Chamando Serviços de uma Instância

Este procedimento descreve como você pode autorizar uma instância do serviço Compute a fazer chamadas da API nos serviços Oracle Cloud Infrastructure. Após configurar os recursos e as políticas obrigatórias, um aplicativo que esteja em execução em uma instância pode chamar serviços públicos do Oracle Cloud Infrastructure, removendo a necessidade de configurar credenciais do usuário ou um arquivo de configuração.

GRUPO DINÂMICO

Os grupos dinâmicos permitem que você agrupe instância do Oracle Cloud Infrastructure Compute como atores principais, semelhantes aos grupos do usuário. Você pode então criar políticas para permitir que as instâncias desses grupos façam chamadas de API nos serviços da Oracle Cloud Infrastructure. A associação ao grupo é determinada por um conjunto de critérios que você define, chamados de regras de correspondência.

REGRA DE CORRESPONDÊNCIA

Ao configurar um grupo dinâmico, você também define as regras de associação no grupo. Os recursos que correspondem aos critérios da regra são membros do grupo dinâmico. As regras de correspondência têm uma sintaxe específica que você segue. Consulte Gravando Regras de Correspondência para Definir Grupos Dinâmicos.

PRINCIPAIS DA INSTÂNCIA

O recurso do serviço IAM que permite que as instâncias do serviço Compute sejam atores autorizados (ou controladores) para executar ações em recursos de serviço. Cada instância do Compute tem sua própria identidade e é autenticada usando os certificados que são incluídos nela. Esses certificados são criados automaticamente, designados a instâncias e rotacionados, evitando que você distribua as credenciais para seus hosts e as rotacione.

Qualquer usuário que tenha acesso à instância do serviço Compute (que possa usar SSH para a instância) herda automaticamente os privilégios concedidos à instância. Antes de conceder permissões a uma instância usando o processo descrito neste tópico, certifique-se de saber quais usuários poderão acessá-la (seja porque eles têm a chave SSH ou porque você os adicionou como usuários à instância) e de que estejam autorizados com as permissões que você está concedendo à instância.

Todos os controladores de instância do serviço Compute recebem a permissão compartment_inspect. Você não pode revogar esta permissão. Esta permissão permite que a instância para o ListCompartments na tenancy recupere as seguintes informações:

• Nomes de compartimento
• Descrições do compartimento
• Tags de formato livre aplicadas a compartimentos
• Padrões de tag automática aplicados a compartimentos. Essas tags, como CreatedBy e CreatedOn, estão no namespace Oracle-Tag e são adicionadas automaticamente pela Oracle.