Políticas de Acesso entre Tenancies
Use instruções de política entre tenancies para criar políticas do serviço IAM que funcionem entre tenancies.
Você pode criar instruções de política entre tenancies, além das instruções de política de usuário e serviço necessárias, para compartilhar recursos com outra organização que tenha sua própria tenancy. Essa organização pode ser outra unidade de negócio da sua empresa, um cliente da empresa, uma empresa que fornece serviços para você e assim por diante.
Para acessar e compartilhar recursos, os administradores de ambas as tenancies precisam criar instruções de política especiais que declarem explicitamente os recursos que podem ser acessados e compartilhados. Essas instruções especiais usam as palavras Define, Endorse e Admit.
Instruções Endorse, Admit e Define
Use as seguintes palavras iniciais especiais em instruções entre tenancies:
- Endorse: Informa o conjunto geral de habilidades que um grupo em sua própria tenancy pode executar em outras tenancies. A instrução Endorse sempre pertence à tenancy que contém o grupo de usuários que cruzam os limites para trabalhar com os recursos de outra tenancy. Nos exemplos, essa tenancy é chamada de tenancy de origem.
- Admit: Indica o tipo de capacidade em sua própria tenancy que você deseja conceder a um grupo da outra tenancy. A instrução Admit pertence à tenancy que está concedendo "admissão" à tenancy. A instrução Admit identifica o grupo de usuários que requer acesso a recursos da tenancy de origem e é identificado com uma instrução Endorse correspondente. Nos exemplos, essa tenancy é chamada de tenancy de destino.
-
Define: Designa um alias a um OCID da tenancy para instruções de política Endorse e Admit. A instrução Define também é necessária na tenancy de destino para designar um alias ao OCID do grupo do IAM de origem para instruções Admit.
Inclua uma instrução Define na mesma instrução de política que a instrução de política Endorse ou Admit.
As instruções Endorse e Admit funcionam juntas. Uma instrução Endorse reside na tenancy de origem e uma instrução Admit reside na tenancy de destino. Sem uma instrução correspondente que especifique o acesso, uma determinada instrução Endorse ou Admit não concede acesso. As duas tenancies devem concordar com o acesso.
Além das instruções de política, as tenancies de destino e de origem devem se inscrever nas mesmas regiões para compartilhar recursos.
Exemplos Intertenancy
-
A política a seguir permite que o grupo
StorageAdmins
gerencie recursos nos recursos do Object Storage da tenancy de destino:Endorse group StorageAdmins to manage object-family in any-tenancy
As seguintes instruções de política endossam o grupo
StorageAdmins
do serviço IAM na tenancy de origem para fazer qualquer coisa com todos os recursos do serviço Object Storage em sua tenancy de destino:Define tenancy SourceTenancy as ocid1.tenancy.oc1.exampleuniqueID Define group StorageAdmins as ocid1.group.oc1.exampleuniqueID Admit group StorageAdmins of tenancy SourceTenancy to manage object-family in tenancy
-
Para gravar uma política que reduz o escopo do acesso da tenancy, o administrador de origem deve fazer referência ao OCID da tenancy de destino fornecido pelo administrador de destino. As seguintes instruções de política endossam o grupo
StorageAdmins
do grupo do serviço IAM para gerenciar recursos do serviço Object Storage somente emDestinationTenancy
:Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID> Endorse group StorageAdmins to manage object-family in tenancy DestinationTenancy
Estes exemplos de instruções de política endossam o grupo
StorageAdmins
do serviço IAM na tenancy de origem para gerenciar recursos do serviço Object Storage somente no compartimentoSharedBuckets
:Define tenancy SourceTenancy as ocid1.tenancy.oc1..exampleuniqueID Define group StorageAdmins as ocid1.group.oc1..exampleuniqueID Admit group StorageAdmins of tenancy SourceTenancy to manage object-family in compartment SharedBuckets