Verbos
O elemento de verbo de uma instrução de política especifica o tipo de acesso. Por exemplo, use inspect para permitir que auditores de terceiros listem os recursos especificados.
Os verbos para criar políticas do IAM são definidos pela Oracle.
Do menos para a maioria do acesso, a seguir estão os verbos possíveis:
- inspect
- read
- use
- manage
Acesso Geral Coberto por Cada Verbo
A seguir estão os tipos gerais de acesso e usuários de destino para cada verbo possível, que são ordenados do menos para a maioria dos acessos. Alguns recursos suportam exceções. Consulte
| Verbo | Usuário-Alvo | Tipos de Acesso Abrangidos |
|---|---|---|
inspect
|
Auditores de Terceiros | Capacidade de listar recursos, sem acesso a informações confidenciais ou metadados especificados por usuário que possam ser parte desses recursos. Importante: A operação para listar políticas inclui o conteúdo das próprias políticas. As operações da lista dos tipos de recursos do serviço Networking retornam todas as informações (por exemplo, o conteúdo das listas de segurança e das tabelas da rota). |
read
|
Auditores internos | Inclui inspect mais a capacidade de obter metadados especificados pelo usuário e o recurso real propriamente dito. |
use
|
Usuários finais de recursos no dia a dia | Inclui read mais a capacidade de trabalhar com recursos existentes (as ações variam por tipo de recurso). Inclui a capacidade de atualizar o recurso, exceto para tipos de recurso em que a operação "atualizar" tem o mesmo impacto efetivo da operação "criar" (por exemplo, UpdatePolicy, UpdateSecurityList e muito mais), caso em que a capacidade "atualizar" só está disponível com o verbo manage. Em geral, este verbo Não inclui a capacidade de criar ou excluir esse tipo de recurso. |
manage
|
Administradores | Inclui todas as permissões para o recurso. |
O verbo fornece um determinado tipo geral de acesso (por exemplo, inspect permite listar e obter recursos). Quando depois você junta esse tipo de acesso a um determinado tipo de recurso em uma política (por exemplo, Allow group XYZ to inspect compartments in the tenancy), dá a esse grupo o acesso a um conjunto específico de permissões e operações de API (por exemplo, ListCompartments, GetCompartment). Para obter mais exemplos, consulte Detalhes para Verbos + Combinações de Tipo e Recurso. A Referência Detalhada da Política de Serviço inclui uma tabela semelhante para cada serviço, fornecendo uma lista de exatamente quais operações de API são abrangidas para cada combinação de verbo e tipo de recurso.
Há algumas exceções especiais ou nuances para determinados tipos de recursos.
Usuários: O acesso a manage users e manage groups permite que você faça qualquer coisa com usuários e grupos, incluindo criar e excluir usuários e grupos, e adicionar/remover usuários de grupos. Para adicionar/remover usuários de grupos sem acesso à criação e à exclusão de usuários e grupos, somente use users e use groups são obrigatórios. Consulte Modelos de Política do Policy Builder.
Políticas: A capacidade de atualizar uma política só está disponível com manage policies, não use policies, porque atualizar uma política é semelhante à criação de uma nova política (você pode substituir as instruções de política existentes). Além disso, inspect policies permite que você obtenha o conteúdo completo das políticas.
Objetos do serviço Object Storage: inspect objects permite listar todos os objetos de um bucket e fazer uma operação HEAD para um objeto específico. Em comparação, read objects permite que você faça download do próprio objeto.
Recursos do Balanceador de Carga: Saiba que o inspect load-balancers permite obter todas as informações sobre seus balanceadores de carga e componentes relacionados (conjuntos de back-end etc.).
Recursos de rede:
Esteja ciente de que o verbo inspect não só retorna informações gerais sobre os componentes da rede na nuvem (por exemplo, o nome e o OCID de uma lista de segurança ou de uma tabela de roteamento). Ele também inclui o conteúdo do componente (por exemplo, as regras reais na lista de segurança, os roteamentos na tabela de roteamento etc.).
Além disso, os seguintes tipos de capacidades estão disponíveis apenas com o verbo manage, não o verbo use:
- Atualizar (ativar/desativar)
internet-gateways - Atualizar
security-lists - Atualizar
route-tables - Atualizar
dhcp-options - Anexar um DRG (Dynamic Routing Gateway) a uma VCN (Virtual Cloud Network)
- Criar uma conexão do IPSec entre um DRG e o CPE (Customer Premises Equipment)
- Parear VCNs
Cada VCN tem vários componentes que afetam diretamente o comportamento da rede (tabelas de roteamento, listas de segurança, opções de DHCP, Gateway de Internet etc.). Quando você cria um desses componentes, você estabelece uma relação entre esse componente e a VCN, o que significa que você deve ter permissão em uma política para criar o componente e gerenciar a própria VCN. No entanto, a capacidade deatualizar esse componente (para alterar as regras da rota, as regras da lista de segurança etc.) não exige permissão para gerenciar a própria VCN, mesmo que alterar esse componente possa afetar diretamente o comportamento da rede. Essa discrepância foi projetada para oferecer flexibilidade na concessão de privilégio mínimo aos usuários e não requer que você conceda acesso excessivo à VCN para que o usuário possa gerenciar outros componentes da rede. Lembre-se de que ao conceder a alguém a capacidade de atualizar um determinado tipo de componente, você estará confiando implicitamente a essa pessoa o controle do comportamento da rede.