Documentación de Oracle Cloud Infrastructure

Conceptos básicos sobre las políticas

Para controlar el control de sus recursos, necesita al menos una política. Cada política consta de una o más sentencias, que siguen esta sintaxis básica:

Allow group <group_name> to <verb> <resource-type> in compartment <compartment_name>

Las sentencias de política comienzan con la palabra Allow. Las políticas solo permiten el acceso; no pueden denegarlo. En su lugar, todo el acceso se deniega implícitamente, lo que significa que los usuarios solo pueden hacer lo que se les ha otorgado permiso. Un administrador de arrendamiento define los grupos y compartimentos; los tipos de recursos disponibles los determina Oracle.

Si desea que una política se aplique al arrendamiento y no al compartimento dentro del arrendamiento, cambie el final de la sentencia de política de la siguiente manera:

Allow group <group_name> to <verb> <resource-type> in tenancy

Una función básica de las políticas es el concepto de herencia: los compartimientos heredan las políticas de su compartimento principal. Si un grupo tiene un nivel concreto de acceso a determinados tipos de recursos en un compartimento, esos mismos permisos se aplican en todos los subcompartimentos del compartimento en el que se aplica esta política. El ejemplo más sencillo es el grupo Administradores del arrendamiento: la política incorporada permite a los administradores gestionar todos los recursos del compartimento raíz del arrendamiento. Debido a la herencia de políticas, los administradores tienen acceso completo a todas las operaciones y todos los recursos de cada compartimento.

Tipos de recursos

Los tipos de recursos que puede utilizar en las políticas son tipos individuales o familiares. Los tipos de recursos de familia facilitan la escritura de políticas, ya que incluyen varios tipos de recursos que se suelen gestionar juntos. Por ejemplo, el tipo virtual-network-family reúne una variedad de tipos relacionados con la gestión de las redes virtuales en la nube: vcns, subnets, route-tables, security-lists, etc. Si necesita escribir una política más granular, utilice un tipo de recurso individual para otorgar acceso solo a esos recursos específicos. Tenga en cuenta que hay otras maneras de hacer que la política sea más granular, como la capacidad de especificar las condiciones en las que se concede el acceso.

Con futuras actualizaciones de servicio, es posible que se cambien o agreguen definiciones de tipo de recurso. Normalmente, estos se reflejan automáticamente en el tipo de familia de recursos para ese servicio, por lo que las políticas permanecen actualizadas.

Algunas operaciones requieren acceso a varios tipos de recursos. Por ejemplo, para iniciar una instancia se necesita el permiso para crear instancias y trabajar con una red en la nube. O la creación de una copia de seguridad de volumen requiere acceso tanto al volumen como a su copia de seguridad. Esto significa que tiene sentencias independientes para otorgar acceso a cada tipo de recurso.

Estas sentencias individuales no tienen por qué estar en la misma política. Un usuario puede obtener el acceso necesario al estar en diferentes grupos. Por ejemplo, un usuario podría estar en un grupo que proporciona el nivel de acceso necesario al tipo a recurso volumes y en otro grupo que concede el acceso necesario al tipo a recurso volume-backups. La suma de las sentencias individuales, independientemente de su ubicación en el juego general de políticas, permite al usuario crear una copia de seguridad de volumen.

Anexo de política

Otra función básica de las políticas es el concepto de asociación. Cuando crea una política, debe asociarla a un compartimento o al arrendamiento, que es el compartimento raíz. Según el lugar al que la asocie, dependerá quién pueda modificarla o suprimirla. Si asocia una política al arrendamiento, solo la puede modificar el grupo Administradores y no los usuarios que solo tengan acceso a un subcompartimento.

Si, en su lugar, asocia la política a un compartimento secundario, cualquier persona con acceso que pueda gestionar las políticas en ese compartimento podrá cambiarla o suprimirla. en la práctica, esto significa que es posible otorgarles a los administradores de compartimento (un grupo con acceso para gestionar todos los recursos del compartimento) acceso para gestionar sus propias políticas de compartimento, sin asignarles una acceso más amplia para gestionar sus propias políticas de compartimento, sin asignarles una mayor capacidad para gestionar los políticas que residan en el arrendamiento.

Para asociar una política a un compartimento, debe estar en ese compartimento cuando cree la política. Como parte de una sentencia de política, debe especificar el compartimento al que se aplica, por lo que si intenta asociar la política a un compartimento diferente, obtendrá un error. La asociación de política se produce en el momento de la creación, lo que significa que una política solo se puede asociar a un compartimento.