS_PULL_REQUEST_COMMENT_UPDATE
  • DEVOPS_PULL_REQUEST_COMMENT_CREATE
  • DEVOPS_PULL_REQUEST_COMMENT_DELETE
devops-protected-branch
  • DEVOPS_PROTECTED_BRANCH_INSPECT
  • DEVOPS_PROTECTED_BRANCH_READ
  • DEVOPS_PROTECTED_BRANCH_PUSH
  • DEVOPS_PROTECTED_BRANCH_CREATE
  • DEVOPS_PROTECTED_BRANCH_UPDATE
  • DEVOPS_PROTECTED_BRANCH_DELETE
devops-build-family

Teniendo en cuenta los verbos, inspect, read, use, manage se aplica a los siguientes permisos:

  • DEVOPS_BUILD_PIPELINE
  • DEVOPS_BUILD_PIPELINE_STAGE
  • DEVOPS_BUILD_RUN
devops-build-pipeline
  • DEVOPS_BUILD_PIPELINE_INSPECT
  • DEVOPS_BUILD_PIPELINE_READ
  • DEVOPS_BUILD_PIPELINE_UPDATE
  • DEVOPS_BUILD_PIPELINE_CREATE
  • DEVOPS_BUILD_PIPELINE_DELETE
devops-build-pipeline-stage
  • DEVOPS_BUILD_PIPELINE_STAGE_INSPECT
  • DEVOPS_BUILD_PIPELINE_STAGE_READ
  • DEVOPS_BUILD_PIPELINE_STAGE_UPDATE
  • DEVOPS_BUILD_PIPELINE_STAGE_CREATE
  • DEVOPS_BUILD_PIPELINE_STAGE_DELETE
devops-build-run
  • DEVOPS_BUILD_RUN_INSPECT
  • DEVOPS_BUILD_RUN_READ
  • DEVOPS_BUILD_RUN_UPDATE
  • DEVOPS_BUILD_RUN_CREATE
  • DEVOPS_BUILD_RUN_DELETE
  • DEVOPS_BUILD_RUN_CANCEL
devops-connection
  • DEVOPS_CONNECTION_INSPECT
  • DEVOPS_CONNECTION_READ
  • DEVOPS_CONNECTION_UPDATE
  • DEVOPS_CONNECTION_CREATE
  • DEVOPS_CONNECTION_DELETE
devops-trigger
  • DEVOPS_TRIGGER_INSPECT
  • DEVOPS_TRIGGER_READ
  • DEVOPS_TRIGGER_UPDATE
  • DEVOPS_TRIGGER_CREATE
  • DEVOPS_TRIGGER_DELETE

Variables soportadas

Las variables se utilizan al agregar condiciones a una política.

DevOps soporta las siguientes variables:

  • Entidad: ID de Oracle Cloud (OCID)
  • tringir: texto en formato libre.
  • Número: valor numérico (precisión arbitraria)
  • Lista: lista de entidades, cadenas o números
  • Booleano: True o False

Consulte Variables generales para todas las solicitudes.

Las variables se especifican en minúsculas y separadas por guiones. Por ejemplo, target.tag-namespace.name, target.display-name. Aquí name debe ser un valor único y display-name es la descripción.

El servicio DevOps proporciona las variables necesarias para cada solicitud. El motor de autorización proporciona variables automáticas (ya sea de servicio local con el SDK para un cliente grueso o en el plano de datos de identidad para un cliente fino).

Variables necesarias Tipo Descripción
target.compartment.id Entidad (OCID) OCID del recurso primario para la solicitud.
request.operation Cadena ID de operación (por ejemplo, GetUser) de la solicitud.
target.resource.kind Cadena Nombre de tipo de recurso del recurso primario de la solicitud.
Variables automáticas Tipo Descripción
request.user.id Entidad (OCID) OCID del usuario solicitante.
request.groups.id Lista de entidades (OCID) OCID de los grupos en los que está el usuario solicitante.
target.compartment.name Cadena Nombre del compartimento especificado en target.compartment.id.
target.tenant.id Entidad (OCID) OCID del ID de inquilino de destino.

A continuación, se muestra una lista de orígenes disponibles para las variables:

  • Solicitud: procede de la entrada de la solicitud.
  • Derivado: procede de la solicitud.
  • Almacenado: procede del servicio y la entrada retenida.
  • Calculado: se calcula a partir de los datos del servicio.

Asignación de variables con tipos de recursos

Tipo de recurso Variable Tipo Origen Descripción

devops-project

devops-deploy-artifact

devops-deploy-environment

devops-deploy-pipeline

devops-deploy-stage

devops-deployment

devops-repository

devops-pull-request

devops-connection

devops-trigger

devops-build-pipeline

devops-build-pipeline-stage

devops-build-run

devops-pull-request-comment

devops-protected-branch

 target.project.id Entrada Almacenado Disponible para operaciones obtener, actualizar, suprimir y mover en el recurso Proyecto.

devops-project

devops-deploy-artifact

devops-deploy-environment

devops-deploy-pipeline

devops-deploy-stage

devops-deployment

devops-repository

devops-pull-request

devops-connection

devops-trigger

devops-build-pipeline

devops-build-pipeline-stage

devops-build-run

devops-pull-request-comment

devops-protected-branch

 target.project.name Cadena Almacenado Disponible para operaciones obtener, actualizar, suprimir y mover en el recurso Proyecto.
devops-deploy-artifact target.artifact.id Entidad Almacenado Disponible para operaciones obtener, actualizar y suprimir en el recurso Artefacto.
devops-deploy-environment target.environment.id Entidad Almacenado Disponible para operaciones obtener, actualizar y suprimir en el recurso Entorno.

devops-deploy-pipeline

devops-deploy-stage

devops-deployment

 target.pipeline.id Entidad Almacenado Disponible para operaciones obtener, actualizar y suprimir en el recurso Pipeline.
devops-deploy-stage target.stage.id Entidad Almacenado Disponible para operaciones obtener, actualizar y suprimir en el recurso Etapa.
devops-deployment target.deployment.id Entidad Almacenado Disponible para operaciones obtener, actualizar y suprimir en los tipos de recurso Despliegue.
devops-repository

devops-pull-request

devops-pull-request-comment

devops-protected-branch

 target.repository.id Entidad Almacenado Disponible para operaciones obtener, actualizar, suprimir y mover en el recurso Repositorio.
devops-pull-request-comment target.pull-request.id Entidad Almacenado Disponible para operaciones obtener, actualizar y suprimir en el recurso Pull-Request.
devops-repository

devops-pull-request

devops-pull-request-comment

devops-protected-branch

 target.repository.name Entidad Almacenado Disponible para operaciones obtener, actualizar, suprimir y mover en el recurso Repositorio.
devops-pull-request-comment target.pull-request.display-name Cadena Almacenado Disponible para operaciones obtener, actualizar y suprimir en el recurso Pull-Request.
devops-repository target.branch.name Entidad Almacenado Disponible para operaciones de Git como upload-pack y receive-pack en la rama del repositorio.
devops-protected-branch target.branch.name Cadena Almacenado Disponible para operaciones obtener, actualizar, suprimir y mover en el recurso Rama protegida.
devops-repository target.tag.name Entidad Almacenado Disponible para operaciones de Git como upload-pack y receive-pack en la rama del repositorio.
devops-pull-request target.pull-request.id Entidad Almacenado Disponible para operaciones obtener, actualizar y suprimir en el recurso Pull-Request.
devops-pull-request target.pull-request.display-name Cadena Almacenado Disponible para operaciones obtener, actualizar y suprimir en el recurso Pull-Request.
devops-connection target.connection.id Entidad Almacenado Disponible para operaciones obtener, actualizar y suprimir en el recurso Conexión.
devops-trigger target.trigger.id Entidad Almacenado Disponible para operaciones obtener, actualizar y suprimir en el recurso Disparador.

devops-build-pipeline

devops-build-pipeline-stage

devops-build-run

 target.build-pipeline.id Entidad Almacenado Disponible para operaciones obtener, actualizar y suprimir en el recurso Pipeline de compilación.
devops-build-pipeline-stage target.build-pipeline-stage.id Entidad Almacenado Disponible para operaciones obtener, actualizar y suprimir en el recurso Etapa de pipeline de compilación.
devops-build-run target.build-run.id Entidad Almacenado Disponible para operaciones obtener, actualizar, suprimir y cancelar en el recurso Ejecución de compilación.

Detalles para combinaciones de verbos y tipos de recursos

Identifique los permisos y las operaciones de API que cubre cada verbo para los recursos de DevOps.

El nivel de acceso es acumulativo a medida que pasa de inspect a read a use a manage. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda anterior. Todos los permisos (inspeccionar, leer, utilizar y gestionar) son aplicables para el tipo de recurso devops-family, que incluye todos los recursos DevOps.

Para obtener más información sobre cómo otorgar acceso, consulte Permisos.

devops-project

En esta tabla, se muestran los permisos y las API cubiertas totalmente por los permisos para el recurso devops-project.

Verbos Permisos API cubiertas Descripción
inspect DEVOPS_PROJECT_INSPECT ListProjects Muestra todos los recursos del proyecto en un compartimento.
read

inspect+

DEVOPS_PROJECT_READ

inspect+

GetProject

 Obtiene un proyecto específico por ID.
use

read+

DEVOPS_PROJECT_UPDATE

read+

UpdateProject

 Actualiza un proyecto específico.
manage

use+

DEVOPS_PROJECT_CREATE

use+

CreateProject

 Crea un recurso de proyecto.
manage

use+

DEVOPS_PROJECT_DELETE

use+

DeleteProject

 Suprime un proyecto específico.
manage

use+

DEVOPS_PROJECT_MOVE

use+

ChangeProjectCompartment

 Mueve un proyecto a un compartimento diferente.
familia devops-deploy-

En esta tabla, se muestran los permisos y las API totalmente cubiertas por los permisos para el recurso devops-deploy-family.

Verbos Permisos API cubiertas Descripción
inspect
  • DEVOPS_DEPLOY_ARTIFACT_INSPECT
  • DEVOPS_DEPLOY_ENVIRONMENT_INSPECT
  • DEVOPS_DEPLOY_PIPELINE_INSPECT
  • DEVOPS_DEPLOY_STAGE_INSPECT
  • DEVOPS_DEPLOYMENT_INSPECT
  • ListDeployArtifacts
  • ListDeployEnvironments
  • ListDeployPipelines
  • ListDeployStages
  • ListDeployments
  • Muestra todos los artefactos de un proyecto o compartimento.
  • Muestra todos los entornos de un proyecto o compartimento.
  • Muestra todos los recursos de pipeline de un compartimento.
  • Muestra todas las etapas de un pipeline o compartimento.
  • Muestra todos los despliegues de un compartimento.
read

inspect+

  • DEVOPS_DEPLOY_ARTIFACT_READ
  • DEVOPS_DEPLOY_ENVIRONMENT_READ
  • DEVOPS_DEPLOY_PIPELINE_READ
  • DEVOPS_DEPLOY_STAGE_READ
  • DEVOPS_DEPLOYMENT_READ

inspect+

  • GetDeployArtifact
  • GetDeployEnvironment
  • GetDeployPipeline
  • GetDeployStage
  • GetDeployment
  • Obtiene un artefacto específico por ID.
  • Obtiene un entorno específico por ID.
  • Obtiene un pipeline específico por ID.
  • Obtiene una etapa específica por ID.
  • Obtiene un despliegue específico por ID.
use

read+

  • DEVOPS_DEPLOY_ARTIFACT_UPDATE
  • DEVOPS_DEPLOY_ENVIRONMENT_UPDATE
  • DEVOPS_DEPLOY_PIPELINE_UPDATE
  • DEVOPS_DEPLOY_STAGE_UPDATE
  • DEVOPS_DEPLOYMENT_UPDATE
  • DEVOPS_DEPLOYMENT_APPROVE
  • DEVOPS_DEPLOYMENT_CANCEL

read+

  • UpdateDeployArtifact
  • UpdateDeployEnvironment
  • UpdateDeployPipeline
  • UpdateDeployStage
  • UpdateDeployment
  • ApproveDeployment
  • CancelDeployment
  • Actualiza un artefacto específico por ID.
  • Actualiza un entorno específico por ID.
  • Actualiza un pipeline específico por ID.
  • Actualiza una etapa específica por ID.
  • Actualiza un despliegue específico por ID.
  • Aprueba un despliegue específico que esté esperando la aprobación manual.
  • Cancela un despliegue en ejecución.
manage

use+

  • DEVOPS_DEPLOY_ARTIFACT_CREATE
  • DEVOPS_DEPLOY_ARTIFACT_DELETE
  • DEVOPS_DEPLOY_ENVIRONMENT_CREATE
  • DEVOPS_DEPLOY_ENVIRONMENT_DELETE
  • DEVOPS_DEPLOY_PIPELINE_CREATE
  • DEVOPS_DEPLOY_PIPELINE_DELETE
  • DEVOPS_DEPLOY_STAGE_CREATE
  • DEVOPS_DEPLOY_STAGE_DELETE
  • DEVOPS_DEPLOYMENT_CREATE
  • DEVOPS_DEPLOYMENT_DELETE

use+

  • CreateDeployArtifact
  • DeleteDeployArtifact
  • CreateDeployEnvironment
  • DeleteDeployEnvironment
  • CreateDeployPipeline
  • DeleteDeployPipeline
  • CreateDeployStage
  • DeleteDeployStage
  • CreateDeployment
  • DeleteDeployment
  • Crea un recurso de artefacto dentro de un proyecto.
  • Suprime un artefacto específico por ID.
  • Crear un entorno dentro de un proyecto.
  • Suprime un entorno específico por ID.
  • Crea un recurso de pipeline.
  • Suprimir un pipeline específico por ID.
  • Crea una etapa dentro de un pipeline.
  • Suprime una etapa específica por ID.
  • Crea un despliegue para un pipeline específico.
  • Suprimir un despliegue específico por ID.
devops-deploy-artifact

En esta tabla, se muestran los permisos y las API cubiertas totalmente por los permisos para el recurso devops-deploy-artifact.

Verbos Permisos API cubiertas Descripción
inspect DEVOPS_DEPLOY_ARTIFACT_INSPECT ListDeployArtifacts Muestra todos los artefactos de un proyecto o compartimento.
read

inspect+

DEVOPS_DEPLOY_ARTIFACT_READ

inspect+

GetDeployArtifact

 Obtiene un artefacto específico por ID.
use

read+

DEVOPS_DEPLOY_ARTIFACT_UPDATE

read+

UpdateDeployArtifact

 Actualiza un artefacto específico por ID.
manage

use+

DEVOPS_DEPLOY_ARTIFACT_CREATE

use+

CreateDeployArtifact

Crea un recurso de artefacto dentro de un proyecto.
manage

use+

DEVOPS_DEPLOY_ARTIFACT_DELETE

use+

DeleteDeployArtifact

Suprime un artefacto específico por ID.
devops-deploy-environment

En esta tabla, se muestran los permisos y las API cubiertas totalmente por los permisos para el recurso devops-deploy-environment.

Verbos Permisos API cubiertas Descripción
inspect DEVOPS_DEPLOY_ENVIRONMENT_INSPECT ListDeployEnvironments Muestra todos los entornos de una aplicación o compartimento.
read

inspect+

DEVOPS_DEPLOY_ENVIRONMENT_READ

inspect+

GetDeployEnvironment

 Obtiene un entorno específico por ID.
use

read+

DEVOPS_DEPLOY_ENVIRONMENT_UPDATE

read+

UpdateDeployEnvironment

 Actualiza un entorno específico por ID.
manage

use+

DEVOPS_DEPLOY_ENVIRONMENT_CREATE

use+

CreateDeployEnvironment

Crea un entorno para un destino de despliegue dentro de una aplicación.
manage

use+

DEVOPS_DEPLOY_ENVIRONMENT_DELETE

use+

DeleteDeployEnvironment

Suprime un entorno específico por ID.
devops-deploy-pipeline

En esta tabla, se muestran los permisos y las API cubiertas totalmente por los permisos para el recurso devops-deploy-pipeline.

Verbos Permisos API cubiertas Descripción
inspect DEVOPS_DEPLOY_PIPELINE_INSPECT ListDeployPipelines Muestra todos los recursos de pipeline de un compartimento.
read

inspect+

DEVOPS_DEPLOY_PIPELINE_READ

inspect+

GetDeployPipeline

 Obtiene un pipeline específico por ID.
use

read+

DEVOPS_DEPLOY_PIPELINE_UPDATE

read+

UpdateDeployPipeline

 Actualiza un pipeline específico por ID.
manage

use+

DEVOPS_DEPLOY_PIPELINE_CREATE

use+

CreateDeployPipeline

Crea un recurso de pipeline.
manage

use+

DEVOPS_DEPLOY_PIPELINE_DELETE

use+

DeleteDeployPipeline

Suprime un pipeline específico.
devops-deploy-stage

En esta tabla, se muestran los permisos y las API cubiertas totalmente por los permisos para el recurso devops-deploy-stage.

Verbos Permisos API cubiertas Descripción
inspect DEVOPS_DEPLOY_STAGE_INSPECT ListDeployStages Muestra todas las etapas de un pipeline o compartimento.
read

inspect+

DEVOPS_DEPLOY_STAGE_READ

inspect+

GetDeployStage

 Obtiene una etapa específica por ID.
use

read+

DEVOPS_DEPLOY_STAGE_UPDATE

read+

UpdateDeployStage

 Actualiza una etapa específica por ID.
manage

use+

DEVOPS_DEPLOY_STAGE_CREATE

use+

CreateDeployStage

Crea una etapa dentro de un pipeline.
manage

use+

DEVOPS_DEPLOY_STAGE_DELETE

use+

DeleteDeployStage

Suprime una etapa específica por ID.
devops-deployment

En esta tabla, se muestran los permisos y las API cubiertas totalmente por los permisos para el recurso devops-deployment.

Verbos Permisos API cubiertas Descripción
inspect DEVOPS_DEPLOYMENT_INSPECT ListDeployments Muestra todos los despliegues de un compartimento.
read

inspect+

DEVOPS_DEPLOYMENT_READ

inspect+

GetDeployment

 Obtiene un despliegue específico por ID.
use

read+

DEVOPS_DEPLOYMENT_UPDATE

read+

UpdateDeployStage

Actualiza una etapa específica por ID.
use

read+

DEVOPS_DEPLOYMENT_APPROVE

read+

ApproveDeployment

 Aprueba un despliegue específico que esté esperando la aprobación manual.
use

read+

DEVOPS_DEPLOYMENT_CANCEL

read+

CancelDeployment

Cancela un despliegue en ejecución.
manage

use+

DEVOPS_DEPLOYMENT_CREATE

use+

CreateDeployment

Crea un despliegue para un pipeline específico.
manage

use+

DEVOPS_DEPLOYMENT_DELETE

use+

DeleteDeployment

Suprime un despliegue específico.
devops-work-requests

En esta tabla, se muestran los permisos y las API cubiertas totalmente por los permisos para el recurso devops-work-requests.

Verbos Permisos API cubiertas Descripción
inspect DEVOPS_WORK_REQUEST_INSPECT ListWorkRequests Muestra todas las solicitudes de trabajo en un compartimento.
read

inspect+

DEVOPS_WORK_REQUEST_READ

inspect+

GetWorkRequest

 Obtiene una solicitud de trabajo específica por ID.
devops-repository-family

En esta tabla, se muestran los permisos y las API totalmente cubiertas por los permisos para el recurso devops-repository-family.

Verbos Permisos API cubiertas Descripción
inspect
  • DEVOPS_REPOSITORY_INSPECT
  • DEVOPS_PULL_REQUEST_INSPECT
  • DEVOPS_PULL_REQUEST_COMMENT_INSPECT
  • DEVOPS_PROTECTED_BRANCH_INSPECT
  • ListRepositories
  • ListPullRequests
  • ListPullRequestAttachments
  • ListPullRequestComments
  • ListProtectedBranches
  • Muestra todos los recursos del repositorio por ID de compartimento, ID de proyecto o ID de repositorio.
  • Mostrar solicitudes de recuperación en un repositorio.
  • Enumerar anexos de solicitud de recuperación por identificador.
  • Lista de comentarios de revisor de solicitud de recuperación.
  • Mostrar las bifurcaciones protegidas en un repositorio.
read
inspect+
  • DEVOPS_REPOSITORY_READ
  • DEVOPS_PULL_REQUEST_READ
  • DEVOPS_PULL_REQUEST_COMMENT_READ
  • DEVOPS_PROTECTED_BRANCH_READ
  • DEVOPS_PULL_REQUEST_REVIEW
  • DEVOPS_PULL_REQUEST_COMMENT_CREATE
  • DEVOPS_PULL_REQUEST_COMMENT_UPDATE
  • DEVOPS_PULL_REQUEST_COMMENT_DELETE

inspect+

  • GetRepository
  • GetPullRequest
  • GetPullRequestComment
  • GetPullRequestAttachmentContent
  • GetProtectedBranch
  • ReviewPullRequest
  • UpdatePullRequestComment
  • LikePullRequestComment
  • UnlikePullRequestComment
  • DeletePullRequestComment
  • Obtiene un repositorio específico por ID.
  • Obtener una solicitud de recuperación por ID.
  • Obtener un comentario por un ID de comentario.
  • Obtener contenido de un anexo de solicitud de recuperación.
  • Obtener información de protección para una rama específica.
  • Actualización de la lista de revisores de una solicitud de recuperación.
  • Actualización de un comentario de solicitud de recuperación por ID.
  • Como un comentario de solicitud de recuperación.
  • A diferencia de un comentario de solicitud de extracción.
  • Suprimir un comentario de solicitud de recuperación.
use

read+

  • DEVOPS_REPOSITORY_UPDATE
  • DEVOPS_PULL_REQUEST_UPDATE
  • DEVOPS_PULL_REQUEST_CREATE
  • DEVOPS_PULL_REQUEST_DELETE

read+

  • UpdateRepository
  • UpdatePullRequest
  • DeclinePullRequest
  • ReopenPullRequest
  • MergePullRequest
  • DeletePullRequest
  • Actualiza un repositorio específico por ID.
  • Actualizar una solicitud de recuperación por ID
  • Para cerrar una solicitud de recuperación, defina el ciclo de vida de la solicitud de recuperación en Rechazado.
  • Vuelva a abrir una solicitud de recuperación cerrada.
  • Fusionar una solicitud de recuperación aprobada de la rama de origen al destino.
  • Eliminación de una petición de recuperación por ID.
manage

use+

  • DEVOPS_REPOSITORY_CREATE
  • DEVOPS_REPOSITORY_DELETE
  • DEVOPS_PROTECTED_BRANCH_CREATE
  • DEVOPS_PROTECTED_BRANCH_UPDATE
  • DEVOPS_PROTECTED_BRANCH_DELETE
  • DEVOPS_REPOSITORY_SETTINGS_READ
  • DEVOPS_REPOSITORY_SETTINGS_UPDATE
  • DEVOPS_REPOSITORY_SETTINGS_DELETE
  • DEVOPS_PROTECTED_BRANCH_PUSH

use+

  • CreateRepository
  • DeleteRepository
  • CreateProtectedBranch
  • UpdateProtectedBranch
  • DeleteProtectedBranch
  • GetRepositorySettings
  • UpdateRepositorySettings
  • DeleteRepositorySettings
  • ProtectedBranchReceivePack
  • Crea un repositorio.
  • Suprime un repositorio específico por ID.
  • Cree una rama protegida en un repositorio.
  • Actualice el nivel de protección en una rama protegida. Las opciones de nivel de protección actuales son PULL_REQUEST_MERGE_ONLY y READ_ONLY.
  • Suprimir una rama protegida. Esto elimina las restricciones agregadas a una rama cuando estaba protegida.
  • Obtener los valores personalizados configurados para un repositorio.
  • Actualice los valores personalizados configurados para un repositorio.
  • Elimine los valores personalizados configurados para un repositorio.
  • Proporciona a los usuarios la capacidad de empujar directamente a la rama protegida.
devops-repository

En esta tabla se muestran los permisos y las API cubiertas totalmente por los permisos para el recurso devops-repository.

Verbos Permisos API cubiertas Descripción
inspect DEVOPS_REPOSITORY_INSPECT ListRepositories Muestra todos los recursos del repositorio por ID de compartimento, ID de proyecto o ID de repositorio.
read

inspect+

DEVOPS_REPOSITORY_READ

inspect+

GetRepository

 Obtiene un repositorio específico por ID.
use

read+

DEVOPS_REPOSITORY_UPDATE

read+

UpdateRepository

 Actualiza un repositorio específico por ID.
manage

use+

DEVOPS_REPOSITORY_CREATE

use+

CreateRepository

Crea un repositorio.
manage

use+

DEVOPS_REPOSITORY_DELETE

use+

DeleteRepository

Suprime un repositorio específico por ID.
devops-connection

En esta tabla, se muestran los permisos y las API cubiertas totalmente por los permisos para el recurso devops-connection.

Verbos Permisos API cubiertas Descripción
inspect DEVOPS_CONNECTION_INSPECT ListConnections Muestra todas las conexiones de un proyecto o compartimento.
read

inspect+

DEVOPS_CONNECTION_READ

inspect+

GetConnection

 Obtiene una conexión específica por ID.
use

read+

DEVOPS_CONNECTION_UPDATE

read+

UpdateConnection

 Actualiza una conexión específica por ID.
use

read+

DEVOPS_CONNECTION_VALIDATE

read+

ValidateConnection

 Valida el PAT de la conexión.
manage

use+

DEVOPS_CONNECTION_CREATE

use+

CreateConnection

Crea un recurso de conexión en un proyecto.
manage

use+

DEVOPS_CONNECTION_DELETE

use+

DeleteConnection

Suprime una conexión específica por ID.
devops-trigger

En esta tabla, se muestran los permisos y las API cubiertas totalmente por los permisos para el recurso devops-trigger.

Verbos Permisos API cubiertas Descripción
inspect DEVOPS_TRIGGER_INSPECT ListTriggers Muestra todos los disparadores de un proyecto o compartimento.
read

inspect+

DEVOPS_TRIGGER_READ

inspect+

GetTrigger

 Obtiene un disparador específico por ID.
use

read+

DEVOPS_TRIGGER_UPDATE

read+

UpdateTrigger

 Actualiza un disparador específico por ID.
manage

use+

DEVOPS_TRIGGER_CREATE

use+

CreateTrigger

Crea un recurso disparador en un proyecto.
manage

use+

DEVOPS_TRIGGER_DELETE

use+

DeleteTrigger

Suprime un disparador específico por ID.
devops-build-family

En esta tabla, se muestran los permisos y las API totalmente cubiertas por los permisos para el recurso devops-build-family.

Verbos Permisos API cubiertas Descripción
inspect
  • DEVOPS_BUILD_PIPELINE_INSPECT
  • DEVOPS_BUILD_PIPELINE_STAGE_INSPECT
  • DEVOPS_BUILD_RUN_INSPECT
  • ListBuildPipelines
  • ListBuildPipelineStages
  • ListBuildRuns
  • Muestra todos los recursos del pipeline de compilación en un compartimento.
  • Muestra las etapas de un pipeline o compartimento de compilación.
  • Muestra las ejecuciones de creación en un proyecto o compartimento.
read

inspect+

  • DEVOPS_BUILD_PIPELINE_READ
  • DEVOPS_BUILD_PIPELINE_STAGE_READ
  • DEVOPS_BUILD_RUN_READ

inspect+

  • GetBuildPipeline
  • GetBuildPipelineStage
  • GetBuildRun
  • Obtiene un pipeline de compilación específico por ID.
  • Obtiene una etapa de pipeline de compilación específica por ID.
  • Obtiene una ejecución de compilación específica por ID.
use

read+

  • DEVOPS_BUILD_PIPELINE_UPDATE
  • DEVOPS_BUILD_PIPELINE_STAGE_UPDATE
  • DEVOPS_BUILD_RUN_UPDATE
  • DEVOPS_BUILD_RUN_CANCEL

read+

  • UpdateBuildPipeline
  • UpdateBuildPipelineStage
  • UpdateBuildRun
  • CancelBuildRun
  • Actualiza un pipeline de compilación específico por ID.
  • Actualiza una etapa de pipeline de compilación específica por ID.
  • Actualiza una ejecución de compilación existente.
  • Cancela una ejecución de compilación que se está ejecutando.
manage

use+

  • DEVOPS_BUILD_PIPELINE_CREATE
  • DEVOPS_BUILD_PIPELINE_DELETE
  • DEVOPS_BUILD_PIPELINE_STAGE_CREATE
  • DEVOPS_BUILD_PIPELINE_STAGE_DELETE
  • DEVOPS_BUILD_RUN_CREATE
  • DEVOPS_BUILD_RUN_DELETE

use+

  • CreateBuildPipeline
  • DeleteBuildPipeline
  • CreateBuildPipelineStage
  • DeleteBuildPipelineStage
  • CreateBuildRun
  • DeleteBuildRun
  • Crea un recurso de pipeline de compilación.
  • Suprimir un pipeline de creación.
  • Crea una etapa dentro de un pipeline de compilación.
  • Suprimir una etapa de pipeline de compilación específica por ID.
  • Iniciar una ejecución de creación para un pipeline de creación.
  • Suprime una ejecución de compilación existente.
devops-build-pipeline

En esta tabla, se muestran los permisos y las API cubiertas totalmente por los permisos para el recurso devops-build-pipeline.

Verbos Permisos API cubiertas Descripción
inspect DEVOPS_BUILD_PIPELINE_INSPECT ListBuildPipelines Muestra todos los recursos del pipeline de compilación en un compartimento.
read

inspect+

DEVOPS_BUILD_PIPELINE_READ

inspect+

GetBuildPipeline

 Obtiene un pipeline de compilación específico por ID.
use

read+

DEVOPS_BUILD_PIPELINE_UPDATE

read+

UpdateBuildPipeline

 Actualiza un pipeline de compilación específico por ID.
manage

use+

DEVOPS_BUILD_PIPELINE_CREATE

use+

CreateBuildPipeline

Crea un recurso de pipeline de compilación.
manage

use+

DEVOPS_BUILD_PIPELINE_DELETE

use+

DeleteBuildPipeline

Suprime un pipeline de compilación específico.
devops-build-pipeline-stage

En esta tabla, se muestran los permisos y las API cubiertas totalmente por los permisos para el recurso devops-build-pipeline-stage.

Verbos Permisos API cubiertas Descripción
inspect DEVOPS_BUILD_PIPELINE_STAGE_INSPECT ListBuildPipelineStages Muestra todas las etapas de un pipeline o compartimento de compilación.
read

inspect+

DEVOPS_BUILD_PIPELINE_STAGE_READ

inspect+

GetBuildPipelineStage

 Obtiene una etapa de pipeline de compilación específica por ID.
use

read+

DEVOPS_BUILD_PIPELINE_STAGE_UPDATE

read+

UpdateBuildPipelineStage

 Actualiza una etapa de pipeline de compilación específica por ID.
manage

use+

DEVOPS_BUILD_PIPELINE_STAGE_CREATE

use+

CreateBuildPipelineStage

Crea una etapa en un pipeline de compilación.
manage

use+

DEVOPS_BUILD_PIPELINE_STAGE_DELETE

use+

DeleteBuildPipelineStage

Suprime la etapa de pipeline de compilación específica por ID.
devops-build-run

En esta tabla, se muestran los permisos y las API cubiertas totalmente por los permisos para el recurso devops-build-run.

Verbos Permisos API cubiertas Descripción
inspect DEVOPS_BUILD_RUN_INSPECT ListBuildRuns Muestra las ejecuciones de compilación en un proyecto o compartimento.
read

inspect+

DEVOPS_BUILD_RUN_READ

inspect+

GetBuildRun

 Obtiene una ejecución de compilación específica por ID.
use

read+

DEVOPS_BUILD_RUN_UPDATE

read+

UpdateBuildRun

 Actualiza una ejecución de compilación existente.
use

read+

DEVOPS_BUILD_RUN_CANCEL

read+

CancelBuildRun

 Cancela una ejecución de compilación en ejecución.
manage

use+

DEVOPS_BUILD_RUN_CREATE

use+

CreateBuildRun

Inicia una ejecución de compilación para un pipeline de compilación especificado.
manage

use+

DEVOPS_BUILD_RUN_DELETE

use+

DeleteBuildRun

Suprime una ejecución de compilación existente.

Creación de una política y un grupo dinámico

Para otorgar permiso a los usuarios para acceder a los distintos recursos de DevOps, como pipelines de compilación, pipelines de despliegue, artefactos y repositorios de código, debe crear grupos, grupos dinámicos y políticas de IAM.

Una política permite a un grupo  trabajar de determinadas formas con tipos específicos de recursos  en un compartimento  concreto.

Política

A continuación, se muestra cómo crear una política en la consola de Oracle Cloud:

  1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Políticas.
  2. Haga clic en Crear política.
  3. Introduzca un nombre y una descripción para la política.
  4. En Creador de política, haga clic en el conmutador Mostrar editor manual para activar el editor.

    Introduzca una regla de política con el siguiente formato: 

    Allow <group> to <verb> <resource_type> in <compartment or tenancy details>
  5. Haga clic en Crear.

Para obtener más información sobre la creación de políticas, consulte Funcionamiento de las políticas y Referencia de políticas.

Para crear un grupo y agregar usuarios al grupo, consulte Gestión de grupos.

Grupo dinámico

Un grupo dinámico es un tipo especial de grupo que contiene recursos (como instancias informáticas) que coincidan con las reglas que haya definido.

Las reglas de coincidencia definen los recursos que pertenecen al grupo dinámico. En la consola, puede introducir la regla manualmente en el cuadro de texto proporcionado o puede utilizar el generador de reglas. Para obtener más información, consulte Escritura de reglas de coincidencia para definir grupos dinámicos. Utilice la regla match-any para hacer coincidir varias condiciones.

Cree un grupo dinámico para sus recursos de DevOps. Puede asignar al grupo dinámico el nombre DevOpsDynamicGroup y sustituir compartmentOCID por el OCID del compartimento: 
ALL {resource.type = 'devopsdeploypipeline', resource.compartment.id = 'compartmentOCID'}
ALL {resource.type = 'devopsrepository', resource.compartment.id = 'compartmentOCID'}
ALL {resource.type = 'devopsbuildpipeline',resource.compartment.id = 'compartmentOCID'}
ALL {resource.type = 'devopsconnection',resource.compartment.id = 'compartmentOCID'}

Para obtener más información sobre los grupos dinámicos, incluidos los permisos necesarios para crearlos, consulte Gestión de grupos dinámicos y Escritura de políticas para grupos dinámicos.

Sentencia de política necesaria para DevOpsDynamicGroup: 
Allow dynamic-group DevOpsDynamicGroup to manage devops-family in compartment <compartment_name>
Nota

Para los arrendamientos que tienen dominios de identidad, el nombre del dominio debe preceder al nombre del grupo dinámico en la política. Por ejemplo, domain-name/{DevOpsDynamicGroup}

Ejemplos de políticas

Políticas de DevOps necesarias para utilizar varios recursos de DevOps como repositorios de código, pipelines de compilación y pipelines de despliegue.

Se proporcionan los siguientes ejemplos de políticas:

Políticas de entorno

Ejemplo de política para crear un entorno de destino que se utiliza para el despliegue.

Consulte las instrucciones para crear políticas mediante la consola.

Cree una política para permitir a los usuarios de un grupo crear, actualizar o suprimir un entorno de OKE privado: 
Allow group <group-name> to manage virtual-network-family in compartment <compartment_name> where any {request.operation='CreatePrivateEndpoint', request.operation='UpdatePrivateEndpoint', request.operation='DeletePrivateEndpoint', request.operation='EnableReverseConnection', request.operation='ModifyReverseConnection', request.operation='DisableReverseConnection'}

Políticas del repositorio de código

Ejemplos de políticas para crear un repositorio de código y conectarse a repositorios de código externo como GitHub y GitLab.

Consulte las instrucciones para crear políticas, grupos y grupos dinámicos mediante la consola.

Para crear un repositorio de código, cree las siguientes políticas de IAM:
  • Permitir a los usuarios de un grupo acceder al proyecto de DevOps: 
    Allow group <group-name> to read devops-project in compartment <compartment_name>
  • Permitir a los usuarios de un grupo leer, crear, actualizar o suprimir un repositorio: 
    Allow group <group-name> to manage devops-repository in compartment <compartment_name>
Para clonar un repositorio, cree las siguientes políticas de IAM:
  • Permitir a los usuarios de un grupo acceder al proyecto de DevOps: 
    Allow group <group-name> to read devops-project in compartment <compartment_name>
  • Permitir a los usuarios de un grupo leer o actualizar un repositorio: 
    Allow group <group-name> to use devops-repository in compartment <compartment_name>
Para realizar la integración con los repositorios de código externos, cree una política en el compartimento raíz. Por ejemplo, para permitir que el grupo dinámico lea secretos: 
Allow dynamic-group DevOpsDynamicGroup to read secret-family in compartment <compartment_name>
Para validar una conexión externa, cree la siguiente política de IAM además de la política para leer secretos: 
Allow group <group-name> to use devops-connection in compartment <compartment_name>
Para recibir notificaciones de correo electrónico para solicitudes de extracción en repositorios de código, cree la siguiente política de IAM mediante un grupo dinámico. El administrador debe crear esta política. Por ejemplo, para permitir el grupo dinámico DevOpsDynamicGroup que incluye el recurso de repositorio: 
Allow dynamic-group DevOpsDynamicGroup to inspect users in tenancy

Para crear una solicitud de recuperación, debe definir políticas basadas en las acciones que puede realizar un usuario. Para obtener más información y ejemplos, consulte Managing Pull Requests.

Políticas de pipeline de compilación

Ejemplos de políticas para crear pipelines de compilación y agregar etapas al pipeline.

Consulte las instrucciones para crear políticas mediante la consola.

  • Cree políticas de IAM para permitir que el grupo dinámico acceda a los recursos de OCI en el compartimento:
    • Para entregar artefactos, proporcione acceso a Container Registry (OCIR): 
      Allow dynamic-group DevOpsDynamicGroup to manage repos in compartment <compartment_name>
    • Para acceder al almacén para el token de acceso personal (PAT), proporcione acceso a secret-family. Esta política es necesaria en la etapa Compilación gestionada para acceder a PAT para descargar el código fuente: 
      Allow dynamic-group DevOpsDynamicGroup to read secret-family in compartment <compartment_name>
    • Proporcionar acceso a artefactos de despliegue de lectura en la etapa Entregar artefactos, leer el repositorio de código de DevOps en la etapa Compilación gestionada y disparar el pipeline de despliegue en la etapa Despliegue de disparador: 
      Allow dynamic-group DevOpsDynamicGroup to manage devops-family in compartment <compartment_name>
    • Para entregar artefactos, proporcione acceso al repositorio de Artifact Registry: 
      Allow dynamic-group DevOpsDynamicGroup to manage generic-artifacts in compartment <compartment_name>
    • Para enviar notificaciones, proporcione acceso al pipeline de compilación: 
      Allow dynamic-group DevOpsDynamicGroup to use ons-topics in compartment <compartment_name>
  • Cree políticas para permitir la configuración del acceso privado en la etapa Creación gestionada: 
    Allow dynamic-group DevOpsDynamicGroup to use subnets in compartment <customer subnet compartment>
    Allow dynamic-group DevOpsDynamicGroup to use vnics in compartment <customer subnet compartment>
    Si se especifica algún grupo de seguridad de red (NSG) en la configuración de acceso privado, la política debe permitir el acceso a los NSG: 
    Allow dynamic-group DevOpsDynamicGroup to use network-security-groups in compartment <customer subnet compartment>
  • Cree una política para permitir que el pipeline de creación acceda al recurso de grupo de autoridad de certificación (CA) para la verificación de seguridad de capa de transporte (TLS): 
    Allow dynamic-group DevOpsDynamicGroup to use cabundles in compartment <compartment_name>

Políticas para acceder a los recursos de ADM

Ejemplos de políticas para acceder a los recursos del servicio Application Dependency Management (ADM) desde el pipeline de compilación.

Consulte las instrucciones para crear políticas mediante la consola.

Cree políticas de IAM para permitir que el grupo dinámico acceda a los recursos de ADM en el arrendamiento: 
Allow dynamic-group DevOpsDynamicGroup to use adm-knowledge-bases in tenancy
Allow dynamic-group DevOpsDynamicGroup to manage adm-vulnerability-audits in tenancy

Políticas de pipeline de despliegue

Ejemplos de políticas para crear pipelines de despliegue y agregar etapas al pipeline.

Consulte las instrucciones para crear políticas mediante la consola.

Cree políticas de IAM para permitir que el grupo dinámico de pipeline de despliegue acceda a los recursos de su compartimento:
  • Despliegues de clusters de OKE: 
    Allow dynamic-group DevOpsDynamicGroup to read all-artifacts in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to manage cluster in compartment <compartment_name>
  • Funciones: 
    Allow dynamic-group DevOpsDynamicGroup to manage fn-function in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to read fn-app in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to use fn-invocation in compartment <compartment_name>
  • Despliegues de grupos de instancias: 
    Allow dynamic-group DevOpsDynamicGroup to read all-artifacts in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to read instance-family in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to use instance-agent-command-family in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to use load-balancers in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to use vnics in compartment <compartment_name>
    Para un despliegue de grupo de instancias, también debe crear un grupo dinámico para las siguientes instancias y proporcionar al grupo dinámico determinados permisos:
    • Cree un grupo dinámico para las instancias. Por ejemplo, puede asignar un nombre al grupo dinámico como DeployComputeDynamicGroup y sustituir compartmentOCID por el OCID del compartimento: 
      All {instance.compartment.id = 'compartmentOCID'}
    • Crear políticas de IAM para proporcionar el acceso necesario a las instancias de despliegue: 
      Allow dynamic-group DeployComputeDynamicGroup to use instance-agent-command-execution-family in compartment <compartment_name>
Allow dynamic-group DeployComputeDynamicGroup to read generic-artifacts in compartment <compartment_name>
Allow dynamic-group DeployComputeDynamicGroup to read secret-family in compartment <compartment_name>
  • Despliegues de etapa de Helm: 
    Allow dynamic-group DevOpsDynamicGroup to read all-artifacts in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to manage cluster in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to read repos in compartment <compartment_name>
  • Fase Aprobación: 
    Allow group pipeline1_approvers to use devops-family in compartment <compartment_name>  where all {request.principal.id = 'ocid1.pipeline1'}
Allow group pipeline2_approvers to use devops-family in compartment <compartment_name>  where all {request.principal.id = 'ocid1.pipeline2'}
  • Etapa Shell: 
    Allow dynamic-group DevOpsDynamicGroup to manage compute-container-instances in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to manage compute-containers in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to use vnics in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to use subnets in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to use dhcp-options in compartment <compartment_name>
    Si utiliza el grupo de seguridad de red al crear la etapa Shell, agregue la siguiente política: 
    Allow dynamic-group DevOpsDynamicGroup to use network-security-groups in compartment <compartment_name>

Políticas de artefactos

Ejemplos de políticas para agregar la etapa Entregar artefactos al pipeline de compilación.

La etapa Entregar artefactos asigna las salidas de compilación de la etapa Compilación gestionada con la versión para entregar a un recurso de artefacto DevOps y, a continuación, al repositorio de código de Oracle Cloud Infrastructure (OCI). DevOps soporta artefactos almacenados en repositorios de OCI Container Registry y Artifact Registry. Consulte Adición de una etapa Entregar artefactos.

Consulte las instrucciones para crear políticas mediante la consola.

Cree las siguientes políticas de IAM:

  • Para ver una lista de todos los repositorios de Container Registry que pertenecen al arrendamiento o a un compartimento concreto: 
    Allow dynamic-group DevOpsDynamicGroup to inspect repos in tenancy
    Allow dynamic-group DevOpsDynamicGroup to inspect repos in compartment <compartment_name>
  • Permitir que los artefactos se transfieran a la instancia de Container Registry (OCIR) que pertenece al arrendamiento o a un compartimento concreto: 
    Allow dynamic-group DevOpsDynamicGroup to use repos in tenancy
    Allow dynamic-group DevOpsDynamicGroup to use repos in compartment <compartment_name>

    Consulte Políticas para controlar el acceso al repositorio.

  • Capacidad para ver una lista de artefactos genéricos en Artifact Registry que pertenecen al arrendamiento o a un compartimento concreto: 
    Allow dynamic-group DevOpsDynamicGroup to inspect generic-artifacts in tenancy
    Allow dynamic-group DevOpsDynamicGroup to inspect generic-artifacts in compartment <compartment_name>
  • Permitir que los artefactos genéricos se transfieran al registro de Artifact Registry que pertenece al arrendamiento o a un compartimento concreto: 
    Allow dynamic-group DevOpsDynamicGroup to use generic-artifacts in tenancy
    Allow dynamic-group DevOpsDynamicGroup to use generic-artifacts in compartment <compartment_name>

    Consulte la sección sobre políticas de Artifact Registry.

  • Permita a los usuarios extraer artefactos genéricos que pertenezcan al arrendamiento o a un compartimento concreto: 
    Allow dynamic-group DevOpsDynamicGroup to read generic-artifacts in tenancy
    Allow dynamic-group DevOpsDynamicGroup to read generic-artifacts in compartment <compartment_name>

Acceso a Artifact Registry

Oracle Cloud Infrastructure Artifact Registry es un servicio de repositorio para almacenar, compartir y gestionar paquetes de desarrollo de software.

Puede acceder a los artefactos que almacena en Artifact Registry desde el servicio DevOps. Puede crear una referencia a tres tipos de artefactos en Artifact Registry: configuraciones de despliegue de grupo de instancias, artefactos generales y manifiestos de Kubernetes. El administrador debe otorgar el permiso read all-artifacts a los recursos de pipeline.

Consulte las instrucciones para crear políticas mediante la consola.

Cree una política de IAM para permitir que el grupo dinámico acceda a los artefactos de un compartimento específico:
Allow dynamic-group DevOpsDynamicGroup to read all-artifacts in compartment <compartment_name>

Para obtener más información, consulte la sección sobre políticas de Artifact Registry.