Verbos
Verbos que podem ser usados em suas políticas.
O sistema Oracle define os possíveis verbos que podem ser usados em suas políticas. Este é um resumo dos verbos, do que tem o menor acesso ao que tem mais:
Verbo | Tipos de Acesso Abrangidos | Usuário-Alvo |
---|---|---|
inspect
|
Capacidade de listar recursos, sem acesso a informações confidenciais ou a metadados especificados pelo usuário que possam fazer parte desses recursos. Importante: A operação para listar políticas inclui o conteúdo das próprias políticas e as operações de lista dos tipos de recurso de Rede retornam todas as informações (por exemplo, o conteúdo das listas de segurança e tabelas de roteamento). | Auditores de Terceiros |
read
|
Inclui inspect mais a capacidade de obter metadados especificados pelo usuário e o recurso real propriamente dito. |
Auditores internos |
use
|
Inclui read mais a capacidade de trabalhar com recursos existentes (as ações variam por tipo de recurso). Inclui a capacidade de atualizar o recurso, exceto para os tipos de recursos em que a operação "update" tem o mesmo impacto efetivo que a operação "create" (por exemplo, UpdatePolicy , UpdateSecurityList etc.), em cujo caso capacidade de "update" só está disponível com o verbo manage . Em geral, esse verbo não inclui a capacidade de criar ou excluir esse tipo de recurso. |
Usuários finais de recursos no dia a dia |
manage
|
Inclui todas as permissões para o recurso. | Administradores |
O verbo fornece um determinado tipo geral de acesso (por exemplo, inspect
permite listar e obter recursos). Quando depois você junta esse tipo de acesso a um determinado tipo de recurso em uma política (por exemplo, Allow group XYZ to inspect compartments in the tenancy
), dá a esse grupo o acesso a um conjunto específico de permissões e operações de API (por exemplo, ListCompartments
, GetCompartment
). Para obter mais exemplos, consulte Detalhes para Verbos + Combinações de Tipo e Recurso. A Referência da Política inclui uma tabela semelhante para cada serviço, dando a você uma lista com exatamente as operações de API que são abrangidas para cada combinação de verbo e tipo de recurso.
Há algumas exceções especiais ou nuances para determinados tipos de recursos.
Usuários: O acesso ao manage users
e a manage groups
permite que você faça qualquer coisa com usuários e grupos, incluindo a criação e a exclusão de usuários e grupos, além de adicionar/remover usuários de grupos. Para adicionar/remover usuários de grupos sem acesso à criação e à exclusão de usuários e grupos, somente use users
e use groups
são obrigatórios. Consulte Políticas Comuns.
Políticas: A capacidade de atualizar uma política está disponível somente com manage policies
, não com use policies
, porque a atualização de uma política tem o mesmo efeito que a criação de uma nova política (você pode substituir as instruções de política existentes). Além disso, inspect policies
permite que você obtenha o conteúdo completo das políticas.
Objetos do serviço Object Storage: inspect objects
permite listar todos os objetos de um bucket e executar uma operação HEAD para um objeto específico. Em comparação, read objects
permite que você faça download do objeto em si.
Recursos de Balanceador de Carga: Lembre-se de que inspect load-balancers
permite que você obtenha todas as informações sobre seus balanceadores de carga e componentes relacionados ( conjuntos de backend etc.).
Recursos do Serviço Networking:
Esteja ciente de que o verbo inspect
não só retorna informações gerais sobre os componentes da rede na nuvem (por exemplo, o nome e o OCID de uma lista de segurança ou de uma tabela de roteamento). Ele também inclui o conteúdo do componente (por exemplo, as regras reais na lista de segurança, os roteamentos na tabela de roteamento etc.).
Além disso, os seguintes tipos de capacidades estão disponíveis apenas com o verbo manage
, não o verbo use
:
- Atualizar (ativar/desativar)
internet-gateways
- Atualizar
security-lists
- Atualizar
route-tables
- Atualizar
dhcp-options
- Anexar um gateway de roteamento dinâmico (DRG) a uma rede virtual na nuvem (VCN)
- Criar uma conexão do IPSec entre um DRG e o CPE (Customer Premises Equipment)
- Parear VCNs
Cada VCN tem vários componentes que afetam diretamente o comportamento da rede (tabelas de roteamento, listas de segurança, opções de DHCP, Gateway de Internet etc.). Quando você cria um desses componentes, você estabelece uma relação entre esse componente e a VCN, o que significa que você deve ter permissão em uma política para criar o componente e gerenciar a própria VCN. No entanto, a capacidade de atualizar esse componente (para alterar as regras de roteamento, as regras de lista de segurança etc.) NÃO requer permissão para gerenciar a própria VCN, mesmo que a alteração desse componente possa afetar diretamente o comportamento da rede. Essa discrepância tem a intenção de dar flexibilidade para conceder menos privilégio aos usuários, e não requer que você conceda acesso excessivo à VCN apenas para que o usuário possa gerenciar outros componentes da rede. Lembre-se de que ao conceder a alguém a capacidade de atualizar um determinado tipo de componente, você estará confiando implicitamente a essa pessoa o controle do comportamento da rede.