Documentação do Oracle Cloud Infrastructure

Visão Geral de Políticas do Serviço IAM

As políticas de IAM controlam o controle de recursos nas tenancies do OCI (Oracle Cloud Infrastructure).

Uma política contém uma ou mais instruções de política. Cada instrução usa sintaxe básica ou condicional.

Sintaxe básica:

Allow <subject> to <verb> <resource> in <location>

Sintaxe condicional:

Allow <subject> to <verb> <resource> in <location> where <conditions>

A tabela a seguir explica brevemente os elementos na sintaxe e fornece links para informações detalhadas sobre cada elemento.

Elemento Descrição
Permitir Palavra inicial obrigatória. Uma instrução de política sempre começa com a palavra Allow. As políticas só permitem acesso; elas não podem negá-lo.
<subjeto>

Um usuário, grupo ou outro principal ao qual será concedido acesso. O assunto inclui o tipo e o identificador principal (nome ou OCID) e é prefixado pelo nome do domínio de identidades, a menos que o domínio de identidades padrão seja usado.

Um administrador em sua organização define os grupos e os compartimentos em sua tenancy. 

Allow group <identity_domain_name>/<group_name> to <verb> <resource-type> in tenancy
<verb> O nível de acesso. A Oracle define os possíveis verbos e tipos de recursos que você pode usar em políticas. Consulte Verbos.
<resource>

Recursos aos quais a política concede acesso. A Oracle define os possíveis tipos de recursos que você pode usar em políticas. Consulte Recursos. Algumas operações da API exigem acesso a vários tipos de recursos. Por exemplo, LaunchInstance requer a capacidade de criar instâncias e trabalhar com uma rede na nuvem. A operação CreateVolumeBackup requer acesso ao volume e ao backup de volume. Isso requer instruções de política separadas para conceder acesso a cada tipo de recurso. Essas declarações individuais não precisam estar na mesma política. Um usuário pode obter o acesso necessário estando em grupos distintos.

<localização>

(Opcional) Um compartimento ou tenancy ao qual a política se aplica. Para um compartimento, o valor inclui um identificador (nome ou OCID).

Às vezes, a política precisa ser aplicada a toda a tenancy, e não a um compartimento dentro da tenancy. Veja a seguir um exemplo de instrução de política específica do compartimento, na qual <location> é um compartimento específico:

Allow group <identifier> to <verb> <resource> in compartment <identifier>

Veja a seguir um exemplo de instrução de política em toda a tenancy, na qual <location> é tenancy:

Allow group <identifier> to <verb> <resource> in tenancy
<condição> (Opcional) Limita o acesso a um recurso.
Diagrama ferroviário da estrutura da política de IAM

O OCI também permite que você crie políticas entre tenancies. Para obter mais informações, consulte Políticas de Acesso entre Tenancies.

Políticas entre tenancies

As declarações de política entre tenancies dão aos sujeitos permissão para usar recursos em outras tenancies. Consulte Políticas de Acesso entre Tenancies.