Políticas de Acesso entre Tenancies
Use instruções de política entre tenancies para criar políticas do serviço IAM que funcionem entre tenancies.
Você pode criar instruções de política entre tenancies, além das instruções de política de usuário e serviço necessárias, para compartilhar recursos com outra organização que tenha sua própria tenancy. Essa organização pode ser outra unidade de negócios de sua empresa, um cliente da empresa, uma empresa que fornece serviços a você e assim por diante.
Para acessar e compartilhar recursos, os administradores de ambas as tenancies precisam criar instruções de política especiais que declarem explicitamente os recursos que podem ser acessados e compartilhados. Essas instruções especiais usam as palavras Define, Endorse e Admit.
Instruções Endorse, Admit e Define
Use as seguintes palavras iniciais especiais em instruções entre tenancies:
- Endorse: Informa o conjunto geral de habilidades que um grupo em sua própria tenancy pode executar em outras tenancies. A instrução Endorse sempre pertence à tenancy que contém o grupo de usuários cruzando os limites para trabalhar com recursos de outra tenancy. Nos exemplos, essa tenancy é chamada de tenancy de origem.
- Admissão: Indica o tipo de capacidade em sua própria tenancy que você deseja conceder a um grupo da outra tenancy. A instrução Admit pertence à locação que está concedendo "admissão" à locação. A instrução Admit identifica o grupo de usuários que requer acesso de recurso da tenancy da origem e é identificada com uma instrução Endorse correspondente. Nos exemplos, essa tenancy é chamada de tenancy de destino.
-
Define: Designa um alias a um OCID da tenancy para instruções de política Endorse e Admit. A instrução Define também é obrigatória na tenancy de destino para designar um alias ao OCID do grupo do IAM de origem para instruções Admit.
Inclua uma instrução Definir na mesma instrução de política que a instrução de política Endorse ou Admit.
As instruções Endorse e Admit funcionam juntas. Uma instrução Endorse reside na tenancy de origem e uma instrução Admit reside na tenancy de destino. Sem uma instrução correspondente que especifique o acesso, uma determinada instrução Endorse ou Admit não concede acesso. As duas tenancies devem concordar com o acesso.
Além das instruções de política, as tenancies de destino e de origem devem se inscrever nas mesmas regiões para compartilhar recursos.
Exemplos entre Tenancies
-
A seguinte política permite que o grupo
StorageAdminsgerencie recursos nos recursos do Object Storage da tenancy de destino:Endorse group StorageAdmins to manage object-family in any-tenancyAs seguintes instruções de política endossam o grupo
StorageAdminsdo serviço IAM na tenancy de origem para fazer qualquer coisa com todos os recursos do serviço Object Storage em sua tenancy de destino:Define tenancy SourceTenancy as ocid1.tenancy.oc1.exampleuniqueID Define group StorageAdmins as ocid1.group.oc1.exampleuniqueID Admit group StorageAdmins of tenancy SourceTenancy to manage object-family in tenancy -
Para gravar uma política que reduza o escopo do acesso da tenancy, o administrador de origem deve referenciar o OCID da tenancy do destino fornecido pelo administrador de destino. As seguintes instruções de política endossam o grupo
StorageAdminsdo IAM para gerenciar recursos do serviço Object Storage somente emDestinationTenancy:Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID> Endorse group StorageAdmins to manage object-family in tenancy DestinationTenancyEstas declarações de política de exemplo endossam o grupo
StorageAdminsdo serviço IAM na tenancy de origem para gerenciar recursos do serviço Object Storage somente o compartimentoSharedBuckets:Define tenancy SourceTenancy as ocid1.tenancy.oc1..exampleuniqueID Define group StorageAdmins as ocid1.group.oc1..exampleuniqueID Admit group StorageAdmins of tenancy SourceTenancy to manage object-family in compartment SharedBuckets