Políticas de IAM de caché de OCI
Obtenga información sobre las políticas de IAM necesarias y los detalles de permisos para OCI Cache.
Permisos de Usuario
Para crear o gestionar un cluster, los usuarios necesitan permisos de acceso para crear y gestionar los recursos de red necesarios, además de permisos para crear y gestionar recursos de OCI Cache.
En el siguiente ejemplo de política, se otorgan estos permisos al grupo ClusterAdmins:
Allow group ClusterAdmins to manage redis-family in compartment <USER_COMPARTMENT>
Allow group ClusterAdmins to manage virtual-network-family in compartment <USER_COMPARTMENT>Puede configurar estos permisos con mayor granularidad. Consulte Ejemplos de políticas.
Tipos de recursos y permisos
Lista de tipos de recursos de OCI Cache y permisos asociados.
Para asignar permisos a todos los recursos de OCI Cache, utilice el tipo agregado redis-family. Para obtener más información, consulte Permisos.
En la siguiente tabla se muestran todos los recursos de redis-family:
| Nombre de Familia | Tipo de recurso individual |
|---|---|
redis-family |
|
Una política que utiliza <verb> equivale a escribir una política con una sentencia redis-family<verb> <resource-type> independiente para cada una de las clases de recursos individuales.
| Tipo de recurso | Permisos |
|---|---|
| redis-clusters |
|
| oci-cache-users |
|
| oci-cache-configsets |
|
| redes-solicitudes de trabajo |
|
Detalles para combinaciones de verbos y tipos de recursos
Identifique los permisos y operaciones de API cubiertas por cada verbo para las fuentes de OCI Cache.
El nivel de acceso es acumulativo a medida que pasa de inspect a read a use a manage. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda anterior.
Para obtener más información sobre cómo otorgar acceso, consulte Permisos.
| Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
|---|---|---|---|
| inspect | REDIS_CLUSTER_INSPECT
|
ListRedisClusters |
ninguno |
read |
|
|
ninguno |
use |
|
|
AttachOciCacheUsers (también necesita OCI_CACHE_USER_USE)
|
manage |
|
|
CreateRedisCluster (también necesita OCI_CACHE_CONFIGSET_USE) |
| Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
|---|---|---|---|
inspect |
OCI_CACHE_USER_INSPECT |
ListOciCacheUsers |
ninguno |
read |
|
|
ninguno |
use |
|
|
AttachOciCacheUsers (también necesita REDIS_CLUSTER_USE)
|
manage |
|
use+
|
ninguno |
| Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
|---|---|---|---|
inspect |
OCI_CACHE_CONFIGSET_INSPECT |
ListOciCacheConfigSets
|
ninguno |
read |
|
|
ninguno |
use |
|
read+
|
CreateRedisCluster (también necesita REDIS_CLUSTER_MANAGE)
|
manage |
|
use+
|
ninguno |
| Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
|---|---|---|---|
inspect |
REDIS_WORK_REQUEST_INSPECT |
ListWorkRequests |
ninguno |
read |
|
inspect+
|
ninguno |
manage |
|
use+
|
ninguno |
Permisos necesarios para cada operación de API
en la siguiente tabla se muestran las operaciones de API para OCI Cache en un orden lógico, agrupadas por tipo de recurso.
| Operación de API | Permisos necesarios para utilizar la operación |
|---|---|
ListRedisClusters
|
REDIS_CLUSTER_INSPECT |
GetRedisCluster
|
REDIS_CLUSTER_READ |
CreateRedisCluster |
REDIS_CLUSTER_MANAGE, OCI_CACHE_CONFIGSET_USE |
ListAttachedOciCacheUsers
|
REDIS_CLUSTER_USE |
UpdateRedisCluster
|
REDIS_CLUSTER_USE, OCI_CACHE_CONFIGSET_USE |
ChangeRedisClusterCompartment
|
REDIS_CLUSTER_USE |
DeleteRedisCluster |
REDIS_CLUSTER_MANAGE |
ListOciCacheUsers
|
OCI_CACHE_USER_INSPECT |
GetOciCacheUser |
OCI_CACHE_USER_READ |
CreateOciCacheUser
|
OCI_CACHE_USER_MANAGE |
UpdateOciCacheUser
|
OCI_CACHE_USER_USE |
ChangeOciCacheUserCompartment
|
OCI_CACHE_USER_USE |
DeleteOciCacheUser |
OCI_CACHE_USER_MANAGE |
AttachOciCacheUsers
|
REDIS_CLUSTER_USE, OCI_CACHE_USER_USE |
DetachOciCacheUsers
|
REDIS_CLUSTER_USE, OCI_CACHE_USER_USE |
Generate Token for OCI Cache User
|
REDIS_CLUSTER_USE, OCI_CACHE_USER_USE |
ListOciCacheConfigSets |
OCI_CACHE_CONFIGSET_INSPECT |
GetOciCacheConfigSet |
OCI_CACHE_CONFIGSET_READ |
CreateOciCacheConfigSet |
OCI_CACHE_CONFIGSET_MANAGE |
UpdateOciCacheConfigSet |
OCI_CACHE_CONFIGSET_USE |
ChangeOciCacheConfigSetCompartment |
OCI_CACHE_CONFIGSET_USE |
DeleteOciCacheConfigSet |
OCI_CACHE_CONFIGSET_MANAGE |
ListAssociatedOciCacheClusters |
OCI_CACHE_CONFIGSET_USE |
ListOciCacheDefaultConfigSets |
OCI_CACHE_CONFIGSET_INSPECT |
GetOciCacheDefaultConfigSet |
OCI_CACHE_CONFIGSET_READ |
ListWorkRequests
|
REDIS_WORK_REQUEST_INSPECT |
ListWorkRequestErrors
|
REDIS_WORK_REQUEST_READ |
ListWorkRequestLogs
|
REDIS_WORK_REQUEST_READ |
GetWorkRequest
|
REDIS_WORK_REQUEST_READ |
DeleteWorkRequest |
REDIS_WORK_REQUEST_MANAGE |
Ejemplos de políticas
- Permite el acceso de solo uso a redes virtuales en la nube, compartimentos y subredes únicamente.
-
Allow group ClusterAdmins to use compartments in tenancy -
Allow group ClusterAdmins to use vcns in compartment <USER_NETWORK_COMPARTMENT_NAME> -
Allow group ClusterAdmins to use subnet in compartment <USER_NETWORK_COMPARTMENT_NAME> -
Allow group ClusterAdmins to use network-security-groups in compartment <USER_NETWORK_COMPARTMENT_NAME> -
Allow group ClusterAdmins to use vcns in compartment <USER_ENGINEERING_COMPARTMENT_NAME>
Nota
Las redes virtuales en la nube se encuentran en el compartimento Red, mientras que los clusters están en el compartimento Ingeniería. -
- Permite el acceso de solo uso a las VNIC en el compartimento Engineering. Por ejemplo:
Allow group ClusterAdmins to use VNICs in compartment <USER_ENGINEERING_COMPARTMENT_NAME> - Permite gestionar permisos para crear o actualizar puntos finales privados. Por ejemplo:
-
Allow group ClusterAdmins to manage redis-family in compartment <USER_ENGINEERING_COMPARTMENT_NAME> -
Allow group ClusterAdmins to manage redis-work-requests in compartment <USER_ENGINEERING_COMPARTMENT_NAME> -
Allow group ClusterAdmins to manage vcns in compartment <USER_NETWORK_COMPARTMENT_NAME> where ALL{ ANY { request.operation = 'CreatePrivateEndpoint', request.operation = 'UpdatePrivateEndpoint', request.operation ='DeletePrivateEndpoint', request.operation = 'EnableReverseConnection', request.operation = 'ModifyReverseConnection', request.operation = 'DisableReverseConnection' } , ANY {request.operation = 'CreateRedisCluster', request.operation = 'DeleteRedisCluster' , request.operation = 'UpdateRedisCluster' } }
-
- (Opcional) Permite el tráfico en puertos Redis. Por ejemplo:
Allow group ClusterAdmins to manage security-lists in compartment <USER_NETWORK_COMPARTMENT_NAME> where ANY { request.operation = 'CreateRedisCluster', request.operation = 'DeleteRedisCluster' , request.operation = 'UpdateRedisCluster' }Nota
Si no se proporciona la política, debe agregar reglas de seguridad y permitir el tráfico TCP para los puertos, 6379.
Allow group ClusterUsers to use redis-clusters in compartment <USER_COMPARTMENT>Allow group CacheUsers to use oci-cache-users in compartment <USER_COMPARTMENT>Allow group ClusterAdmins to manage vcns in compartment <USER_NETWORK_COMPARTMENT_NAME> where ALL{ ANY
{ request.operation = 'CreatePrivateEndpoint', request.operation = 'UpdatePrivateEndpoint', request.operation ='DeletePrivateEndpoint', request.operation = 'EnableReverseConnection', request.operation = 'ModifyReverseConnection', request.operation = 'DisableReverseConnection' }
, ANY {request.operation = 'CreateRedisCluster', request.operation = 'DeleteRedisCluster' , request.operation = 'UpdateRedisCluster', request.operation = 'AttachOciCacheUsers', request.operation = 'DetachOciCacheUsers' } }Allow group ClusterAdmins to manage security-lists in compartment <USER_NETWORK_COMPARTMENT_NAME> where ANY
{ request.operation = 'CreateRedisCluster', request.operation = 'DeleteRedisCluster' , request.operation = 'UpdateRedisCluster', request.operation = 'AttachOciCacheUsers', request.operation = 'DetachOciCacheUsers'}Allow group ClusterConfig to use oci-cache-configsets in compartment <USER_COMPARTMENT>Si no está familiarizado con las políticas, consulte Introducción a las políticas y Políticas comunes.