Documentación de Oracle Cloud Infrastructure

Gestión aislada de identidad y acceso de Compute Cloud@Customer

El servicio de gestión de identidad y acceso (IAM) en Oracle Compute Cloud@Customer Isolated proporciona control sobre qué usuarios tienen acceso a qué recursos de su arrendamiento de infraestructura local.

Puede crear usuarios, grupos de usuarios y grupos dinámicos (grupos de instancias) y crear políticas para permitir diferentes tipos de acceso a recursos especificados en compartimentos especificados.

Es tarea de un administrador de arrendamiento controlar qué tipo de acceso tiene un grupo de usuarios y a qué recursos específicos se aplica el acceso. La responsabilidad de gestionar y mantener el control de acceso se puede delegar a otros usuarios con privilegios, por ejemplo, otorgándoles acceso completo a un subcompartimento del arrendamiento.

Además de los usuarios, los principales de instancia también tienen autorización para gestionar recursos.

Tarea

Enlaces

Los compartimentos son los principales componentes básicos para organizar y controlar el acceso a los recursos en la nube. Los usuarios pueden crear compartimentos para separar el acceso a los recursos.

Su arrendamiento es el compartimento raíz donde puede crear recursos en la nube y otros compartimentos. Puede crear jerarquías de compartimentos que tengan hasta seis niveles de profundidad. Puede limitar el acceso a los recursos de compartimento a los grupos de usuarios especificados mediante políticas.

Creación y gestión de compartimentos

Un arrendamiento tiene un usuario administrativo en un grupo de administradores y una política permite al grupo de administradores gestionar el arrendamiento. Un administrador crea cuentas para otros usuarios.

Para otorgar a los usuarios acceso solo a un subjuego de recursos del arrendamiento u otro compartimento, o para proporcionar un acceso de gestión inferior al completo a algunos recursos, el administrador del arrendamiento agrega cuentas de usuario a uno o más grupos y crea políticas para esos grupos.

Como administrador de arrendamiento, al crear una cuenta de usuario, proporcione una contraseña temporal al usuario para que pueda definir su propia contraseña y activar su cuenta.

Creación y gestión de cuentas de usuario

El acceso a los recursos en la nube se otorga a los grupos, no directamente a los usuarios. Una cuenta de usuario no es automáticamente miembro de ningún grupo. Debe agregar el usuario a un grupo y, a continuación, crear una política de acceso para ese grupo.

Un grupo es un juego de usuarios que tienen el mismo tipo de acceso al mismo juego de recursos en la nube. Organice a los usuarios en grupos según los compartimentos y recursos a los que necesiten acceder y cómo necesiten trabajar con esos recursos. Un usuario puede ser miembro de más de un grupo.

Creación y gestión de grupos de usuarios

Si su organización ya utiliza Microsoft Active Directory para gestionar las credenciales de usuario, puede configurar la federación para que los usuarios puedan conectarse a Compute Cloud@Customer Isolated con las mismas credenciales.

Federarse con Microsoft Active Directory

Un principal de instancia es una instancia informática que está autorizada para realizar acciones en recursos de servicio. Las aplicaciones que se ejecutan en un principal de instancia pueden llamar a servicios y gestionar recursos similares a la forma en que los usuarios aislados de Compute Cloud@Customer llaman a servicios para gestionar recursos, pero sin necesidad de configurar credenciales de usuario.

Para otorgar autorizaciones a un principal de instancia, incluya la instancia como miembro de un grupo dinámico.

Configuración de Instancias para Llamar a Servicios

Los grupos dinámicos son grupos de instancias informáticas que cumplen los criterios definidos para el grupo. Los miembros cambian a medida que las instancias cumplen o ya no cumplen los criterios.

Asigne políticas para definir permisos para las aplicaciones que se ejecutan en las instancias de un grupo dinámico.

Creación y gestión de grupos dinámicos

La premisa de seguridad básica es que se deniega todo el acceso a menos que se otorgue un permiso explícito. Una política es un juego con nombre de sentencias de política, donde cada sentencia de política otorga permiso a los usuarios para acceder a los recursos.

Al crear una política, debe estar asociada a un compartimento. El lugar donde la asocie determina quién puede modificarla o modificarla. Los compartimentos heredan políticas de su compartimento principal.

Todas las sentencias de política se escriben con la misma sintaxis general:

Allow <subject> to <verb> <resource-type> in <location> where <conditions>

Gestión de políticas

Sintaxis de la sentencia de política

El etiquetado permite agregar metadatos a los recursos mediante la aplicación de pares clave/valor.

  • Las etiquetas de formato libre permiten a los usuarios incluir de forma rápida y cómoda información relevante en los metadatos del recurso.

  • Las etiquetas definidas permiten aplicar el uso de claves y valores concretos. Las etiquetas relacionadas se pueden agrupar en un espacio de nombres de etiqueta común.

Puede utilizar valores por defecto de etiquetas para aplicar automáticamente una etiqueta definida a un recurso cuando se crea. Las etiquetas de recursos especiales también se pueden utilizar para ampliar la funcionalidad.

Etiquetado de recursos

Configuración de valores por defecto de etiquetas

Ampliación de la funcionalidad con etiquetas de recursos