Permissões
Permissões são as unidades atômicas da autorização que controlam a capacidade de um usuário executar operações em recursos. O sistema Oracle define todas as permissões na linguagem da política.
Quando você grava uma política dando a um grupo acesso a um verbo e tipo de recurso específicos Verbos, está dando a esse grupo acesso a uma ou mais permissões predefinidas. As finalidades dos verbos são simplificar o processo de conceder várias permissões relacionadas que cobrem um amplo conjunto de acesso ou um cenário operacional específico. As próximas seções fornecem mais detalhes e exemplos.
Relação com Verbos
Para entender a relação entre permissões e verbos, vejamos um exemplo. Uma instrução de política que permite que um grupo inspect volumes efetivamente dê ao grupo acesso a uma permissão chamada VOLUME_INSPECT (as permissões são sempre gravadas com todas as letras maiúsculas e sublinhados). Em geral, essa permissão permite que o usuário obtenha informações sobre volumes em blocos.
À medida que você vai de inspect > read > use > manage, o nível de acesso geralmente aumenta e as permissões concedidas são cumulativas. A tabela a seguir mostra as permissões incluídas com cada verbo para o tipo de recurso volumes. Observe que nenhuma permissão adicional é concedida de inspect a read.
| Inspect Volumes | Read Volumes | Use Volumes | Manage Volumes |
|---|---|---|---|
| VOLUME_INSPECT | VOLUME_INSPECT |
VOLUME_INSPECT VOLUME_UPDATE VOLUME_WRITE |
VOLUME_INSPECT VOLUME_UPDATE VOLUME_WRITE VOLUME_CREATE VOLUME_DELETE |
A referência da política lista as permissões abrangidas por cada verbo para cada tipo de recurso fornecido. Por exemplo, para volumes em blocos e outros recursos abrangidos pelos Serviços Principais, consulte as tabelas em Detalhes para Combinações de Verbo + Tipo de Recurso. A coluna esquerda de cada uma dessas tabelas lista as permissões abrangidas por cada verbo. As outras seções da referência de política incluem o mesmo tipo de informação para os outros serviços.
Relação com Operações de API
Cada operação da API requer que o chamador tenha acesso a uma ou mais permissões. Por exemplo, para usar ListVolumes ou GetVolume, você deve ter acesso a uma única permissão: VOLUME_INSPECT. Para anexar um volume a uma instância, você deve ter acesso a várias permissões, algumas delas relacionadas ao tipo de recurso volumes, algumas ao tipo de recurso volume-attachments e algumas relacionadas ao tipo de recurso instances:
- VOLUME_WRITE
- VOLUME_ATTACHMENT_CREATE
- INSTANCE_ATTACH_VOLUME
A referência da política lista quais permissões são necessárias para cada operação da API. Por exemplo, para as operações da API de Serviços Principais, consulte a tabela em Permissões Necessárias para Cada Operação da API.
Conceitos Básicos do Acesso de um Usuário
A linguagem da política foi projetada para permitir que você grave instruções simples envolvendo apenas verbos e tipos de recursos, sem precisar determinar as permissões desejadas na instrução. No entanto, pode haver situações em que um auditor ou membro da equipe de segurança deseja compreender as permissões específicas que um usuário tem. As tabelas na referência de política mostram cada verbo e as permissões associadas. Você pode verificar os grupos nos quais o usuário está e as políticas aplicáveis a esses grupos e compilar uma lista de permissões concedidas. No entanto, ter uma lista das permissões não é o principal. As condições em uma instrução de política podem definir como escopo o acesso de um usuário além das permissões individuais (consulte a próxima seção). Além disso, cada instrução de política especifica um compartimento em particular e pode ter condições que definam o escopo do acesso a somente determinados recursos desse compartimento.