Control de Privilegios de Acceso de Administrador

A un administrador se le otorgan privilegios de acceso en función de los grupos de autorización de los que sea miembro la cuenta. La política asociada a un grupo de autorización define el acceso a recursos y funciones. Sin una política válida, los miembros del grupo de autorización no tienen privilegios de acceso.

Trabajo con grupos de autorización

Al configurar el acceso administrativo, puede utilizar los grupos de autorización por defecto o crear uno nuevo. Los grupos por defecto son:

Inicial

Los usuarios tienen acceso limitado al Enclave de servicio. Están autorizados a crear la cuenta de administrador inicial y ver información sobre el dispositivo, pero no tienen acceso de lectura a ningún otro recurso.
OCIApp

Los usuarios tienen acceso específico a operaciones relacionadas con el uso de API y aplicaciones de OCI.
OracleServiceAdmin

Los usuarios tienen acceso específico a las operaciones relacionadas con el uso de servicios de Private Cloud Appliance.
SuperAdmin

Los usuarios tienen acceso sin restricciones al Enclave de servicio. Están autorizados a realizar todas las operaciones disponibles, incluida la configuración de otras cuentas de administrador y la gestión de grupos y familias de autorización.

Nota

Existen otros grupos de autorización internos. Por ejemplo, el grupo Day0 proporciona acceso específico a las operaciones relacionadas con la configuración inicial del dispositivo.

En los sistemas existentes actualizados desde una versión anterior, los grupos de autorización heredados no se eliminan. Para garantizar la continuidad, las familias y políticas de autorización se crean durante el proceso de actualización para garantizar que se conserven los mismos privilegios de acceso.

Uso de la IU web de servicio

Abra el menú de navegación y haga clic en el grupo de autorización.
Haga clic en Create Group.
Introduzca un nombre con entre 1 y 255 caracteres y, a continuación, haga clic en Crear grupo de autorización.

Se muestra la página de detalles del nuevo grupo de autorización.
Haga clic en Add Policy Statement. Se muestra la ventana Formulario de declaración de política de autorización.

Nota

Para obtener información, consulte Writing Policy Statements.
Introduzca un nombre que utilice de 1 a 255 caracteres.
Seleccione una acción: Inspeccionar, Leer, Usar o Gestionar.
Seleccione una aplicación de política:
- Recursos: introduzca los recursos a los que desea que se aplique la política.
- Familia de funciones: seleccione una de las listas desplegables.
- Resource Family (Familia de recursos): seleccione una de las opciones desplegables.
Nota

Para obtener información, consulte Trabajar con familias de autorización.
Haga clic en Crear sentencia de política.

La nueva sentencia de política se muestra en la página de detalles. Agregue hasta 100 sentencias de política adicionales.

Uso de la CLI del servicio

Crear un nuevo grupo de autorización.

PCA-ADMIN> create AuthorizationGroup name=authors
JobId: 14ea4d22-acf1-455d-a7a1-ec0a30f29671
Data:
id:c672d9c6-90ec-4776-bccb-caae128e86db name:authors

Consulte la ayuda para el comando create authpolicyStatement.

PCA-ADMIN> create authpolicyStatement ?
*action
activeState
functionFamily
resourceFamily
resources
*on

Introduzca showcustomcmds ? para ver las opciones de los recursos o introduzca showallcustomcmds para ver las opciones de las funciones, por ejemplo:

PCA-ADMIN> showcustomcmds ?
                          ASRBundle
                          ASRPhonehome
                          BackupJob
                          CnUpdateManager
                          ComputeInstance
                          ComputeNode
                          [...]

PCA-ADMIN> showallcustomcmds
    Operation Name: <Related Object(s)>
    -----------------------------------
    [...]
    backup:  BackupJob
    changeIlomPassword:  ComputeNode, ManagementNode
    changePassword:  ComputeNode, LeafSwitch, ManagementNode, ManagementSwitch, SpineSwitch, User, ZFSAppliance
    clearFirstBootError:  NetworkConfig
    configZFSAdDomain:  ZfsAdDomain
    configZFSAdWorkgroup:  ZfsAdDomain
    createAdminAccount:  
    createUserInGroup:  User
    deletePlatformImage:  PlatformImage
    deprovision:  ComputeNode
    disableVmHighAvailability:  PcaSystem
    drAddComputeInstance:  ComputeInstance
    drAddSiteMapping:  DrSiteMapping
    [...]

Nota

Para obtener más información sobre los comandos y la sintaxis, consulte Using the Service CLI.

Cree una sentencia de política mediante resources, functionFamily o resourceFamily.

Nota

Para obtener más información, consulte Escritura de sentencias de política y Trabajar con familias de autorización.

PCA-ADMIN> create authpolicyStatement action=manage resources=ComputeNode on authorizationGroup id=c672d9c6-90ec-4776-bccb-caae128e86db

PCA-ADMIN> create authpolicyStatement action=manage authresourceFamily=rackops on authorizationGroup id=c672d9c6-90ec-4776-bccb-caae128e86db

PCA-ADMIN> create authpolicyStatement action=manage authfunctionFamily=computeops on authorizationGroup id=c672d9c6-90ec-4776-bccb-caae128e86db

Consulta de los detalles del grupo de autorización.

PCA-ADMIN> show authorizationGroup name=authors
Data:
Id = c672d9c6-90ec-4776-bccb-caae128e86db
Type = AuthorizationGroup
Name = authors
Policy Statements 1 = dea601bf-9bfc-4b2c-a135-d98378e69c87(ACTIVE)-Allow authors to MANAGE ComputeNode
Is Predefined Authorization Group = false
AuthPolicyStatementIds 1 = id:4adde579-1f6a-49eb-a783-9478465f135e type:AuthPolicyStatement name:
AuthPolicyStatementIds 2 = id:be498a4e-3e0a-4cfa-9013-188542adb8e3 type:AuthPolicyStatement name:

Para desactivar una sentencia de política:

Consulte la ayuda para el comando edit authpolicyStatement.

PCA-ADMIN> edit authpolicyStatement ?
id=<object identifier>

Busque el ID de la sentencia de política mediante el comando show authorizationGroup name=group-name.

PCA-ADMIN> show authorizationGroup name=authors
[...]
Policy Statements 1 = dea601bf-9bfc-4b2c-a135-d98378e69c87(ACTIVE)-Allow authors to MANAGE ComputeNode
Is Predefined Authorization Group = false
AuthPolicyStatementIds 1 = id:4adde579-1f6a-49eb-a783-9478465f135e type:AuthPolicyStatement name:
AuthPolicyStatementIds 2 = id:be498a4e-3e0a-4cfa-9013-188542adb8e3 type:AuthPolicyStatement name:

Mediante el ID de la sentencia de política (AuthPolicyStatementIds Number = id:unique-identifier), visualice el comando para activar o desactivar la sentencia de política.
```
PCA-ADMIN> edit authpolicyStatement id=be498a4e-3e0a-4cfa-9013-188542adb8e3 ?
activeState
```

Desactive la sentencia de política.

PCA-ADMIN> edit authpolicyStatement id=be498a4e-3e0a-4cfa-9013-188542adb8e3 activeState=inactive
JobId: 842c444e-060d-461d-a4e0-c9cdd9f1d3c3

Verifique que la sentencia de política esté inactiva.

PCA-ADMIN> show authorizationGroup name=authors
Data:
Id = c672d9c6-90ec-4776-bccb-caae128e86db
Type = AuthorizationGroup
Name = authors
Policy Statements 1 = 4adde579-1f6a-49eb-a783-9478465f135e(ACTIVE)-Allow authors to MANAGE ComputeNode
Policy Statements 2 = be498a4e-3e0a-4cfa-9013-188542adb8e3(INACTIVE)-Allow authors to MANAGE ComputeNode
Is Predefined Authorization Group = false
AuthPolicyStatementIds 1 = id:4adde579-1f6a-49eb-a783-9478465f135e type:AuthPolicyStatement name:
AuthPolicyStatementIds 2 = id:be498a4e-3e0a-4cfa-9013-188542adb8e3 type:AuthPolicyStatement name:

Trabajo con familias de autorización

El uso de una familia de autorizaciones le permite crear políticas que puede reutilizar entre grupos de autorizaciones. Los grupos de autorización por defecto utilizan políticas predefinidas, que se crean mediante familias de autorización. Hay dos tipos de familias de autorización que puede utilizar en sentencias de política:

Las familias de recursos se utilizan para definir los recursos del dispositivo, como los servidores, el almacenamiento y la infraestructura de red.
Las familias de funciones se utilizan para definir funciones del dispositivo, como la gestión de compartimentos, usuarios y recursos informáticos.

En la siguiente tabla, se muestran las familias de autorización predefinidas y cómo se utilizan en las políticas de grupo de autorización por defecto.


Familia de autorizaciones	Tipo	Utilizado en políticas para...	Los usuarios del grupo pueden...
Day0	Familia de funciones	Grupo de autorización SuperAdmin	establecer el sistema Day0, el enrutamiento estático, el enrutamiento dinámico y los parámetros de red obtener el nodo de gestión, el nodo de cálculo y el estado de ZFS desde ILOM desbloquear y bloquear el dispositivo
Inicial	Familia de funciones	Grupo de autorización inicial	Crear la cuenta de administrador inicial
OCIApp	Familia de funciones	Grupo de autorización SuperAdmin	crear cuenta de aplicaciones de OCI
OracleServiceAdmin	Familia de funciones	Grupo de autorización SuperAdmin	Crear cuenta de servicios de Oracle
SuperAdmin	Familia de funciones	Grupo de autorización SuperAdmin	Gestionar todas las funciones del dispositivo
Day0	Familia de recursos	Grupo de autorización SuperAdmin	leer información del sistema y configuración de red
Inicial	Familia de recursos	Grupo de autorización inicial	leer información del sistema
OCIApp	Familia de recursos	Grupo de autorización SuperAdmin	gestionar aplicaciones de OCI
OracleServiceAdmin	Familia de recursos	Grupo de autorización SuperAdmin	Gestionar servicios de Oracle
SuperAdmin	Familia de recursos	Grupo de autorización SuperAdmin	Gestionar todos los recursos del dispositivo

Uso de la IU web de servicio

Abra el menú de navegación y haga clic en Authorization Families (familias de autorización).
Haga clic en Crear familia de autorización.
Seleccione el tipo de familia de autorización: Familia de funciones o Familia de recursos.
Introduzca un nombre.
Introduzca los recursos que desea incluir en la familia.

Nota

Para obtener información sobre cómo encontrar las opciones de recursos y funciones, consulte las instrucciones de la CLI.
Haga clic en Create Family.

Uso de la CLI del servicio

Para crear una familia de funciones de autorización:

Visualice las opciones para el comando create authfunctionFamily.
```
PCA-ADMIN> create authfunctionFamily ?
*name
*resources
```

Introduzca showallcustomcmds para ver las opciones de las funciones, por ejemplo:

PCA-ADMIN> showallcustomcmds
    Operation Name: <Related Object(s)>
    -----------------------------------
    [...]
    backup:  BackupJob
    changeIlomPassword:  ComputeNode, ManagementNode
    changePassword:  ComputeNode, LeafSwitch, ManagementNode, ManagementSwitch, SpineSwitch, User, ZFSAppliance
    clearFirstBootError:  NetworkConfig
    configZFSAdDomain:  ZfsAdDomain
    configZFSAdWorkgroup:  ZfsAdDomain
    createAdminAccount:  
    createUserInGroup:  User
    deletePlatformImage:  PlatformImage
    deprovision:  ComputeNode
    disableVmHighAvailability:  PcaSystem
    drAddComputeInstance:  ComputeInstance
    drAddSiteMapping:  DrSiteMapping
    [...]

Cree la familia de funciones de autorización.

PCA-ADMIN> create authfunctionFamily name=cnops resources=ComputeNode.reset,ComputeNode.start,ComputeNode.stop
Command: create authfunctionFamily name=cnops resources=ComputeNode.reset,ComputeNode.start,ComputeNode.stop
JobId: 4cd37ea7-161f-4b11-952f-ffa992a37d5f
Data:
id:ae0216da-20d1-4e03-bf65-c7898c6079b2 name:cnops

Enumere las familias de funciones de autorización.

PCA-ADMIN> list authfunctionFamily
Data:
id name
-- ----
7f1ac922-571a-4253-a120-e5d15a877a1e Initial
2185058a-3355-48be-851c-2fa0e5a896bd SuperAdmin
7f092ddd-1a51-4a17-b4e2-96c4ece005ec Day0
ae0216da-20d1-4e03-bf65-c7898c6079b2 cnops

Para crear una familia de recursos de autorización:

Visualice las opciones para el comando create authresourceFamily.
```
PCA-ADMIN> create authresourceFamily ?
*name
*resources
```

Introduzca showcustomcmds ? para ver las opciones de recursos, por ejemplo:

PCA-ADMIN> showcustomcmds ?
                          ASRBundle
                          ASRPhonehome
                          BackupJob
                          CnUpdateManager
                          ComputeInstance
                          ComputeNode
                          [...]

Nota

Para obtener más información sobre los comandos y la sintaxis, consulte Using the Service CLI.

Cree la familia de recursos de autorización.

PCA-ADMIN> create authresourceFamily name=rackops resources=ComputeNode,RackUnit
JobId: eb49ac48-e3f3-4c2f-bf11-d5d18a066788
Data:
id:b54e4413-15bd-440e-b399-e2ab75f17c35 name:rackops

Muestre las familias de recursos de autorización.

PCA-ADMIN> list authresourceFamily
Data:
id name
-- ----
9aefc9c8-556d-42a4-9369-d7cdf0bf0c52 SuperAdmin
b591cc7b-b117-449e-af35-cb4fc6f0c213 Day0
87633db2-d724-45b6-97a5-30babb6c4869 cnops
b54e4413-15bd-440e-b399-e2ab75f17c35 rackops
a45c08b4-f895-4da8-87f4-c81ca0b2bf27 Initial

Escritura de sentencias de política

Las políticas son necesarias para que los grupos de autorización funcionen. Puede crear políticas individuales o utilizar familias de autorizaciones. Puede crear sentencias de política desde la interfaz de usuario web de servicio o la CLI de servicio. Cada sentencia de política debe contener lo siguiente:

Nombre: de 1 a 255 caracteres
Acción: inspeccionar, leer, utilizar o gestionar
Familia de recursos/autorizaciones: uno o más recursos o una familia de autorizaciones
(Sólo CLI de servicio) Grupo de autorización: el ID del grupo

Nota

No puede modificar una sentencia de política. Si necesita realizar cambios en una sentencia de política, debe suprimirla y, a continuación, volver a crearla.

La siguiente tabla contiene información sobre las acciones que puede realizar en un recurso.


Acción	Tipo de acceso
`inspect`	Capacidad para mostrar recursos, sin acceso a información confidencial ni a metadatos especificados por un usuario que puedan ser parte de ese recurso.
`read`	Incluye `inspect` y la capacidad de obtener metadatos especificados por el usuario y el propio recurso.
`use`	Incluye `read` y la capacidad de trabajar con recursos existentes. Las acciones varían según la clase de recurso.
`manage`	Incluye todos los permisos para el recurso.

Documentación de Oracle Cloud Infrastructure

Control de Privilegios de Acceso de Administrador

Trabajo con grupos de autorización

Trabajo con familias de autorización

Escritura de sentencias de política