Documentación de Oracle Cloud Infrastructure

Políticas de Queue

Utilice el servicio Oracle Cloud Infrastructure Identity and Access Management (IAM) para crear políticas para las colas.

En este tema se tratan los detalles de la escritura de políticas para controlar el acceso al servicio Queue.

Visión general de la sintaxis de las políticas

La sintaxis general de una sentencia de política es:

allow <subject> to <verb> <resource-type> in <location> where <condition>

Por ejemplo, puede especificar:

  • Un grupo o grupo dinámico por nombre u OCID como <subject>. O bien, puede utilizar any-user para abarcar a todos los usuarios del arrendamiento.

  • inspect, read, use y manage como <verb> para otorgar a <subject> acceso a uno o más permisos.

    A medida que vaya de inspect > read > use > manage, el nivel de acceso aumenta y los permisos otorgados se van acumulando. Por ejemplo, use incluye read más la capacidad de actualizar.

  • Una familia de recursos como virtual-network-family para resource-type. O bien, puede especificar un recurso individual en una familia como vcns y subnets.

  • Compartimento por nombre u OCID como <location>. O bien, puede utilizar tenancy para que se abarque todo el arrendamiento.

  • Una o más condiciones de <condition>, que se deben cumplir para que se otorgue acceso. Para varias condiciones, puede utilizar any u all.

    Una condición consta de una o más variables. Una variable puede ser relevante para la propia solicitud (por ejemplo, request.operation) o para el recurso sobre el que se realiza una acción en la solicitud (por ejemplo, target.queue.id). Para ilustrarlo y permitir que un grupo gestione un espacio de trabajo específico y ningún otro espacio de trabajo:

    allow group <group-name> to manage queues in compartment <compartment-name> where target.queue.id = '<queue-ocid>'

    O bien, para permitir que un grupo gestione todos los recursos de Queue en el arrendamiento:

    allow group <group-name> to manage queues in tenancy

Para obtener más información sobre la creación de políticas, consulte Introducción a las políticas y Referencia de políticas.

Tipos de recursos

Para otorgar a los usuarios acceso a los recursos de Queue, cree políticas de IAM con tipos de recursos de Queue.

Para acceder a todos los recursos de Queue, utilice el tipo de recurso queues.

Si no desea que los usuarios gestionen colas, pero desea que produzcan en una cola o que consuman de una cola, utilice los siguientes tipos de recursos individuales:

  • queue-push
  • queue-pull

Consulte Ejemplos de políticas para obtener más información.

Variables soportadas

El servicio Queue soporta todas las variables generales, además de las que se muestran aquí.

Para obtener más información sobre las variables generales soportadas por los servicios de OCI, consulte Variables generales para todas las solicitudes.

Variable Tipo de variable Origen
target.queue.id Entidad (OCID) Solicitud
target.queue.name Cadena Solicitud

Detalles de las combinaciones de verbo + tipo de recurso

Existen varios verbos y tipos de recurso de Oracle Cloud Infrastructure que puede utilizar para crear una política.

En las siguientes tablas, se muestran los permisos y las operaciones de API que cubre cada verbo de Queue. El nivel de acceso es acumulativo a medida que pasa de inspect a read a use a manage. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda situada directamente encima, mientras que "sin extra" indica que no hay un acceso incremental.

queue
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

QUEUE_INSPECT

ListQueues

ListWorkRequests

ListWorkRequestErrors

ListWorkRequestLogs

none
read

INSPECT +

QUEUE_READ

INSPECT +

GetQueue

GetWorkRequest

GetStats

ListChannels

none
use

READ +

QUEUE_UPDATE

QUEUE_PRODUCE

QUEUE_CONSUME

READ +

UpdateQueue

PutMessages

GetMessages

UpdateMessage

DeleteMessage

none
manage

USE +

QUEUE_CREATE

QUEUE_DELETE

QUEUE_MOVE

USE +

CreateQueue

DeleteQueue

MoveQueue

none
queue-push
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

none

none

none
read

none

none

none
use

QUEUE_PRODUCE

PutMessages

none
manage

none

none

none
queue-pull
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

none

none

none
read

none

none

none
use

QUEUE_CONSUME

GetMessages

UpdateMessage

DeleteMessage

none
manage

none

none

none

Permisos necesarios para cada operación de API

En la siguiente tabla se muestran las operaciones de API para Queue en un orden lógico, agrupadas por tipo de recurso.

Los tipos de recursos son queues, queue-push y queue-pull.

Para obtener información sobre los permisos, consulte Permisos.

Permisos necesarios
Operación de API Permisos necesarios para utilizar la operación
ListQueues QUEUE_INSPECT
CreateQueue QUEUE_CREATE
GetQueue QUEUE_READ
DeleteQueue QUEUE_DELETE
MoveQueue QUEUE_MOVE
UpdateQueue QUEUE_UPDATE
ListWorkRequests QUEUE_INSPECT
GetWorkRequest QUEUE_READ
ListWorkRequestErrors QUEUE_INSPECT
ListWorkRequestLogs QUEUE_INSPECT
GetStats QUEUE_READ
ListChannels QUEUE_READ
PutMessages QUEUE_PRODUCE
GetMessages QUEUE_CONSUME
UpdateMessage QUEUE_CONSUME
DeleteMessage QUEUE_CONSUME

Ejemplos de políticas

Obtenga información sobre las políticas de IAM de Queue mediante ejemplos.

Para los administradores, la siguiente política permite al grupo especificado realizar todas las acciones con las colas y los recursos relacionados del servicio Queue:

Allow QueueManagers to manage queues in compartment <compartment_name>

Utilice las siguientes políticas para permitir que un grupo especificado produzca o consuma una cola:

Allow QueueProducers to use queue-push in compartment <compartment_name>
Allow QueueConsumers to use queue-pull in compartment <compartment_name>

Utilice la siguiente política para permitir que un grupo especificado inspeccione y lea los detalles de la cola:

Allow QueueReaders to read queues in compartment <compartment_name>