Política Adicional do IAM quando um Cluster e um Namespace de Tag estão em Compartimentos Distintos

Descubra mais sobre uma política de IAM adicional que você precisa criar se quiser aplicar tags definidas de um namespace de tag pertencente a um compartimento a recursos relacionados ao cluster pertencentes a outro compartimento, ao usar o Kubernetes Engine (OKE).

Para aplicar tags definidas de um namespace de tag pertencente a um compartimento a recursos relacionados ao cluster pertencentes a outro compartimento, inclua uma instrução de política semelhante à seguinte em uma política do serviço IAM:

Allow any-user to use tag-namespace in tenancy where all {request.principal.type = 'cluster'}

Se você considerar essa instrução de política muito permissiva, poderá restringir as permissões para especificar explicitamente o compartimento ao qual o namespace de tag pertence e/ou especificar explicitamente o cluster que pertence a outro compartimento. Por exemplo:

Allow any-user to use tag-namespace in compartment <compartment-ocid> where all { request.principal.id = '<cluster-ocid>' }