Gerenciando Compartimentos
Este tópico descreve os conceitos básicos sobre como trabalhar com compartimentos.
Política do Serviço IAM Obrigatória
Se você estiver no grupo Administradores, então terá o acesso necessário para gerenciar compartimentos.
Para obter uma política adicional relacionada ao gerenciamento de compartimentos, consulte Permitir que um administrador de compartimento gerencie o compartimento.
Se você for novo em políticas, consulte Conceitos Básicos de Políticas e Políticas Comuns. Se quiser mais detalhes sobre como criar políticas para compartimentos ou outros componentes do serviço IAM, consulte Detalhes do Serviço IAM sem Domínios de Identidade.
Aplicando Tags em Recursos
Aplique tags aos seus recursos para ajudar a organizá-los de acordo com as necessidades da sua empresa. Aplique tags no momento da criação de um recurso ou atualize o recurso posteriormente com as tags desejadas. Para obter informações gerais sobre a aplicação de tags, consulte Tags de Recursos.
Como Trabalhar com Compartimentos
Quando começar a trabalhar com o Oracle Cloud Infrastructure pela primeira vez, você precisa pensar cuidadosamente sobre como deseja usar os compartimentos para organizar e isolar os recursos de nuvem. Compartimentos são fundamentais para esse processo. A maioria dos recursos pode ser movida entre os compartimentos. No entanto, é importante pensar no design do seu compartimento da sua organização desde o início, antes de implementar qualquer coisa. Para obter mais informações, consulte Conheça as Melhores Práticas para Configurar a Sua Tenancy.
A Console foi criada para exibir seus recursos por compartimento dentro da região atual. Quando você trabalha com seus recursos na Console, escolha em qual compartimento deseja trabalhar em uma lista da página. Essa lista é filtrada para mostrar somente os compartimentos na tenancy à qual você tem permissão para acessar. Se você for um administrador, terá permissão para exibir todos os compartimentos e trabalhar com recursos de compartimento, mas se for um usuário com acesso limitado, provavelmente não será possível.
Os compartimentos estão presentes em todas as tenancies, em todas as regiões. Quando você cria um compartimento, ele fica disponível em todas as regiões em que sua tenancy está inscrita. Você pode obter uma exibição de região cruzada dos seus recursos em um compartimento específico com o explorador de tenancies. Consulte Exibindo Todos os Recursos em um Compartimento.
Para segurança adicional, é possível associar um compartimento a uma zona de segurança. Para obter mais informações, consulte Zonas de Segurança.
Criando Compartimentos
Ao criar um compartimento, você deve fornecer um nome para ele (máximo de 100 caracteres, incluindo letras, números, pontos, hifens e sublinhados) que seja exclusivo dentro do compartimento pai. Forneça também uma descrição não exclusiva e alterável para o compartimento, de 1 a 400 caracteres. O sistema Oracle também atribuirá ao compartimento um ID exclusivo chamado Oracle Cloud ID. Para obter mais informações, consulte Identificadores de Recursos.
Você pode criar subcompartimentos em compartimentos para criar hierarquias com seis níveis de profundidade.
Para obter informações sobre o número de compartimentos que você pode ter, consulte Limites do Serviço.
Controle de Acesso dos Compartimentos
Depois de criar um compartimento, você precisa gravar pelo menos uma política para ele; caso contrário, ninguém poderá acessá-lo (exceto administradores ou usuários com permissões definidas no nível de tenancy). Ao criar um compartimento dentro de outro compartimento, o compartimento herda as permissões de acesso dos compartimentos superiores na hierarquia. Para obter mais informações, consulte Herança de Políticas.
Ao criar uma política de acesso, você precisa especificar a qual compartimento ela será anexada. Isso controla quem poderá modificar ou excluir posteriormente a política. Dependendo de como você projetou sua hierarquia de compartimentos, você pode anexá-la à tenancy, a um pai ou ao próprio compartimento específico. Para obter mais informações, consulte Anexação de Políticas.
Colocando Recursos em um Compartimento
Para colocar um novo recurso em um compartimento, você simplesmente especifica esse compartimento ao criar o recurso (o compartimento é uma das informações necessárias para criar um recurso). Se estiver trabalhando na Console, certifique-se de estar exibindo primeiro o compartimento no qual deseja criar o recurso. Lembre-se de que a maioria dos recursos do serviço IAM reside na tenancy (isso inclui usuários, grupos, compartimentos e qualquer política anexada à tenancy) e não pode ser criada ou gerenciada em um compartimento específico.
Movendo Recursos para Outro Compartimento
A maioria dos recursos pode ser movida após sua criação. Há alguns recursos que você não pode mover de um compartimento para outro. Além disso, não é possível mover determinados recursos de uma zona de segurança para um compartimento que não esteja na mesma zona de segurança, porque ele pode ser menos seguro. Para obter detalhes sobre restrições de recursos em zonas de segurança, consulte Restringir Movimentação de Recursos.
Alguns recursos têm dependências de recursos anexadas e outros não. Nem todas as dependências anexadas se comportam da mesma forma que quando o recurso pai é movido.
Para alguns recursos, as dependências anexadas são movidas com o recurso pai para o novo compartimento. O recurso pai é movido imediatamente, mas em alguns casos, dependências anexadas se movem de forma assíncrona e não ficam visíveis no novo compartimento até que a movimentação seja concluída.
Para outros recursos, as dependências do recurso associadas não serão movidas para o novo compartimento. Você pode mover esses recursos anexados de forma independente.
Depois de mover o recurso para o novo compartimento, as políticas que controlam o novo compartimento se aplicam imediatamente e afetam o acesso ao recurso. Dependendo da estrutura da sua organização de compartimento, a medição, o faturamento e os alarmes também podem ser afetados.
Consulte a documentação de serviço para obter recursos individuais, a fim de se familiarizar com o comportamento de cada recurso e seus anexos.
Exibindo Recursos em um Compartimento
Não é possível obter uma lista de todos os recursos de um compartimento usando uma chamada de API única. Em vez disso, você pode listar todos os recursos de determinado tipo no compartimento (por exemplo, todas as instâncias, todos os volumes de armazenamento em blocos etc.).
Na Console, o explorador de tenancies permite que você obtenha uma lista de recursos em um compartimento, entre regiões, com algumas limitações. Para obter mais informações, consulte Exibindo Todos os Recursos em um Compartimento.
Com o serviço Resource Manager, você pode capturar recursos implantados como configuração do Terraform e arquivos de estado usando a descoberta de recursos. A pilha criada fornece uma configuração do Terraform que você pode usar para gerenciar programaticamente, controlar a versão e persistir sua infraestrutura de TI como "infraestrutura como código".
Uma pilha criada com base em um compartimento representa todos os recursos suportados em todo o compartimento, no escopo apropriado. Se você selecionar o compartimento raiz para sua tenancy, o escopo será o nível de tenancy, como usuários e grupos. Se você selecionar um compartimento não raiz, o escopo será o nível do compartimento, como instâncias de computação.
Só há suporte para a criação de pilha com base em um único compartimento. Não é possível criar pilhas com base em compartimentos aninhados.
Para obter instruções, consulte Criando uma Pilha com base em um Compartimento Existente.
Excluindo Compartimentos
Para excluir um compartimento, ele deve estar vazio de todos os recursos. Antes de iniciar a exclusão de um compartimento, certifique-se de que todos os seus recursos foram movidos, excluídos ou encerrados, incluindo todas as políticas anexadas ao compartimento.
A ação de exclusão é assíncrona e inicia uma solicitação de serviço. O estado do compartimento é alterado para Excluindo enquanto a solicitação de serviço está em execução. Normalmente, leva alguns minutos para a conclusão da solicitação de serviço. Enquanto ele estiver no estado Excluindo, não será exibido no seletor de compartimentos. Se a solicitação de serviço falhar, o compartimento não será excluído e retornará ao estado Ativo.
Depois que um compartimento é excluído, seu estado é atualizado para Excluído e uma string aleatória de caracteres é anexada ao seu nome, por exemplo, o CompartmentA pode se tornar CompartmentA.qR5hP2BD. Renomear o compartimento permite que você reutilize o nome original para outro compartimento. A Oracle exibe o compartimento excluído na página Compartimentos por 90 dias. O compartimento excluído é removido do selecionador de compartimento. Se qualquer instrução de política fizer referência ao compartimento excluído, o nome na instrução de política será atualizado para o novo nome.
Se o compartimento não excluir, verifique se você removeu todos os recursos:
-
Para a maioria dos recursos, você pode usar o explorador de tenancies para ajudar a localizá-los. Consulte Recursos Suportados pelo Explorador de Tenancies para obter a lista de recursos suportados.
Para exibir recursos em um compartimentoAbra o menu de navegação e clique em Governança e Administração. Em Gerenciamento de Tenancy, clique em Tenancy Explorer.
O explorador de tenancies é aberto com uma view do compartimento raiz. Selecione o compartimento que você deseja explorar no seletor de compartimentos no lado esquerdo da Console. Depois de selecionar um compartimento, que você tiver permissão para exibir serão exibidos. O Nome e a Descrição do compartimento que você está exibindo são exibidos na parte superior do page.To e também listam todos os recursos nos subcompartimentos do compartimento selecionado. Selecione Mostrar recursos em subcompartimentos. Ao exibir recursos em todos os subcompartimentos, é útil usar a coluna Compartimento na lista de resultados para ver a hierarquia do compartimento em que o recurso reside. -
Verifique se não há políticas no compartimento (as políticas não são incluídas nos resultados da Pesquisa).
Para localizar políticas em um compartimento- Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Políticas.
- Na lista de compartimentos à esquerda, selecione o compartimento que você deseja excluir.
As políticas anexadas ao compartimento são exibidas.
- Se você não conseguir localizar nenhum recurso no compartimento, verifique com seu Administrador; talvez você não tenha permissão para exibir todos os recursos.
Há um problema conhecido que faz com que os compartimentos excluídos continuem presentes no seu limite do serviço de compartimentos. Consulte Os compartimentos excluídos continuam presentes nos limites do serviço.
Recuperando Compartimentos
Para recuperar um compartimento, primeiro selecione-o na lista da página Compartimento. Talvez você tenha que usar o filtro de estado para ver o compartimento excluído. Lembre-se de que os compartimentos excluídos são renomeados acrescentando uma string aleatória de caracteres ao nome do compartimento original. Por exemplo, o CompartmentA pode se tornar CompartmentA.qR5hP2BD. A Oracle exibe o compartimento excluído na página Compartimentos por 90 dias.
Quando você recupera um compartimento excluído, o nome não é alterado. Por exemplo, se você recuperar um compartimento excluído chamado CompartmentA.qR5hP2BD, o nome permanecerá o mesmo. Como as instruções de política são atualizadas para usar os novos nomes de compartimentos excluídos, todas as instruções de política que fizeram referência ao compartimento excluído agora fazem referência ao compartimento recuperado.
Adicionando Padrões de Tag de um Compartimento
Padrões de tag permitem que você especifique tags a serem aplicadas automaticamente a todos os recursos, no momento da criação, no compartimento atual. Para obter mais informações, consulte Gerenciando Padrões de Tags.
Movendo um Compartimento para outro Compartimento Pai
Você pode mover um compartimento para outro compartimento pai na mesma tenancy. Quando você move um compartimento, todo o seu conteúdo (subcompartimentos e recursos) é movido com ele. Mover um compartimento tem implicações para o conteúdo. Essas implicações são descritas nas próximas seções. Conheça essas implicações antes de mover um compartimento.
- Política do Serviço IAM Obrigatória
- Restrições na Movimentação de Compartimentos
- Noções Básicas sobre Implicações de Política ao Mover um Compartimento
- Noções Básicas sobre Implicações da Cota de Compartimento ao Mover um Compartimento
- Noções Básicas sobre Implicações de Tags ao Mover um Compartimento
Política do Serviço IAM Obrigatória
Para mover um compartimento, você deve pertencer a um grupo que tenha permissões manage all-resources
no compartimento pai compartilhado mais inferior do compartimento atual e no compartimento de destino.
Restrições na Movimentação de Compartimentos
- Não será possível mover um compartimento se a origem ou o destino fizer parte de uma zona de segurança. Você deve usar a console Zonas de Segurança para gerenciar compartimentos em uma zona de segurança.
-
Não é possível mover um compartimento para um compartimento de destino com o mesmo nome do compartimento que está sendo movido.
Por exemplo, considere que o compartimento A e o compartimento B estejam ambos no compartimento raiz. No compartimento A, há um subcompartimento, também chamado compartimento B. Não é possível mover o compartimento B para o compartimento pai B.
- Dois compartimentos dentro do mesmo pai não podem ter o mesmo nome. Portanto, não é possível mover um compartimento para um compartimento de destino onde já existe um compartimento com o mesmo nome.
Noções Básicas sobre Implicações de Política ao Mover um Compartimento
Depois de mover um compartimento para um novo compartimento pai, as políticas de acesso do novo pai entram em vigor, e as políticas do pai anterior não se aplicam mais. Antes de mover um compartimento, certifique-se de que:
- Você está ciente das políticas que controlam o acesso ao compartimento na posição atual.
- Você está ciente das políticas no novo compartimento pai que terão efeito ao mover o compartimento.
Em alguns casos, ao mover compartimentos aninhados com políticas que especificam a hierarquia, as políticas são atualizadas automaticamente para garantir a consistência.
Exemplos de Política
Grupos com Permissões no Compartimento Atual Perdem Acesso; Grupos com Permissões no Compartimento de Destino Ganham Acesso
A figura a seguir mostra uma hierarquia de compartimentos na qual o compartimento C, um filho de A:B é movido para a hierarquia A:D.
A tenancy tem as seguintes políticas definidas para os compartimentos B e D:
Policy1: Allow group G1 to manage instance-family in compartment A:B
Policy2: Allow group G2 to manage instance-family in compartment A:D
Tem efeito quando o compartimento C é movido de B para D:
O grupo G1 não pode mais gerenciar famílias de instâncias no compartimento C.
O grupo G2 agora pode gerenciar famílias de instâncias no compartimento C.
Saiba não só quais grupos perdem permissões ao mover um compartimento, mas também quais grupos obterão permissões.
Atualização Automática de Políticas
Ao mover um compartimento, algumas políticas serão atualizadas automaticamente. As políticas que especificam a hierarquia de compartimentos até o compartimento que está sendo movido serão atualizadas automaticamente quando a política for anexada a um antecessor compartilhado do pai atual e do alvo. Considere os seguintes exemplos:
Exemplo 1: Política atualizada automaticamente
Neste exemplo, você move o compartimento A de Operações:Teste para Operações:Desenvolvimento. A política que controla o compartimento A é anexada ao pai compartilhado, Operações. Quando o compartimento é movido, a instrução de política é atualizada automaticamente pelo serviço IAM para especificar o novo local do compartimento.
A política
Allow group G1 to manage buckets in compartment Test:A
é atualizada para
Allow group G1 to manage buckets in compartment Dev:A
Não é necessária intervenção manual para permitir que o grupo G1 continue a acessar o compartimento A em sua localização.
Exemplo 2: Política não atualizada
Neste exemplo, você move o compartimento A de Operações:Teste para Operações:Desenvolvimento. Porém, a política que controla o compartimento A aqui é anexada diretamente ao compartimento de Teste. Quando o compartimento é movido, a política não é atualizada automaticamente. A política que especifica o compartimento A não é mais válida e deve ser removida manualmente. O grupo G1 não tem mais acesso ao compartimento A em seu novo local em Dev. A menos que outra política existente conceda acesso ao grupo G1, você deverá criar uma nova política para permitir que G1 continue a gerenciar buckets no compartimento A.
Exemplo 3: A política anexada à tenancy foi atualizada
Neste exemplo, você move o compartimento A de Operações:Teste para HR:Prod. A política que rege o compartimento A está anexada à tenancy, que é um antecessor compartilhado pelo compartimento pai original e pelo novo compartimento pai. Portanto, quando o compartimento é movido, a instrução da política é atualizada automaticamente pelo serviço IAM para especificar o local do novo compartimento.
A instrução da política:
Allow group G1 to manage buckets in compartment Operations:Test:A
é atualizada para
Allow group G1 to manage buckets in compartment HR:Prod:A
Não é necessária intervenção manual para permitir que o grupo G1 continue a acessar o compartimento A.
Noções Básicas sobre Implicações da Cota de Compartimento ao Mover um Compartimento
Quando você move um compartimento para outro, as cotas de recursos no compartimento de destino não são verificadas e não são impostas. Portanto, se o compartimento mover os resultados em uma violação de cota no compartimento de destino, a movimentação não será bloqueada. Após a conclusão da movimentação, o compartimento de destino estará em um estado sobrecarregado. Não será possível criar novos recursos que estejam sobrecarregados até que você ajuste as cotas do compartimento de destino ou remova os recursos de acordo com a cota existente. Para obter mais informações sobre o gerenciamento de cotas de compartimento, consulte Visão Geral de Cotas de Compartimento.
Noções Básicas sobre Implicações de Tags ao Mover um Compartimento
As tags não são atualizadas automaticamente após uma movimentação de compartimento. Se você implementou uma estratégia de tags com base no compartimento, deverá atualizar as tags nos recursos após a movimentação. Por exemplo, imagine que o CompartmentA tenha um compartimento filho, CompartmentB. O CompartmentA é configurado com padrões de tag para que cada recurso no CompartmentA seja marcado com a TagA. Portanto, o CompartmentB e todos os seus recursos são marcados com a tag padrão, TagA. Quando você mover o CompartmentB para o CompartmentC, ele ainda terá as tags padrão do CompartmentA. Se você tiver configurado tags padrão para o CompartmentC, precisará adicioná-las aos recursos do compartimento movido.
Usando a Console
- Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Compartimentos. Uma lista dos compartimentos aos quais você tem acesso é exibida.
-
Navegue até o compartimento no qual você deseja criar o novo compartimento:
- Para criar o compartimento na tenancy (compartimento raiz), clique em Criar Compartimento.
- Caso contrário, clique na hierarquia de compartimentos até chegar à página de detalhes do compartimento no qual você deseja criar o compartimento. Na página Detalhes do Compartimento, clique em Criar Compartimento.
- Informe o seguinte:
- Nome: Um nome exclusivo para o compartimento (máximo de 100 caracteres, incluindo letras, números, pontos, hifens e sublinhados). O nome deve ser exclusivo em todos os compartimentos na sua tenancy. Evite digitar informações confidenciais.
- Descrição: Uma descrição amigável. Você poderá alterá-la posteriormente, se desejar.
- Compartimento: O compartimento onde você está é exibido. Para escolher outro compartimento no qual criar este compartimento, selecione-o na lista.
- Tags: Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não tiver certeza se deseja aplicar tags, ignore esta opção ou pergunte a um administrador. Você pode aplicar tags posteriormente.
- Clique em Criar Compartimento.
Em seguida, convém gravar uma política para o compartimento. Consulte Para criar uma política.
-
Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Compartimentos.
Uma lista dos compartimentos em sua tenancy é exibida.
-
No compartimento que você deseja renomear, clique no
e depois clique em Renomear Compartimento.Dica
Você não pode alterar o nome do compartimento raiz. - Informe o novo Nome. O nome deve ser exclusivo em todos os compartimentos na sua tenancy. O nome pode ter no máximo 100 caracteres, incluindo letras, números, pontos, hifens e sublinhados. Evite digitar informações confidenciais.
- Clique em Renomear Compartimento.
-
Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Compartimentos.
Uma lista dos compartimentos em sua tenancy é exibida.
-
No compartimento que você deseja atualizar, clique no
e depois clique em Editar Descrição do Compartimento. - Informe a nova descrição. Evite digitar informações confidenciais.
- Clique em Salvar.
- Abra o menu de navegação e selecione o tipo de recurso que deseja exibir. Por exemplo, para exibir os recursos do serviço Compute: Abra o menu de navegação e clique em Compute. Em Compute, clique em Instâncias.
- Escolha o compartimento na lista do lado esquerdo da página. A página é atualizada para mostrar somente os recursos desse compartimento.
Lembre-se de que a maioria dos recursos do serviço IAM reside na tenancy (isso inclui usuários, grupos e compartimentos). As políticas podem residir na tenancy (compartimento raiz) ou em outros compartimentos.
Para mover um compartimento, você deve pertencer a um grupo que tenha permissões manage all-resources
no compartimento pai compartilhado mais inferior do compartimento atual e no compartimento de destino.
-
Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Compartimentos.
Uma lista dos compartimentos em sua tenancy é exibida. Se o compartimento que você deseja mover não estiver diretamente abaixo do compartimento raiz, clique na hierarquia dos compartimentos para exibir o compartimento desejado.
-
No compartimento que você deseja mover, clique no
e depois clique em Mover Compartimento. - Selecione o compartimento de destino.
- Conheça bem as implicações da movimentação.
- Clique em Mover Compartimento.
- Abra a Console.
- Abra o menu de navegação e selecione o tipo de recurso com o qual deseja trabalhar. Por exemplo, para exibir os recursos do serviço Compute: Abra o menu de navegação e clique em Compute. Em Compute, clique em Instâncias.
- Na seção Escopo da Lista, selecione um compartimento. Os recursos no compartimento selecionado são exibidos.
- Localize o recurso na lista, clique no e siga as instruções para mover o recurso para um novo compartimento. Consulte a documentação do recurso para ver etapas específicas.
O recurso é movido imediatamente. Se as dependências do recurso anexadas forem movidas com o recurso pai, as dependências do recurso serão movidas de forma assíncrona e não aparecerão no novo compartimento até que a movimentação seja concluída.
Remova todos os recursos de um compartimento para poder excluí-lo.
- Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Compartimentos. Uma lista dos compartimentos em sua tenancy é exibida.
- No compartimento que você deseja excluir, clique no e depois clique em Excluir Compartimento.
- No prompt, clique em OK.
Depois que você clicar em OK, uma solicitação de serviço será submetida para excluir o compartimento. O estado do compartimento é alterado para Excluindo. Se a solicitação de serviço falhar, o estado retornará para Ativo.
- Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Compartimentos. Uma lista dos compartimentos em sua tenancy é exibida.
- Em Estado, selecione Excluído.
- No compartimento que você deseja recuperar, clique no e depois clique em Recuperar.
- No prompt, clique em OK.
Usando a API
Para obter informações sobre como usar a API e assinar solicitações, consulte a documentação da API REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte SDKs e a CLI.
Use estas operações da API para gerenciar compartimentos:
- CreateCompartment
- ListCompartments
- GetCompartment: Retorna os metadados do compartimento, não seu conteúdo.
- UpdateCompartment
- DeleteCompartment
- MoveCompartment
- GetWorkRequest: Obtém as solicitações de serviço geradas pela operação DeleteCompartment.
- RecoverCompartment
Você só pode recuperar o conteúdo de um compartimento por tipo de recurso. Não há chamada de API que lista todos os recursos do compartimento. Por exemplo, para listar todas as instâncias em um compartimento, chamar a operação ListInstances da API de Serviços Principais e especificar o ID do compartimento como um parâmetro de consulta.