Verbos
O elemento de verbo de uma instrução de política especifica o tipo de acesso. Por exemplo, use inspect para permitir que auditores de terceiros listem os recursos especificados.
Os verbos para criar políticas do IAM são definidos pela Oracle.
Do menos à maioria dos acessos, estes são os verbos possíveis:
- inspect
- read
- use
- manage
Acesso Geral Coberto por Cada Verbo
A seguir estão os tipos gerais de acesso e usuários de destino para cada verbo possível, que são ordenados do menos para o mais acessado. Alguns recursos suportam exceções. Consulte
| Verbo | Usuário-Alvo | Tipos de Acesso Abrangidos |
|---|---|---|
inspect
|
Auditores de Terceiros | Capacidade de listar recursos, sem acesso a informações confidenciais ou a metadados especificados pelo usuário que possam fazer parte desses recursos. Importante: A operação para listar políticas inclui o conteúdo das próprias políticas. As operações de lista para os tipos de recursos do Networking retornam todas as informações (por exemplo, o conteúdo de listas de segurança e tabelas de roteamento). |
read
|
Auditores internos | Inclui inspect mais a capacidade de obter metadados especificados pelo usuário e o recurso real propriamente dito. |
use
|
Usuários finais de recursos no dia a dia | Inclui read mais a capacidade de trabalhar com recursos existentes (as ações variam por tipo de recurso). Inclui a capacidade de atualizar o recurso, exceto para tipos de recursos em que a operação "update" tem o mesmo impacto efetivo da operação "create" (por exemplo, UpdatePolicy, UpdateSecurityList e muito mais). Nesse caso, a capacidade de "update" só está disponível com o verbo manage. Em geral, esse verbo não inclui a capacidade de criar ou excluir esse tipo de recurso. |
manage
|
Administradores | Inclui todas as permissões para o recurso. |
O verbo fornece um determinado tipo geral de acesso (por exemplo, inspect permite listar e obter recursos). Quando depois você junta esse tipo de acesso a um determinado tipo de recurso em uma política (por exemplo, Allow group XYZ to inspect compartments in the tenancy), dá a esse grupo o acesso a um conjunto específico de permissões e operações de API (por exemplo, ListCompartments, GetCompartment). Para obter mais exemplos, consulte Detalhes para Verbos + Combinações de Tipo e Recurso. A Referência da Política de Serviço Detalhada inclui uma tabela semelhante para cada serviço, dando a você uma lista com exatamente as operações de API que são abrangidas para cada combinação de verbo e tipo de recurso.
Há algumas exceções especiais ou nuances para determinados tipos de recursos.
Usuários: O acesso ao manage users e a manage groups permite que você faça qualquer coisa com usuários e grupos, incluindo a criação e a exclusão de usuários e grupos, além de adicionar/remover usuários de grupos. Para adicionar/remover usuários de grupos sem acesso à criação e à exclusão de usuários e grupos, somente use users e use groups são obrigatórios. Consulte Modelos de Política do Policy Builder.
Políticas: A capacidade de atualizar uma política está disponível somente com manage policies, não com use policies, porque a atualização de uma política tem o mesmo efeito que a criação de uma nova política (você pode substituir as instruções de política existentes). Além disso, inspect policies permite que você obtenha o conteúdo completo das políticas.
Objetos do serviço Object Storage: inspect objects permite listar todos os objetos de um bucket e executar uma operação HEAD para um objeto específico. Em comparação, read objects permite que você faça download do objeto em si.
Recursos do balanceador de carga: Lembre-se de que inspect load-balancers permite que você obtenha todas as informações sobre seus balanceadores de carga e componentes relacionados ( conjuntos de backend etc.).
Recursos de Rede:
Esteja ciente de que o verbo inspect não só retorna informações gerais sobre os componentes da rede na nuvem (por exemplo, o nome e o OCID de uma lista de segurança ou de uma tabela de roteamento). Ele também inclui o conteúdo do componente (por exemplo, as regras reais na lista de segurança, os roteamentos na tabela de roteamento etc.).
Além disso, os seguintes tipos de capacidades estão disponíveis apenas com o verbo manage, não o verbo use:
- Atualizar (ativar/desativar)
internet-gateways - Atualizar
security-lists - Atualizar
route-tables - Atualizar
dhcp-options - Anexar um Gateway de Roteamento Dinâmico (DRG) a uma VCN (Rede Virtual na Nuvem)
- Criar uma conexão do IPSec entre um DRG e o CPE (Customer Premises Equipment)
- Parear VCNs
Cada VCN tem vários componentes que afetam diretamente o comportamento da rede (tabelas de roteamento, listas de segurança, opções de DHCP, Gateway de Internet etc.). Quando você cria um desses componentes, você estabelece uma relação entre esse componente e a VCN, o que significa que você deve ter permissão em uma política para criar o componente e gerenciar a própria VCN. No entanto, a capacidade de atualizar esse componente (para alterar as regras de roteamento, as regras de lista de segurança etc.) não requer permissão para gerenciar a própria VCN, mesmo que a alteração desse componente possa afetar diretamente o comportamento da rede. Essa discrepância tem a intenção de dar flexibilidade para conceder menos privilégio aos usuários, e não requer que você conceda acesso excessivo à VCN para que o usuário possa gerenciar outros componentes da rede. Lembre-se de que ao conceder a alguém a capacidade de atualizar um determinado tipo de componente, você estará confiando implicitamente a essa pessoa o controle do comportamento da rede.