Documentação do Oracle Cloud Infrastructure

Detalhes do Serviço Certificates

Saiba mais sobre as permissões do serviço Certificates para que você possa criar políticas que controlem o acesso a seus recursos.

Este tópico abrange detalhes do serviço Certificados sobre tipos de recursos aos quais você pode conceder permissões, variáveis especiais que você pode usar ao adicionar condições a uma política, a hierarquia de permissões e operações de API abrangidas por cada verbo para cada tipo de recurso e as permissões para cada operação de API.

Tipos de Recursos Individuais

Tipos de recursos individuais permitem que você crie instruções de política com escopo em um tipo de recurso específico e não outras.

leaf-certificates

leaf-certificate-versions

leaf-certificate-bundles

certificate-authorities

certificate-authority-versions

certificate-authority-bundles

certificate-authority-delegates

cabundles

certificate-associations

certificate-authority-associations

cabundle-associations

Resource-Types Agregados

Os tipos de recursos agregados permitem que você crie instruções de política com um escopo que vai além de um tipo de recurso individual para todos os tipos de recursos abrangidos pelo tipo de recurso agregado.

leaf-certificate-family

certificate-authority-family

Uma política que usa <verb> leaf-certificate-family é equivalente a criar uma instrução <verb> <individual resource-type> distinta para cada um dos seguintes tipos de recursos de certificado individuais: leaf-certificates, leaf-certificate-versions, leaf-certificate-bundles, cabundles, certificate-associations e cabundle-associations.

Uma política que usa <verb> certificate-authority-family é equivalente a criar uma instrução <verb> <individual resource-type> distinta para cada um dos seguintes tipos de recursos individuais de autoridade de certificação (CA) e certificado: certificate-authorities, certificate-authority-versions, certificate-authority-bundles, certificate-authority-delegates, leaf-certificates, leaf-certificate-versions, leaf-certificate-bundles, cabundles, certificate-associations, certificate-authority-associations e cabundle-associations.

Consulte a tabela em Detalhes para Combinações de Verbo + Tipo de Recurso para obter detalhes das operações de API abrangidas por cada verbo, para cada tipo de recurso individual incluído em leaf-certificate-family e certificate-authority-family.

Variáveis Suportadas

O serviço Certificates suporta todas as variáveis gerais, além das listadas aqui. Para obter mais informações sobre variáveis gerais suportadas pelos serviços Oracle Cloud Infrastructure, consulte Variáveis Gerais para Todas as Solicitações.

Operações para Este Tipo de Recurso... Podem Usar Essas Variáveis... Tipo de variável Comentários
certificate-authorities target.certificate-authority.id Entidade (OCID) Use essa variável para controlar o acesso a uma autoridade de certificação (CA) com base no OCID da CA. (Você não pode usar essa variável ao criar uma CA, uma vez que a CA ainda não existe para ter um OCID.)
target.certificate-authority.name String Use essa variável para limitar o acesso a um nome de CA específico.
target.certificate-authority.subject String Use essa variável para controlar o acesso a uma CA com base no assunto da CA.
target.certificate-authority.type String Use essa variável para limitar o acesso a CAs de um determinado tipo. Os tipos de CA incluem ROOT_CA e SUBORDINATE_CA.
target.issuer-certificate-authority.id String Use essa variável para limitar o acesso às CAs com base no OCID da CA do emissor.
certificate-authority-versions target.certificate-authority.id Entidade (OCID) Use essa variável para controlar o acesso a uma versão da CA com base no OCID da CA.
target.certificate-authority.name String Use essa variável para controlar o acesso a uma versão da CA com base no nome da CA.
certificate-authority-bundles target.certificate-authority.id Entidade (OCID) Use essa variável para controlar o acesso ao pacote de uma CA com base no OCID da CA do pacote.
target.certificate-authority.name String Use essa variável para controlar o acesso ao pacote de uma CA pelo nome da CA do pacote.
certificate-authority-associations target.association.id Entidade (OCID) Use essa variável para controlar o acesso a uma associação de CA com base no OCID da associação. (Você não pode usar essa variável ao criar uma associação de CA, uma vez que a associação ainda não existe para ter um OCID.)
target.association.name String Use essa variável para controlar o acesso a uma associação de CA com base no nome da associação.
target.association.resourceid Entidade (OCID) Use essa variável para controlar o acesso a uma associação de CA com base no OCID do recurso configurado na associação.
target.leaf-certificate.id Entidade (OCID) Use essa variável para controlar o acesso a uma associação de CA com base no OCID do certificado configurado na associação.
target.leaf-certificate.name String Use essa variável para controlar o acesso a uma associação de CA com base no nome do certificado configurado na associação.
certificate-authority-delegates target.certificate-authority.id Entidade (OCID) Use essa variável para controlar o acesso a um representante da CA com base no OCID da CA.
target.certificate-authority.name String Use essa variável para controlar o acesso a um representante da CA com base no nome da CA.
target.issuer-certificate-authority.id String Use essa variável para controlar o acesso a um representante da CA com base no OCID da CA emissora.
target.resource.type String Use essa variável para controlar o acesso aos representantes da CA com base no tipo de recurso que o representante é, quer o recurso seja leaf-certificate, certificate-authority ou cabundle.
leaf-certificates target.leaf-certificate.allow-wildcard String Use essa variável para controlar o acesso a um certificado com base em se o nome comum do certificado ou o nome alternativo do assunto inclui um curinga.
target.leaf-certificate.alt-subject List Use essa variável para controlar o acesso a um certificado com base no nome alternativo do assunto do certificado.
target.leaf-certificate.alt-subject-size String Use essa variável para controlar o acesso a um certificado com base no número de nomes alternativos de assunto do certificado.
target.leaf-certificate.id Entidade (OCID) Use essa variável para controlar o acesso a um certificado com base no OCID do certificado. (Você não pode usar essa variável ao criar um certificado, já que o certificado ainda não existe para ter um OCID.)
target.leaf-certificate.name String Use essa variável para controlar o acesso a um certificado com base no nome do certificado.
target.issuer-certificate-authority.id String Use essa variável para controlar o acesso a um certificado com base no OCID da CA emissora.
target.leaf-certificate.profile-type String Use essa variável para controlar o acesso a certificados com base no tipo de perfil do certificado. Os tipos de perfil de certificado incluem TLS_SERVER_OR_CLIENT, TLS_SERVER, TLS_CLIENT e TLS_CODE_SIGN.
target.leaf-certificate.subject String Use essa variável para controlar o acesso a certificados com base no assunto do certificado.
target.leaf-certificate.type String Use essa variável para controlar o acesso a certificados com base na maneira como o certificado foi criado. Os tipos de configuração de certificado incluem MANAGED_EXTERNALLY_ISSUED_BY_INTERNAL_CA, ISSUED_BY_INTERNAL_CA ou IMPORTED.
leaf-certificate-versions target.leaf-certificate.id Entidade (OCID) Use essa variável para controlar o acesso a versões de certificado com base no OCID do certificado. Use esta variável para controlar se volumes em blocos ou buckets podem ser criados sem uma chave de criptografia mestra do serviço Vault.
target.leaf-certificate.name String Use essa variável para controlar o acesso a versões de certificado com base no nome do certificado.
leaf-certificate-bundles target.leaf-certificate.id Entidade (OCID) Use essa variável para controlar o acesso a pacotes de certificados com base no OCID do certificado.
target.leaf-certificate.name String Use essa variável para controlar o acesso a pacotes de certificados com base no nome do certificado.
target.leaf-certificate.bundle-type String Use essa variável para controlar o acesso a um pacote de certificados com base no tipo de pacote. Os tipos de pacote de certificados incluem CERTIFICATE_CONTENT_PUBLIC_ONLY e CERTIFICATE_CONTENT_WITH_PRIVATE_KEY.
certificate-associations target.association.id Entidade (OCID) Use essa variável para controlar o acesso a associações de certificados com base no OCID da associação. (Você não pode usar essa variável ao criar uma associação de certificado porque a associação ainda não existe para ter um OCID.)
target.association.name String Use essa variável para controlar o acesso a pacotes de certificados com base no nome da associação do pacote de certificados.
target.association.resourceid Entidade (OCID) Use essa variável para controlar o acesso a pacotes de certificados com base no OCID do recurso direcionado na associação do pacote de certificados.
target.leaf-certificate.id Entidade (OCID) Use essa variável para controlar o acesso a associações de certificados com base no OCID do certificado.
target.leaf-certificate.name String Use essa variável para controlar o acesso a associações de certificados com base no nome do certificado.
cabundles target.cabundle.id Entidade (OCID) Use essa variável para controlar o acesso a pacotes de CAs com base no OCID do pacote. (Você não pode usar essa variável ao criar um pacote de CAs, já que o pacote de CAs ainda não existe para ter um OCID.)
target.cabundle.name String Use essa variável para controlar o acesso a pacotes de CAs com base no nome do pacote.
cabundle-associations target.association.id Entidade (OCID) Use essa variável para controlar o acesso a uma associação de pacote de CAs com base no OCID da associação do pacote.
target.association.name String Use essa variável para controlar o acesso a uma associação de pacote de CAs com base no nome da associação do pacote (Você não pode usar essa variável ao criar uma associação de pacote de CAs, uma vez que a associação ainda não existe para ter um OCID).
target.association.resourceid Entidade (OCID) Use essa variável para controlar o acesso a uma associação de pacote de CAs com base no OCID do recurso configurado na associação.
target.cabundle.id Entidade (OCID) Use essa variável para controlar o acesso a uma associação de pacote de CAs com base no OCID do pacote.
target.cabundle.name String Use essa variável para controlar o acesso a uma associação de pacote de CAs com base no nome do pacote.

Detalhes para Combinações de Verbo + Tipo de Recurso

Entenda o acesso incremental concedido por cada verbo para cada tipo de recurso para que você possa criar políticas que concedam somente o acesso exigido e nada mais.

As tabelas a seguir mostram as permissões e operações de API abrangidas por cada verbo. O nível de acesso é cumulativo à medida que você vai de inspect > read > use > manage. Um sinal de mais (+) em uma célula da tabela indica o acesso incremental comparado à célula diretamente acima dela, enquanto "sem extra" indica acesso incremental.

Por exemplo, o verbo use para o tipo de recurso cabundles inclui as mesmas permissões e operações de API do verbo read, além da permissão CABUNDLE_UPDATE e da operação de API UpdateCaBundle. O verbo manage permite ainda mais permissões e operações de API em comparação com o verbo use.

leaf-certificates
Verbos Permissões APIs Totalmente Abrangidas APIs Parcialmente Abrangidas
inspect

CERTIFICATE_INSPECT

 ListCertificates

none
read

INSPECT +

CERTIFICATE_READ

INSPECT +

GetCertificate

none
use

READ +

CERTIFICATE_UPDATE

sem extra

 

RevokeCertificateVersion (também precisa de manage leaf-certificate-versions e use certificate-authority-delegates, além de permissão para update buckets no bucket associado à versão do certificado e permissões use certificate-authorities para a CA emissora)

CancelCertificateVersionDeletion (também precisa de permissão para delete leaf-certificate-versions)

ScheduleCertificateVersionDeletion (também precisa de permissão para delete leaf-certificate-versions)

UpdateCertificate (também precisa de permissões use certificate-authority-delegates, exceto com certificados importados, bem como de permissão para update buckets no bucket associado à versão do certificado, permissão para use a autoridade de certificação emissora e permissão para use keys)
manage

USE +

CERTIFICATE_CREATE

CERTIFICATE_DELETE

CERTIFICATE_MOVE

USE +

CancelCertificateDeletion

ScheduleCertificateDeletion

ChangeCertificateCompartment

CreateCertificate (também precisa de permissões use certificate-authority-delegates, exceto ao importar um certificado, bem como de permissão para update buckets no bucket associado à versão do certificado, permissão para use keys e permissões use certificate-authorities para a CA emissora, exceto ao importar um certificado)
leaf-certificate-versions
Verbos Permissões APIs Totalmente Abrangidas APIs Parcialmente Abrangidas
inspect

CERTIFICATE_VERSION_INSPECT

 ListCertificateVersions

none
read

INSPECT +

CERTIFICATE_VERSION_READ

INSPECT +

GetCertificateVersion

none
use

READ +

sem extra

none

none
manage

USE +

CERTIFICATE_VERSION_REVOKE

CERTIFICATE_VERSION_DELETE

none

RevokeCertificateVersion (também precisa de use leaf-certificates e use certificate-authority-delegates)

CancelCertificateVersionDeletion (também precisa de use leaf-certificates)

ScheduleCertificateVersionDeletion (também precisa de use leaf-certificates)
certificate-authorities
Verbos Permissões APIs Totalmente Abrangidas APIs Parcialmente Abrangidas
inspect

CERTIFICATE_AUTHORITY_INSPECT

 ListCertificateAuthorities

none
read

INSPECT +

CERTIFICATE_AUTHORITY_READ

INSPECT +

GetCertificateAuthority

none
use

READ +

CERTIFICATE_AUTHORITY_UPDATE

sem extra

UpdateCertificateAuthority (também precisa de use certificate-authority-delegates)
manage

USE +

CERTIFICATE_AUTHORITY_CREATE

CERTIFICATE_AUTHORITY_DELETE

CERTIFICATE_AUTHORITY_MOVE

USE +

CancelCertificateAuthorityDeletion

ScheduleCertificateAuthorityDeletion

ChangeCertificateAuthorityCompartment

CreateCertificateAuthority (também precisa de use certificate-authority-delegates)
certificate-authority-versions
Verbos Permissões APIs Totalmente Abrangidas APIs Parcialmente Abrangidas
inspect

CERTIFICATE_AUTHORITY_VERSION_INSPECT

 ListCertificateAuthorityVersions

none
read

INSPECT +

CERTIFICATE_AUTHORITY_VERSION_READ

INSPECT +

GetCertificateAuthorityVersion

none
use

READ +

sem extra

none

none
manage

USE +

CERTIFICATE_AUTHORITY_VERSION_DELETE

CERTIFICATE_AUTHORITY_VERSION_REVOKE

none

CancelCertificateAuthorityVersionDeletion (também precisa de use certificate-authorities)

ScheduleCertificateAuthorityVersionDeletion (também precisa de use certificate-authorities)

RevokeCertificateAuthorityVersion (também precisa de use certificate-authorities)
leaf-certificate-bundles
Verbos Permissões APIs Totalmente Abrangidas APIs Parcialmente Abrangidas
inspect

CERTIFICATE_BUNDLE_INSPECT

 ListCertificateBundleVersions

none
read

INSPECT +

CERTIFICATE_BUNDLE_READ

INSPECT +

GetCertificateBundle

Observação: A permissão exigida para essa operação depende do parâmetro de consulta certificateBundleType.

Se certificateBundleType estiver definido como CERTIFICATE_CONTENT_PUBLIC_ONLY, qualquer usuário com a permissão CERTIFICATE_BUNDLE_READ poderá executar essa operação.

Se certificateBundleType estiver definido como CERTIFICATE_CONTENT_WITH_PRIVATE_KEY, você precisará de uma instrução de política para o grupo que inclua a variável target.leaf-certificate.bundle-type definida como CERTIFICATE_CONTENT_WITH_PRIVATE_KEY.

none
use

READ +

sem extra

none

none
manage

USE+

sem extra

none

CancelCertificateAuthorityVersionDeletion (também precisa de use certificate-authorities)

ScheduleCertificateAuthorityVersionDeletion (também precisa de use certificate-authorities)

RevokeCertificateAuthorityVersion (também precisa de use certificate-authorities)
certificate-authority-bundles
Verbos Permissões APIs Totalmente Abrangidas APIs Parcialmente Abrangidas
inspect

CERTIFICATE_AUTHORITY_BUNDLE_INSPECT

 ListCertificateAuthorityBundleVersions

none
read

INSPECT +

CERTIFICATE_AUTHORITY_BUNDLE_READ

INSPECT +

GetCertificateAuthorityBundle

none
use

READ +

sem extra

none

 

none
manage

USE +

sem extra

none

none
cabundles
Verbos Permissões APIs Totalmente Abrangidas APIs Parcialmente Abrangidas
inspect

CABUNDLE_INSPECT

 ListCaBundles

none
read

INSPECT +

CABUNDLE_READ

INSPECT +

GetCaBundle

none
use

READ +

CABUNDLE_UPDATE

READ+

UpdateCaBundle

 

none
manage

USE +

CABUNDLE_CREATE

CABUNDLE_DELETE

CABUNDLE_MOVE

USE +

CreateCaBundle

DeleteCaBundle

ChangeCaBundleCompartment

none
certificate-authority-delegates
Verbos Permissões APIs Totalmente Abrangidas APIs Parcialmente Abrangidas
inspect

none

none

none
read

sem extra

none

none
use

READ +

CERTIFICATE_AUTHORITY_APPLY

none

 

UpdateCertificateAuthority (também precisa de use certificate-authorities)
manage

USE +

sem extra

none

none
certificate-associations
Verbos Permissões APIs Totalmente Abrangidas APIs Parcialmente Abrangidas
inspect

CERTIFICATE_ASSOCIATION_INSPECT

 ListAssociations

none
read

INSPECT +

CERTIFICATE_ASSOCIATION_READ

INSPECT +

GetAssociation

none
use

READ +

sem extra

none

none
manage

USE +

CERTIFICATE_ASSOCIATION_CREATE

CERTIFICATE_ASSOCIATION_DELETE

USE +

CreateAssociation

DeleteAssociation

none
certificate-authority-associations
Verbos Permissões APIs Totalmente Abrangidas APIs Parcialmente Abrangidas
inspect

CERTIFICATE_AUTHORITY_ASSOCIATION_INSPECT

 ListAssociations

none
read

INSPECT +

CERTIFICATE_AUTHORITY_ASSOCIATION_READ

INSPECT +

GetAssociation

none
use

READ +

sem extra

none

 

none
manage

USE +

CERTIFICATE_AUTHORITY_ASSOCIATION_CREATE

CERTIFICATE_AUTHORITY_ASSOCIATION_DELETE

USE +

CreateAssociation

DeleteAssociation

none
cabundle-associations
Verbos Permissões APIs Totalmente Abrangidas APIs Parcialmente Abrangidas
inspect

CABUNDLE_ASSOCIATION_INSPECT

 ListAssociations

none
read

INSPECT +

CABUNDLE_ASSOCIATION_READ

INSPECT +

GetAssociation

none
use

READ +

sem extra

none

none
manage

USE +

CABUNDLE_ASSOCIATION_CREATE

CABUNDLE_ASSOCIATION_DELETE

USE +

CreateAssociation

DeleteAssociation

none

Permissões Exigidas para Cada Operação de API

A tabela a seguir lista as operações de API em uma ordem lógica, agrupadas por tipo de recurso.

Para obter informações sobre permissões, consulte Permissões.

Operação da API Permissões Necessárias para Usar a Operação
ListCertificateAuthorities CERTIFICATE_AUTHORITY_INSPECT
GetCertificateAuthority CERTIFICATE_AUTHORITY_READ
CreateCertificateAuthority CERTIFICATE_AUTHORITY_CREATE e CERTIFICATE_AUTHORITY_APPLY
UpdateCertificateAuthority CERTIFICATE_AUTHORITY_UPDATE e CERTIFICATE_AUTHORITY_APPLY
ChangeCertificateAuthorityCompartment CERTIFICATE_AUTHORITY_MOVE
ScheduleCertificateAuthorityDeletion CERTIFICATE_AUTHORITY_DELETE
CancelCertificateAuthorityDeletion CERTIFICATE_AUTHORITY_DELETE
ListCertificateAuthorityVersions CERTIFICATE_AUTHORITY_VERSION_INSPECT
GetCertificateAuthorityVersion CERTIFICATE_AUTHORITY_VERSION_READ
RevokeCertificateAuthorityVersion CERTIFICATE_AUTHORITY_VERSION_REVOKE, CERTIFICATE_AUTHORITY_UPDATE e CERTIFICATE_AUTHORITY_APPLY
ScheduleCertificateAuthorityVersionDeletion CERTIFICATE_AUTHORITY_VERSION_DELETE e CERTIFICATE_AUTHORITY_UPDATE
CancelCertificateAuthorityVersionDeletion CERTIFICATE_AUTHORITY_VERSION_DELETE e CERTIFICATE_AUTHORITY_UPDATE
ListCertificateAuthorityBundleVersions CERTIFICATE_AUTHORITY_BUNDLE_INSPECT
GetCertificateAuthorityBundle CERTIFICATE_AUTHORITY_BUNDLE_READ
ListCertificates CERTIFICATE_INSPECT
GetCertificate CERTIFICATE_READ
CreateCertificate CERTIFICATE_CREATE e CERTIFICATE_AUTHORITY_APPLY
UpdateCertificate CERTIFICATE_UPDATE e CERTIFICATE_AUTHORITY_APPLY
ChangeCertificateCompartment CERTIFICATE_MOVE
ScheduleCertificateDeletion CERTIFICATE_DELETE
CancelCertificateDeletion CERTIFICATE_DELETE
ListCertificateVersions CERTIFICATE_VERSION_INSPECT
GetCertificateVersion CERTIFICATE_VERSION_READ
RevokeCertificateVersion CERTIFICATE_VERSION_REVOKE, CERTIFICATE_UPDATE e CERTIFICATE_AUTHORITY_APPLY
ScheduleCertificateVersionDeletion CERTIFICATE_VERSION_DELETE e CERTIFICATE_UPDATE
CancelCertificateVersionDeletion CERTIFICATE_VERSION_DELETE e CERTIFICATE_UPDATE
ListCertificateBundleVersions CERTIFICATE_BUNDLE_INSPECT
GetCertificateBundle CERTIFICATE_BUNDLE_READ

Para obter detalhes, consulte leaf-certificate-bundles.
ListCaBundles CABUNDLE_INSPECT
GetCaBundle CABUNDLE_READ
CreateCaBundle CABUNDLE_CREATE
UpdateCaBundle CABUNDLE_UPDATE
ChangeCaBundleCompartment CABUNDLE_MOVE
DeleteCaBundle CABUNDLE_DELETE
ListAssociations CERTIFICATE_AUTHORITY_ASSOCIATION_INSPECT (para certificate-authorities), CERTIFICATE_ASSOCIATION_INSPECT (para leaf-certificates) ou CABUNDLE_ASSOCIATION_INSPECT (para cabundles)
GetAssociation CERTIFICATE_AUTHORITY_ASSOCIATION_READ (para certificate-authorities), CERTIFICATE_ASSOCIATION_READ (para leaf-certificates) ou CABUNDLE_ASSOCIATION_READ (para cabundles)
DeleteAssociation CERTIFICATE_AUTHORITY_ASSOCIATION_DELETE (para certificate-authorities), CERTIFICATE_ASSOCIATION_DELETE (para leaf-certificates) ou CABUNDLE_ASSOCIATION_DELETE (para cabundles)