Políticas de escritorios seguros
Todos los servicios de Oracle Cloud Infrastructure se integran con Identity and Access Management (IAM) para las cuestiones relativas a la autenticación y autorización en todas las interfaces (la consola, SDK o CLI y la API de REST).
Por ejemplo, políticas de Secure Desktops e información sobre los grupos dinámicos necesarios, consulte Creación de políticas para el servicio y Creación de políticas para la autorización de usuario.
El administrador del arrendamiento debe crear políticas en el nivel de arrendamiento o en el nivel de compartimento para permitir escritorios seguros y utilizar los recursos que necesita. También deben configurar grupos, compartimentos y políticas que controlen el acceso de los usuarios al servicio. Consulte Creación de políticas para el servicio y Creación de políticas para la autorización de usuario.
Para obtener una introducción a las políticas, consulte Getting Started with Policies.
La creación de una política requiere privilegios adecuados. Trabaje con el administrador de arrendamiento para obtener los privilegios o para que se creen las políticas para usted.
Políticas de IAM necesarias
En el compartimento raíz
Allow dynamic-group <dynamic-group> to {DOMAIN_INSPECT, DOMAIN_READ} in tenancy
Allow dynamic-group <dynamic-group> to inspect users in tenancy
Allow dynamic-group <dynamic-group> to inspect compartments in tenancy
Allow dynamic-group <dynamic-group> to use tag-namespaces in tenancy
En el compartimento raíz o el compartimento por encima de los compartimentos de pool de escritorios que gestioneAllow dynamic-group <dynamic-group> to use virtual-network-family in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to manage virtual-network-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to read instance-images in compartment <image-compartment>
Allow dynamic-group <dynamic-group> to manage instance-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage volume-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage dedicated-vm-hosts in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage orm-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to {VNIC_CREATE, VNIC_DELETE} in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage instance-configurations in compartment <desktop-compartment>
- Si <desktops-network-compartment> no es un secundario de los compartimentos por encima de los compartimentos del pool de escritorios, la política se debe especificar en el compartimento raíz.
- Si planea crear pools de escritorio privados, es posible que se necesiten políticas adicionales. Para obtener más información, consulte Enabling Private Desktop Access.
Para el administrador de escritorio
Allow group <desktop-administrators> to manage desktop-pool-family in compartment <desktop-compartment>
Allow group <desktop-administrators> to read all-resources in compartment <desktop-compartment>
Allow group <desktop-administrators> to use virtual-network-family in compartment <desktops-network-compartment>
Allow group <desktop-administrators> to use instance-images in compartment <images-compartment>
Para el usuario de escritorio
Todos los pools de escritorio de un compartimento:
Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>
Pools de escritorio específicos dentro de un compartimento:
Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>
where all {target.desktoppool.name = '<pool_name>', target.desktoppool.id = '<pool_ocid>'}
Detalles de política para escritorios seguros
En una sentencia de política, se utilizan verbos, tipos de recursos y variables para otorgar acceso a servicios y recursos. También puede utilizar permisos u operaciones de API para reducir el ámbito de acceso otorgado por un verbo concreto.
Para obtener información sobre los permisos, consulte Permisos.
Tipo de recurso agregado
desktop-pool-family
Tipos de recursos individuales
desktop-pool
desktop
Variables soportadas
Las operaciones para este tipo de recurso... |
Pueden utilizar estas variables... |
Tipo de Variable |
Comentarios |
---|---|---|---|
desktop-pool |
target.desktopPool.id |
Entidad (OCID) | |
desktop |
target.desktop.id |
Entidad (OCID) |
Detalles de las combinaciones de verbo y tipo de recursos
En las siguientes tablas, se muestran los permisos y las operaciones de API que cubre cada verbo. El nivel de acceso es acumulativo a medida que pasa de inspect
> read
> use
> manage
. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda situada directamente encima, mientras que "sin extra" indica que no hay un acceso incremental.
Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
---|---|---|---|
inspect |
|
|
Ninguna |
leído |
INSPECT +
|
|
Ninguna |
usar |
READ + |
|
Ninguna |
gestionar |
USE +
|
|
Ninguna |
Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
---|---|---|---|
inspect |
|
|
Ninguna |
leído |
INSPECT +
|
|
Ninguna |
usar |
READ +
|
|
Ninguna |
gestionar |
USE +
|
|
Ninguna |
Permisos necesarios para cada operación de API
Operación de API | Permisos necesarios para utilizar la operación |
---|---|
ListDesktopPools |
DESKTOP_POOL_INSPECT |
CreateDesktopPool |
DESKTOP_POOL_CREATE |
GetDesktopPool |
DESKTOP_POOL_READ |
DeleteDesktopPool |
DESKTOP_POOL_DELETE |
UpdateDesktopPool |
DESKTOP_POOL_UPDATE |
ChangeDesktopPoolCompartment |
DESKTOP_POOL_MOVE |
StartDesktopPool |
DESKTOP_POOL_UPDATE |
StopDesktopPool |
DESKTOP_POOL_UPDATE |
ListDesktopPoolVolumes |
DESKTOP_POOL_READ |
ListDesktopPoolDesktops |
DESKTOP_POOL_READ |
ListDesktopPoolErrors |
DESKTOP_POOL_READ |
ListDesktops |
DESKTOP_INSPECT |
GetDesktop |
DESKTOP_READ |
DeleteDesktop |
DESKTOP_DELETE |
UpdateDesktop |
DESKTOP_UPDATE |
StartDesktop |
DESKTOP_UPDATE |
StopDesktop |
DESKTOP_UPDATE |
ListDesktopErrors |
DESKTOP_READ |