En la imagen se muestra la distribución de políticas de IAM en la arquitectura de zona de llegada empresarial. Un arrendamiento del compartimento raíz contiene una instancia de IAM de administrador y una instancia de IAM de Cloud Guard. Dentro de Administrator IAM están las políticas de administrador de grupos de usuarios, de usuario de división y de administrador de inquilinos. IAM de Cloud Guard contiene estas políticas:

• cloud_guard_operators_policy
• cloud_guard_analysis_policy
• cloud_guard_architects_policies

El compartimento principal está anidado en el arrendamiento (nivel 1). Este es el hogar de la zona de llegada y contiene un único compartimento de Infra de nivel 2. El compartimento de nivel 2 contiene estos compartimentos de nivel 3:

• Compartimento de red, que contiene instancias de IAM independientes para el administrador de VCN y el usuario de carga de trabajo.
  • La instancia de VCN Admin IAM administra las políticas de identidad para los administradores de red virtual y aplica la zona de llegada de OCI VCNAdminPolicies.
  • El usuario de carga de trabajo IAM administra las políticas de identidad para los grupos y aplica la zona de llegada de OCI LBUserPolicy.
• Un administrador de seguridad IAM, que aplica políticas de administración de seguridad.

Dentro del compartimento Infra común hay un segundo nivel 2, compartimento Applications. Este compartimento se subdivide en tres subcompartimentos: A, B y C. Cada uno de estos compartimentos contiene estas políticas de identidad para los roles específicos:

• Para el administrador de carga de trabajo de IAM: OCI-LZ-WorkLLoadAdminPolicy.
• Para el usuario de carga de trabajo IAM: usuario de carga de trabajo y OCI-LZ-WorkLLoadUserPolicy.
• Para el administrador de almacenamiento de carga de trabajo IAM: Workload-Storage-Admins y OCI-LZ-WorkloadStorageAdminPolicy.
• Para los usuarios de almacenamiento de carga de trabajo IAM: security-admins-policy y OCI-LZ-WorkloadStorageUserPolicy.