Políticas de IAM de caché de OCI

Obtenga información sobre las políticas de IAM necesarias y los detalles de permisos para OCI Cache.

Permisos de Usuario

Para crear o gestionar un cluster, los usuarios necesitan permisos de acceso para crear y gestionar los recursos de red necesarios, además de permisos para crear y gestionar recursos de OCI Cache.

En el siguiente ejemplo de política, se otorgan estos permisos al grupo ClusterAdmins:

Allow group ClusterAdmins to manage redis-family in compartment <USER_COMPARTMENT>
Allow group ClusterAdmins to use virtual-network-family in compartment <USER_COMPARTMENT>

Puede configurar estos permisos con mayor granularidad. Consulte Ejemplos de políticas.

Tipos de recursos y permisos

Lista de tipos de recursos de OCI Cache y permisos asociados.

Para asignar permisos a todos los recursos de OCI Cache, utilice el tipo agregado redis-family. Para obtener más información, consulte Permisos.

En la siguiente tabla se muestran todos los recursos de redis-family:


Nombre de Familia	Tipo de recurso individual
`redis-family`	`redis-clusters` `oci-cache-users` `oci-cache-configsets` `redis-work-requests`

Una política que utiliza <verb> redis-family equivale a escribir una política con una sentencia <verb> <resource-type> independiente para cada una de las clases de recursos individuales.


Tipo de recurso	Permisos
redis-clusters	REDIS_CLUSTER_INSPECT REDIS_CLUSTER_READ REDIS_CLUSTER_USE REDIS_CLUSTER_MANAGE
oci-cache-users	OCI_CACHE_USER_INSPECT OCI_CACHE_USER_READ OCI_CACHE_USER_USE OCI_CACHE_USER_MANAGE
oci-cache-configsets	OCI_CACHE_CONFIGSET_INSPECT OCI_CACHE_CONFIGSET_READ OCI_CACHE_CONFIGSET_USE OCI_CACHE_CONFIGSET_MANAGE
redes-solicitudes de trabajo	REDIS_WORK_REQUEST_INSPECT REDIS_WORK_REQUEST_READ REDIS_WORK_REQUEST_MANAGE

Detalles para combinaciones de verbos y tipos de recursos

Identifique los permisos y operaciones de API cubiertas por cada verbo para las fuentes de OCI Cache.

El nivel de acceso es acumulativo a medida que pasa de inspect a read a use a manage. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda anterior.

Para obtener más información sobre cómo otorgar acceso, consulte Permisos.

redis-clusters


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	`REDIS_CLUSTER_INSPECT`	`ListRedisClusters`	ninguno
`read`	`inspect+` `REDIS_CLUSTER_READ`	`inspect+` `GetRedisCluster`	ninguno
`use`	`read+` `REDIS_CLUSTER_USE`	`read+` `ChangeRedisClusterCompartment` `ListAttachedOciCacheUsers`	`AttachOciCacheUsers` (también necesita `OCI_CACHE_USER_USE`) `DetachOciCacheUsers` (también necesita `OCI_CACHE_USER_USE`) `Generate Token for OCI Cache User` (también necesita `OCI_CACHE_USER_USE`) `UpdateRedisCluster` (también necesita `OCI_CACHE_CONFIGSET_USE`)
`manage`	`use+` `REDIS_CLUSTER_MANAGE`	`use+` `DeleteRedisCluster`	`CreateRedisCluster` (también necesita `OCI_CACHE_CONFIGSET_USE`)

oci-cache-users


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
`inspect`	`OCI_CACHE_USER_INSPECT`	`ListOciCacheUsers`	ninguno
`read`	`inspect+` `OCI_CACHE_USER_READ`	`inspect+` `GetOciCacheUser`	ninguno
`use`	`read+` `OCI_CACHE_USER_USE`	`read+` `ChangeOciCacheUserCompartment` `UpdateOciCacheUser`	`AttachOciCacheUsers` (también necesita `REDIS_CLUSTER_USE`) `DetachOciCacheUsers` (también necesita `REDIS_CLUSTER_USE`) `Generate Token for OCI Cache User` (también necesita `REDIS_CLUSTER_USE`)
`manage`	`use+` `OCI_CACHE_USER_MANAGE`	`use+` `CreateOciCacheUser` `DeleteOciCacheUser`	ninguno

oci-cache-configsets


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
`inspect`	`OCI_CACHE_CONFIGSET_INSPECT`	`ListOciCacheConfigSets` `ListOciCacheDefaultConfigSets`	ninguno
`read`	`inspect+` `OCI_CACHE_CONFIGSET_READ`	`inspect+` `GetOciCacheConfigSet` `GetOciCacheDefaultConfigSet`	ninguno
`use`	`read+` `OCI_CACHE_CONFIGSET_USE`	`read+` `ChangeOciCacheConfigSetCompartment` `ListAssociatedOciCacheClusters` `UpdateOciCacheConfigSet`	`CreateRedisCluster` (también necesita `REDIS_CLUSTER_MANAGE`) `UpdateRedisCluster` (también necesita `REDIS_CLUSTER_USE`)
`manage`	`use+` `OCI_CACHE_CONFIGSET_MANAGE`	`use+` `CreateOciCacheConfigSet` `DeleteOciCacheConfigSet`	ninguno

redes-solicitudes de trabajo


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
`inspect`	`REDIS_WORK_REQUEST_INSPECT`	`ListWorkRequests`	ninguno
`read`	`inspect+` `REDIS_WORK_REQUEST_READ`	`inspect+` `ListWorkRequestErrors` `ListWorkRequestLogs` `GetWorkRequest`	ninguno
`manage`	`use+` `REDIS_WORK_REQUEST_MANAGE`	`use+` `DeleteWorkRequest`	ninguno

Permisos necesarios para cada operación de API

en la siguiente tabla se muestran las operaciones de API para OCI Cache en un orden lógico, agrupadas por tipo de recurso.


Operación de API	Permisos necesarios para utilizar la operación
`ListRedisClusters`	REDIS_CLUSTER_INSPECT
`GetRedisCluster`	REDIS_CLUSTER_READ
`CreateRedisCluster`	REDIS_CLUSTER_MANAGE, OCI_CACHE_CONFIGSET_USE
`ListAttachedOciCacheUsers`	REDIS_CLUSTER_USE
`UpdateRedisCluster`	REDIS_CLUSTER_USE, OCI_CACHE_CONFIGSET_USE
`ChangeRedisClusterCompartment`	REDIS_CLUSTER_USE
`DeleteRedisCluster`	REDIS_CLUSTER_MANAGE
`ListOciCacheUsers`	OCI_CACHE_USER_INSPECT
`GetOciCacheUser`	OCI_CACHE_USER_READ
`CreateOciCacheUser`	OCI_CACHE_USER_MANAGE
`UpdateOciCacheUser`	OCI_CACHE_USER_USE
`ChangeOciCacheUserCompartment`	OCI_CACHE_USER_USE
`DeleteOciCacheUser`	OCI_CACHE_USER_MANAGE
`AttachOciCacheUsers`	REDIS_CLUSTER_USE, OCI_CACHE_USER_USE
`DetachOciCacheUsers`	REDIS_CLUSTER_USE, OCI_CACHE_USER_USE
`Generate Token for OCI Cache User`	REDIS_CLUSTER_USE, OCI_CACHE_USER_USE
`ListOciCacheConfigSets`	OCI_CACHE_CONFIGSET_INSPECT
`GetOciCacheConfigSet`	OCI_CACHE_CONFIGSET_READ
`CreateOciCacheConfigSet`	OCI_CACHE_CONFIGSET_MANAGE
`UpdateOciCacheConfigSet`	OCI_CACHE_CONFIGSET_USE
`ChangeOciCacheConfigSetCompartment`	OCI_CACHE_CONFIGSET_USE
`DeleteOciCacheConfigSet`	OCI_CACHE_CONFIGSET_MANAGE
`ListAssociatedOciCacheClusters`	OCI_CACHE_CONFIGSET_USE
`ListOciCacheDefaultConfigSets`	OCI_CACHE_CONFIGSET_INSPECT
`GetOciCacheDefaultConfigSet`	OCI_CACHE_CONFIGSET_READ
`ListWorkRequests`	REDIS_WORK_REQUEST_INSPECT
`ListWorkRequestErrors`	REDIS_WORK_REQUEST_READ
`ListWorkRequestLogs`	REDIS_WORK_REQUEST_READ
`GetWorkRequest`	REDIS_WORK_REQUEST_READ
`DeleteWorkRequest`	REDIS_WORK_REQUEST_MANAGE

Ejemplos de políticas

Las siguientes sentencias de política permiten al grupo ClusterAdmins utilizar y gestionar recursos de OCI Cache.

Permite el acceso de solo uso a redes virtuales en la nube, compartimentos y subredes únicamente.

Allow group ClusterAdmins to use compartments in tenancy

Allow group ClusterAdmins to use vcns in compartment <USER_NETWORK_COMPARTMENT_NAME>

Allow group ClusterAdmins to use subnet in compartment <USER_NETWORK_COMPARTMENT_NAME>

Allow group ClusterAdmins to use network-security-groups in compartment <USER_NETWORK_COMPARTMENT_NAME>

Allow group ClusterAdmins to use vcns in compartment <USER_ENGINEERING_COMPARTMENT_NAME>

Nota

Las redes virtuales en la nube se encuentran en el compartimento Red, mientras que los clusters están en el compartimento Ingeniería.

Permite el acceso de solo uso a las VNIC en el compartimento Engineering. Por ejemplo:

Allow group ClusterAdmins to use VNICs in compartment <USER_ENGINEERING_COMPARTMENT_NAME>

Permite gestionar permisos para crear o actualizar puntos finales privados. Por ejemplo:

Allow group ClusterAdmins to manage redis-family in compartment <USER_ENGINEERING_COMPARTMENT_NAME>

Allow group ClusterAdmins to manage redis-work-requests in compartment <USER_ENGINEERING_COMPARTMENT_NAME>

Allow group ClusterAdmins to manage vcns in compartment <USER_NETWORK_COMPARTMENT_NAME> where ALL{ ANY
{ request.operation = 'CreatePrivateEndpoint', request.operation = 'UpdatePrivateEndpoint', request.operation ='DeletePrivateEndpoint', request.operation = 'EnableReverseConnection', request.operation = 'ModifyReverseConnection', request.operation = 'DisableReverseConnection' }
, ANY {request.operation = 'CreateRedisCluster', request.operation = 'DeleteRedisCluster' , request.operation = 'UpdateRedisCluster' } }

(Opcional) Permite el tráfico en puertos Redis. Por ejemplo:

Allow group ClusterAdmins to manage security-lists in compartment <USER_NETWORK_COMPARTMENT_NAME> where ANY
{ request.operation = 'CreateRedisCluster', request.operation = 'DeleteRedisCluster' , request.operation = 'UpdateRedisCluster' }

Nota

Si no se proporciona la política, debe agregar reglas de seguridad y permitir el tráfico TCP para los puertos, 6379.

La siguiente sentencia de política permite al grupo ClusterUsers utilizar clusters, pero restringir otro acceso:

Allow group ClusterUsers to use redis-clusters in compartment <USER_COMPARTMENT>

La siguiente sentencia de política permite al grupo CacheUsers utilizar usuarios de OCI Cache:

Allow group CacheUsers to use oci-cache-users in compartment <USER_COMPARTMENT>

Las siguientes sentencias de política permiten gestionar permisos para asociar y desasociar puntos finales privados:

Allow group ClusterAdmins to manage vcns in compartment <USER_NETWORK_COMPARTMENT_NAME> where ALL{ ANY
{ request.operation = 'CreatePrivateEndpoint', request.operation = 'UpdatePrivateEndpoint', request.operation ='DeletePrivateEndpoint', request.operation = 'EnableReverseConnection', request.operation = 'ModifyReverseConnection', request.operation = 'DisableReverseConnection' }
, ANY {request.operation = 'CreateRedisCluster', request.operation = 'DeleteRedisCluster' , request.operation = 'UpdateRedisCluster', request.operation = 'AttachOciCacheUsers', request.operation = 'DetachOciCacheUsers' } }

La siguiente sentencia de política permite el tráfico en los puertos Redis para la conexión y la desconexión:

Allow group ClusterAdmins to manage security-lists in compartment <USER_NETWORK_COMPARTMENT_NAME> where ANY
{ request.operation = 'CreateRedisCluster', request.operation = 'DeleteRedisCluster' , request.operation = 'UpdateRedisCluster',  request.operation = 'AttachOciCacheUsers', request.operation = 'DetachOciCacheUsers'}

La siguiente sentencia de política permite al grupo ClusterConfig utilizar configuraciones de OCI Cache:

Allow group ClusterConfig to use oci-cache-configsets in compartment <USER_COMPARTMENT>

La siguiente sentencia de política permite a los usuarios del grupo SecurityAdmins crear, actualizar y suprimir todas las políticas de enrutamiento de paquetes de confianza cero en todo el arrendamiento:

Allow group SecurityAdmins to manage zpr-configuration in tenancy
Allow group SecurityAdmins to manage security-attribute-namespace in tenancy
Allow group SecurityAdmins to manage zpr-policy in tenancy

La siguiente sentencia de política permite al grupo cluster-admin gestionar solo el espacio de nombres de atributo de seguridad, cache-applications de las políticas de enrutamiento de paquetes de confianza cero.

Allow group cluster-admin to manage security-attribute-namespace where target.security-attribute-namespace.name = 'cache-applications'

Si no está familiarizado con las políticas, consulte Introducción a las políticas y Políticas comunes.