Políticas de escritorios seguros

Todos los servicios de Oracle Cloud Infrastructure se integran con Identity and Access Management (IAM) para las cuestiones relativas a la autenticación y autorización en todas las interfaces (la consola, SDK o CLI y la API de REST).

Nota

Por ejemplo, políticas de Secure Desktops e información sobre los grupos dinámicos necesarios, consulte Creación de políticas para el servicio y Creación de políticas para la autorización de usuario.

El administrador del arrendamiento debe crear políticas en el nivel de arrendamiento o en el nivel de compartimento para permitir escritorios seguros y utilizar los recursos que necesita. También deben configurar grupos, compartimentos y políticas que controlen el acceso de los usuarios al servicio. Consulte Creación de políticas para el servicio y Creación de políticas para la autorización de usuario.

Para obtener una introducción a las políticas, consulte Getting Started with Policies.

Nota

La creación de una política requiere privilegios adecuados. Trabaje con el administrador de arrendamiento para obtener los privilegios o para que se creen las políticas para usted.

Políticas de IAM necesarias

En el compartimento raíz

Allow dynamic-group <dynamic-group> to {DOMAIN_INSPECT, DOMAIN_READ} in tenancy 
Allow dynamic-group <dynamic-group> to inspect users in tenancy 
Allow dynamic-group <dynamic-group> to inspect compartments in tenancy
Allow dynamic-group <dynamic-group> to use tag-namespaces in tenancy
En el compartimento raíz o el compartimento por encima de los compartimentos de pool de escritorios que gestione
Allow dynamic-group <dynamic-group> to use virtual-network-family in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to manage virtual-network-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to read instance-images in compartment <image-compartment>
Allow dynamic-group <dynamic-group> to manage instance-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage volume-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to manage dedicated-vm-hosts in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage orm-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to {VNIC_CREATE, VNIC_DELETE} in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage instance-configurations in compartment <desktop-compartment>
Nota

  • Si <desktops-network-compartment> no es un secundario de los compartimentos por encima de los compartimentos del pool de escritorios, la política se debe especificar en el compartimento raíz.
  • Si planea crear pools de escritorio privados, es posible que se necesiten políticas adicionales. Para obtener más información, consulte Enabling Private Desktop Access.

Para el administrador de escritorio

Allow group <desktop-administrators> to manage desktop-pool-family in compartment <desktop-compartment>
Allow group <desktop-administrators> to read all-resources in compartment <desktop-compartment>
Allow group <desktop-administrators> to use virtual-network-family in compartment <desktops-network-compartment>
Allow group <desktop-administrators> to use instance-images in compartment <images-compartment>

Para el usuario de escritorio

Todos los pools de escritorio de un compartimento:

Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>

Pools de escritorio específicos dentro de un compartimento:

Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>
                where all {target.desktoppool.name = '<pool_name>', target.desktoppool.id = '<pool_ocid>'}

Detalles de política para escritorios seguros

En una sentencia de política, se utilizan verbos, tipos de recursos y variables para otorgar acceso a servicios y recursos. También puede utilizar permisos u operaciones de API para reducir el ámbito de acceso otorgado por un verbo concreto.

Para obtener información sobre los permisos, consulte Permisos.

Tipo de recurso agregado

desktop-pool-family

Tipos de recursos individuales

desktop-pool

desktop

Variables soportadas

Las operaciones para este tipo de recurso...

Pueden utilizar estas variables...

Tipo de Variable

Comentarios
desktop-pool target.desktopPool.id Entidad (OCID)
desktop target.desktop.id Entidad (OCID)

Detalles de las combinaciones de verbo y tipo de recursos

En las siguientes tablas, se muestran los permisos y las operaciones de API que cubre cada verbo. El nivel de acceso es acumulativo a medida que pasa de inspect > read > use > manage. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda situada directamente encima, mientras que "sin extra" indica que no hay un acceso incremental.

desktop-pool
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas

inspect

DESKTOP_POOL_INSPECT

ListDesktopPools

Ninguna

leído

INSPECT +

DESKTOP_POOL_READ

GetDesktopPool

ListDesktopPoolVolumes

ListDesktopPoolDesktops

ListDesktopPoolErrors

Ninguna

usar

READ +

UpdateDesktopPool

StartDesktopPool

StopDesktopPool

Ninguna

gestionar

USE +

DESKTOP_POOL_CREATE

DESKTOP_POOL_DELETE

DESKTOP_POOL_MOVE

CreateDesktopPool

DeleteDesktopPool

ChangeDesktopPoolCompartment

Ninguna

escritorio
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas

inspect

DESKTOP_INSPECT

ListDesktops

Ninguna

leído

INSPECT +

DESKTOP_READ

GetDesktop

ListDesktopErrors

Ninguna

usar

READ +

DESKTOP_UPDATE

UpdateDesktop

StartDesktop

StopDesktop

Ninguna

gestionar

USE +

DESKTOP_DELETE

DeleteDesktop

Ninguna

Permisos necesarios para cada operación de API

Operación de API Permisos necesarios para utilizar la operación
ListDesktopPools DESKTOP_POOL_INSPECT
CreateDesktopPool DESKTOP_POOL_CREATE
GetDesktopPool DESKTOP_POOL_READ
DeleteDesktopPool DESKTOP_POOL_DELETE
UpdateDesktopPool DESKTOP_POOL_UPDATE
ChangeDesktopPoolCompartment DESKTOP_POOL_MOVE
StartDesktopPool DESKTOP_POOL_UPDATE
StopDesktopPool DESKTOP_POOL_UPDATE
ListDesktopPoolVolumes DESKTOP_POOL_READ
ListDesktopPoolDesktops DESKTOP_POOL_READ
ListDesktopPoolErrors DESKTOP_POOL_READ
ListDesktops DESKTOP_INSPECT
GetDesktop DESKTOP_READ
DeleteDesktop DESKTOP_DELETE
UpdateDesktop DESKTOP_UPDATE
StartDesktop DESKTOP_UPDATE
StopDesktop DESKTOP_UPDATE
ListDesktopErrors DESKTOP_READ