Gerenciando Grupos

Este tópico descreve os conceitos básicos do trabalho com grupos.

Importante

Caso sua tenancy seja federada com o Oracle Identity Cloud Service, consulte Gerenciando Usuários e Grupos do Oracle Identity Cloud Service na Console do Oracle Cloud Infrastructure para gerenciar grupos.

Política do Serviço IAM Obrigatória

Se você estiver no grupo Administradores, terá o acesso necessário para gerenciar grupos.

Se você for novo em políticas, consulte Conceitos Básicos de Políticas e Políticas Comuns. Se você quiser se aprofundar na gravação de políticas para grupos ou outros componentes do IAM, consulte Detalhes do IAM sem Domínios de Identidade.

Aplicando Tags em Recursos

Aplique tags aos recursos para ajudar a organizá-los de acordo com as suas necessidades de negócios. Você pode aplicar tags ao criar um recurso e pode atualizar um recurso posteriormente para adicionar, revisar ou remover tags. Para obter informações gerais sobre a aplicação de tags, consulte Tags de Recursos.

Como Trabalhar com Grupos

Ao criar um grupo, você deve fornecer um nome exclusivo e inalterável para o grupo. O nome deve ser exclusivo em todos os grupos em sua tenancy. Você também deve fornecer ao grupo uma descrição (embora possa ser uma string vazia), que é uma descrição não exclusiva e que pode ser alterada para o grupo. O sistema Oracle também designará ao grupo um ID exclusivo chamado OCID (Oracle Cloud ID). Para obter mais informações, consulte Identificadores de Recursos.

Nota

Se você excluir um grupo e depois criar um novo grupo com o mesmo nome, eles serão considerados grupos distintos porque terão outros OCIDs.

Um grupo não tem permissões até que você grave pelo menos uma política que dê a esse grupo permissão para a tenancy ou o compartimento. Ao gravar a política, você pode especificar o grupo usando o nome exclusivo ou o OCID do grupo. De acordo com a observação anterior, mesmo que você especifique o nome do grupo na política, o IAM usa internamente o OCID para determinar o grupo. Para obter informações sobre como gravar políticas, consulte Gerenciando Políticas.

Você pode excluir um grupo, mas somente se o grupo estiver vazio.

Para obter informações sobre o número de grupos que você pode ter, consulte Limites por Serviço.

Se você estiver federando em um provedor de identidades, criará mapeamentos entre os grupo do provedor de identidades e os seus grupos do IAM. Para obter mais informações, consulte Federando com Provedores de Identidades.

Usando a Console

Para criar um grupo

Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Domínios. Uma lista dos grupos em sua tenancy será exibida.
Clique em Criar Grupo.
Informe o seguinte:
- Nome: Um nome exclusivo para o grupo. O nome deve ser exclusivo em todos os grupos da sua tenancy. Não é possível alterar essa opção posteriormente. O nome deve ter de 1 a 100 caracteres e pode incluir os seguintes caracteres: letras minúsculas a-z, letras maiúsculas A-Z, 0-9 e o ponto (.), traço (-) e sublinhado (_). Espaços não são permitidos. Evite digitar informações confidenciais.
- Descrição: Uma descrição amigável. Você poderá alterá-la posteriormente, se desejar.
- Tags: Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não tiver certeza se deseja aplicar tags, ignore essa opção ou pergunte a um administrador. Você pode aplicar as tags posteriormente.
Clique em Criar Grupo.

Em seguida, você pode adicionar usuários ao grupo ou gravar uma política para o grupo. Consulte Para criar uma política.

Para adicionar um usuário a um grupo

Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Domínios. Uma lista dos grupos em sua tenancy será exibida.
Localize o grupo na lista.
Selecione o grupo. Os detalhes são exibidos
Selecione Adicionar Usuário ao Grupo.
Selecione o usuário na lista drop-down e selecione Adicionar Usuário.

Para remover um usuário de um grupo

Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Domínios. Uma lista dos grupos em sua tenancy será exibida.
Localize o grupo na lista.
Selecione o grupo para exibir seus detalhes. Uma lista de usuários do grupo é exibida.
Localize o usuário na lista.
Para o usuário que você deseja remover, selecione Remover.
Confirme quando solicitado.

Para excluir um grupo

Pré-requisito: Para excluir um grupo, ele não pode ter qualquer usuário.

Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Domínios. Uma lista dos grupos em sua tenancy será exibida.
Localize o grupo na lista.
Para o grupo que deseja excluir, selecione Excluir.
Confirme quando solicitado.

Para atualizar a descrição de um grupo

Isso só está disponível por meio da API. Se você não tiver acesso à API e precisar atualizar a descrição de um grupo, entre em contato com o Suporte Técnico da Oracle.

Para aplicar tags a um grupo

Para obter instruções, consulte Tags de Recursos.

Usando a API

Para obter informações sobre o uso da API e as solicitações de assinatura, consulte Documentação da API REST e Credenciais da Segurança. Para obter informações sobre SDKs, consulte SDKs e a CLI.

Nota

As Atualizações Não São Imediatas em Todas as Regiões

Seus recursos do serviço IAM residem na sua região local. Para impor a política em todas as regiões, o serviço IAM replica seus recursos em cada região. Sempre que você cria ou altera uma política, um usuário ou um grupo, as alterações entram em vigor primeiro na região local e depois são propagadas para suas outras regiões. Pode levar alguns minutos para que as alterações tenham efeito em todas as regiões. Por exemplo, suponha que você tenha um grupo com permissões para iniciar instâncias na tenancy. Se você adicionar o UserA a este grupo, o UserA poderá iniciar instâncias na sua região local em um minuto. No entanto, o UserA não poderá iniciar instâncias em outras regiões até que o processo de replicação seja concluído. Esse processo pode levar alguns minutos. Se o UserA tentar iniciar uma instância antes da conclusão da replicação, será exibido um erro não autorizado.

Use estas operações de API para gerenciar grupos:

CreateGroup
ListGroups
GetGroup
UpdateGroup: Você só pode atualizar a descrição do grupo.
DeleteGroup
ListUserGroupMemberships: Use para obter uma lista dos usuários que estão em um grupo ou em quais grupos um usuário está.
AddUserToGroup: Esta operação resulta em um objeto UserGroupMembership com seu próprio OCID.
GetUserGroupMembership
RemoveUserFromGroup: Esta operação exclui um objeto UserGroupMembership.

Para operações de API relacionadas a mapeamentos de grupo para provedores de identidades, consulte Federando com Provedores de Identidades.