Detalhes do Serviço Certificates
Saiba mais sobre as permissões do serviço Certificates para que você possa criar políticas que controlem o acesso a seus recursos.
Este tópico abrange detalhes do serviço Certificados sobre tipos de recursos aos quais você pode conceder permissões, variáveis especiais que você pode usar ao adicionar condições a uma política, a hierarquia de permissões e operações de API abrangidas por cada verbo para cada tipo de recurso e as permissões para cada operação de API.
Tipos de Recursos Individuais
Tipos de recursos individuais permitem que você crie instruções de política com escopo em um tipo de recurso específico e não outras.
leaf-certificates
leaf-certificate-versions
leaf-certificate-bundles
certificate-authorities
certificate-authority-versions
certificate-authority-bundles
certificate-authority-delegates
cabundles
certificate-associations
certificate-authority-associations
cabundle-associations
Resource-Types Agregados
Os tipos de recursos agregados permitem que você crie instruções de política com um escopo que vai além de um tipo de recurso individual para todos os tipos de recursos abrangidos pelo tipo de recurso agregado.
leaf-certificate-family
certificate-authority-family
Uma política que usa <verb> leaf-certificate-family
é equivalente a criar uma instrução <verb> <individual resource-type>
distinta para cada um dos seguintes tipos de recursos de certificado individuais: leaf-certificates
, leaf-certificate-versions
, leaf-certificate-bundles
, cabundles
, certificate-associations
e cabundle-associations
.
Uma política que usa <verb> certificate-authority-family
é equivalente a criar uma instrução <verb> <individual resource-type>
distinta para cada um dos seguintes tipos de recursos individuais de autoridade de certificação (CA) e certificado: certificate-authorities
, certificate-authority-versions
, certificate-authority-bundles
, certificate-authority-delegates
, leaf-certificates
, leaf-certificate-versions
, leaf-certificate-bundles
, cabundles
, certificate-associations
, certificate-authority-associations
e cabundle-associations
.
Consulte a tabela em Detalhes para Combinações de Verbo + Tipo de Recurso para obter detalhes das operações de API abrangidas por cada verbo, para cada tipo de recurso individual incluído em leaf-certificate-family
e certificate-authority-family
.
Variáveis Suportadas
O serviço Certificates suporta todas as variáveis gerais, além das listadas aqui. Para obter mais informações sobre variáveis gerais suportadas pelos serviços Oracle Cloud Infrastructure, consulte Variáveis Gerais para Todas as Solicitações.
Operações para Este Tipo de Recurso... | Podem Usar Essas Variáveis... | Tipo de variável | Comentários |
---|---|---|---|
certificate-authorities | target.certificate-authority.id |
Entidade (OCID) | Use essa variável para controlar o acesso a uma autoridade de certificação (CA) com base no OCID da CA. (Você não pode usar essa variável ao criar uma CA, uma vez que a CA ainda não existe para ter um OCID.) |
target.certificate-authority.name |
String | Use essa variável para limitar o acesso a um nome de CA específico. | |
target.certificate-authority.subject |
String | Use essa variável para controlar o acesso a uma CA com base no assunto da CA. | |
target.certificate-authority.type |
String | Use essa variável para limitar o acesso a CAs de um determinado tipo. Os tipos de CA incluem ROOT_CA e SUBORDINATE_CA . |
|
target.issuer-certificate-authority.id |
String | Use essa variável para limitar o acesso às CAs com base no OCID da CA do emissor. | |
certificate-authority-versions | target.certificate-authority.id |
Entidade (OCID) | Use essa variável para controlar o acesso a uma versão da CA com base no OCID da CA. |
target.certificate-authority.name |
String | Use essa variável para controlar o acesso a uma versão da CA com base no nome da CA. | |
certificate-authority-bundles | target.certificate-authority.id |
Entidade (OCID) | Use essa variável para controlar o acesso ao pacote de uma CA com base no OCID da CA do pacote. |
target.certificate-authority.name |
String | Use essa variável para controlar o acesso ao pacote de uma CA pelo nome da CA do pacote. | |
certificate-authority-associations | target.association.id |
Entidade (OCID) | Use essa variável para controlar o acesso a uma associação de CA com base no OCID da associação. (Você não pode usar essa variável ao criar uma associação de CA, uma vez que a associação ainda não existe para ter um OCID.) |
target.association.name |
String | Use essa variável para controlar o acesso a uma associação de CA com base no nome da associação. | |
target.association.resourceid |
Entidade (OCID) | Use essa variável para controlar o acesso a uma associação de CA com base no OCID do recurso configurado na associação. | |
target.leaf-certificate.id |
Entidade (OCID) | Use essa variável para controlar o acesso a uma associação de CA com base no OCID do certificado configurado na associação. | |
target.leaf-certificate.name |
String | Use essa variável para controlar o acesso a uma associação de CA com base no nome do certificado configurado na associação. | |
certificate-authority-delegates | target.certificate-authority.id |
Entidade (OCID) | Use essa variável para controlar o acesso a um representante da CA com base no OCID da CA. |
target.certificate-authority.name |
String | Use essa variável para controlar o acesso a um representante da CA com base no nome da CA. | |
target.issuer-certificate-authority.id |
String | Use essa variável para controlar o acesso a um representante da CA com base no OCID da CA emissora. | |
target.resource.type |
String | Use essa variável para controlar o acesso aos representantes da CA com base no tipo de recurso que o representante é, quer o recurso seja leaf-certificate , certificate-authority ou cabundle . |
|
leaf-certificates | target.leaf-certificate.allow-wildcard
|
String | Use essa variável para controlar o acesso a um certificado com base em se o nome comum do certificado ou o nome alternativo do assunto inclui um curinga. |
target.leaf-certificate.alt-subject
|
List | Use essa variável para controlar o acesso a um certificado com base no nome alternativo do assunto do certificado. | |
target.leaf-certificate.alt-subject-size
|
String | Use essa variável para controlar o acesso a um certificado com base no número de nomes alternativos de assunto do certificado. | |
target.leaf-certificate.id
|
Entidade (OCID) | Use essa variável para controlar o acesso a um certificado com base no OCID do certificado. (Você não pode usar essa variável ao criar um certificado, já que o certificado ainda não existe para ter um OCID.) | |
target.leaf-certificate.name
|
String | Use essa variável para controlar o acesso a um certificado com base no nome do certificado. | |
target.issuer-certificate-authority.id
|
String | Use essa variável para controlar o acesso a um certificado com base no OCID da CA emissora. | |
target.leaf-certificate.profile-type
|
String | Use essa variável para controlar o acesso a certificados com base no tipo de perfil do certificado. Os tipos de perfil de certificado incluem TLS_SERVER_OR_CLIENT , TLS_SERVER , TLS_CLIENT e TLS_CODE_SIGN . |
|
target.leaf-certificate.subject |
String | Use essa variável para controlar o acesso a certificados com base no assunto do certificado. | |
target.leaf-certificate.type |
String | Use essa variável para controlar o acesso a certificados com base na maneira como o certificado foi criado. Os tipos de configuração de certificado incluem MANAGED_EXTERNALLY_ISSUED_BY_INTERNAL_CA , ISSUED_BY_INTERNAL_CA ou IMPORTED . |
|
leaf-certificate-versions | target.leaf-certificate.id
|
Entidade (OCID) | Use essa variável para controlar o acesso a versões de certificado com base no OCID do certificado. Use esta variável para controlar se volumes em blocos ou buckets podem ser criados sem uma chave de criptografia mestra do serviço Vault. |
target.leaf-certificate.name |
String | Use essa variável para controlar o acesso a versões de certificado com base no nome do certificado. | |
leaf-certificate-bundles | target.leaf-certificate.id
|
Entidade (OCID) | Use essa variável para controlar o acesso a pacotes de certificados com base no OCID do certificado. |
target.leaf-certificate.name |
String | Use essa variável para controlar o acesso a pacotes de certificados com base no nome do certificado. | |
target.leaf-certificate.bundle-type |
String | Use essa variável para controlar o acesso a um pacote de certificados com base no tipo de pacote. Os tipos de pacote de certificados incluem CERTIFICATE_CONTENT_PUBLIC_ONLY e CERTIFICATE_CONTENT_WITH_PRIVATE_KEY . |
|
certificate-associations | target.association.id
|
Entidade (OCID) | Use essa variável para controlar o acesso a associações de certificados com base no OCID da associação. (Você não pode usar essa variável ao criar uma associação de certificado porque a associação ainda não existe para ter um OCID.) |
target.association.name
|
String | Use essa variável para controlar o acesso a pacotes de certificados com base no nome da associação do pacote de certificados. | |
target.association.resourceid
|
Entidade (OCID) | Use essa variável para controlar o acesso a pacotes de certificados com base no OCID do recurso direcionado na associação do pacote de certificados. | |
target.leaf-certificate.id
|
Entidade (OCID) | Use essa variável para controlar o acesso a associações de certificados com base no OCID do certificado. | |
target.leaf-certificate.name |
String | Use essa variável para controlar o acesso a associações de certificados com base no nome do certificado. | |
cabundles | target.cabundle.id |
Entidade (OCID) | Use essa variável para controlar o acesso a pacotes de CAs com base no OCID do pacote. (Você não pode usar essa variável ao criar um pacote de CAs, já que o pacote de CAs ainda não existe para ter um OCID.) |
target.cabundle.name |
String | Use essa variável para controlar o acesso a pacotes de CAs com base no nome do pacote. | |
cabundle-associations | target.association.id |
Entidade (OCID) | Use essa variável para controlar o acesso a uma associação de pacote de CAs com base no OCID da associação do pacote. |
target.association.name |
String | Use essa variável para controlar o acesso a uma associação de pacote de CAs com base no nome da associação do pacote (Você não pode usar essa variável ao criar uma associação de pacote de CAs, uma vez que a associação ainda não existe para ter um OCID). | |
target.association.resourceid |
Entidade (OCID) | Use essa variável para controlar o acesso a uma associação de pacote de CAs com base no OCID do recurso configurado na associação. | |
target.cabundle.id |
Entidade (OCID) | Use essa variável para controlar o acesso a uma associação de pacote de CAs com base no OCID do pacote. | |
target.cabundle.name |
String | Use essa variável para controlar o acesso a uma associação de pacote de CAs com base no nome do pacote. |
Detalhes para Combinações de Verbo + Tipo de Recurso
Entenda o acesso incremental concedido por cada verbo para cada tipo de recurso para que você possa criar políticas que concedam somente o acesso exigido e nada mais.
As tabelas a seguir mostram as permissões e operações de API abrangidas por cada verbo. O nível de acesso é cumulativo à medida que você vai de inspect
> read
> use
> manage
. Um sinal de mais (+) em uma célula da tabela indica o acesso incremental comparado à célula diretamente acima dela, enquanto "sem extra" indica acesso incremental.
Por exemplo, o verbo use
para o tipo de recurso cabundles
inclui as mesmas permissões e operações de API do verbo read
, além da permissão CABUNDLE_UPDATE e da operação de API UpdateCaBundle
. O verbo manage
permite ainda mais permissões e operações de API em comparação com o verbo use
.
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect |
CERTIFICATE_INSPECT |
ListCertificates
|
none |
read |
INSPECT + CERTIFICATE_READ |
INSPECT +
|
none |
use |
READ + CERTIFICATE_UPDATE |
sem extra |
|
manage |
USE + CERTIFICATE_CREATE CERTIFICATE_DELETE CERTIFICATE_MOVE |
USE +
|
|
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect |
CERTIFICATE_VERSION_INSPECT |
ListCertificateVersions
|
none |
read |
INSPECT + CERTIFICATE_VERSION_READ |
INSPECT +
|
none |
use |
READ + sem extra |
none |
none |
manage |
USE + CERTIFICATE_VERSION_REVOKE CERTIFICATE_VERSION_DELETE |
none |
|
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect |
CERTIFICATE_BUNDLE_INSPECT |
ListCertificateBundleVersions
|
none |
read |
INSPECT + CERTIFICATE_BUNDLE_READ |
INSPECT +
Observação: A permissão exigida para essa operação depende do parâmetro de consulta Se Se |
none |
use |
READ + sem extra |
none |
none |
manage |
USE+ sem extra |
none |
|
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect |
CABUNDLE_INSPECT |
ListCaBundles
|
none |
read |
INSPECT + CABUNDLE_READ |
INSPECT +
|
none |
use |
READ + CABUNDLE_UPDATE |
READ+
|
none |
manage |
USE + CABUNDLE_CREATE CABUNDLE_DELETE CABUNDLE_MOVE |
USE +
|
none |
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect |
CERTIFICATE_ASSOCIATION_INSPECT |
ListAssociations
|
none |
read |
INSPECT + CERTIFICATE_ASSOCIATION_READ |
INSPECT +
|
none |
use |
READ + sem extra |
none |
none |
manage |
USE + CERTIFICATE_ASSOCIATION_CREATE CERTIFICATE_ASSOCIATION_DELETE |
USE +
|
none |
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect |
CABUNDLE_ASSOCIATION_INSPECT |
ListAssociations
|
none |
read |
INSPECT + CABUNDLE_ASSOCIATION_READ |
INSPECT +
|
none |
use |
READ + sem extra |
none |
none |
manage |
USE + CABUNDLE_ASSOCIATION_CREATE CABUNDLE_ASSOCIATION_DELETE |
USE +
|
none |
Permissões Exigidas para Cada Operação de API
A tabela a seguir lista as operações de API em uma ordem lógica, agrupadas por tipo de recurso.
Para obter informações sobre permissões, consulte Permissões.
Operação da API | Permissões Necessárias para Usar a Operação |
---|---|
ListCertificateAuthorities
|
CERTIFICATE_AUTHORITY_INSPECT |
GetCertificateAuthority
|
CERTIFICATE_AUTHORITY_READ |
CreateCertificateAuthority
|
CERTIFICATE_AUTHORITY_CREATE e CERTIFICATE_AUTHORITY_APPLY |
UpdateCertificateAuthority
|
CERTIFICATE_AUTHORITY_UPDATE e CERTIFICATE_AUTHORITY_APPLY |
ChangeCertificateAuthorityCompartment |
CERTIFICATE_AUTHORITY_MOVE |
ScheduleCertificateAuthorityDeletion |
CERTIFICATE_AUTHORITY_DELETE |
CancelCertificateAuthorityDeletion |
CERTIFICATE_AUTHORITY_DELETE |
ListCertificateAuthorityVersions |
CERTIFICATE_AUTHORITY_VERSION_INSPECT |
GetCertificateAuthorityVersion |
CERTIFICATE_AUTHORITY_VERSION_READ |
RevokeCertificateAuthorityVersion |
CERTIFICATE_AUTHORITY_VERSION_REVOKE, CERTIFICATE_AUTHORITY_UPDATE e CERTIFICATE_AUTHORITY_APPLY |
ScheduleCertificateAuthorityVersionDeletion |
CERTIFICATE_AUTHORITY_VERSION_DELETE e CERTIFICATE_AUTHORITY_UPDATE |
CancelCertificateAuthorityVersionDeletion |
CERTIFICATE_AUTHORITY_VERSION_DELETE e CERTIFICATE_AUTHORITY_UPDATE |
ListCertificateAuthorityBundleVersions |
CERTIFICATE_AUTHORITY_BUNDLE_INSPECT |
GetCertificateAuthorityBundle |
CERTIFICATE_AUTHORITY_BUNDLE_READ |
ListCertificates |
CERTIFICATE_INSPECT |
GetCertificate |
CERTIFICATE_READ |
CreateCertificate |
CERTIFICATE_CREATE e CERTIFICATE_AUTHORITY_APPLY |
UpdateCertificate |
CERTIFICATE_UPDATE e CERTIFICATE_AUTHORITY_APPLY |
ChangeCertificateCompartment |
CERTIFICATE_MOVE |
ScheduleCertificateDeletion |
CERTIFICATE_DELETE |
CancelCertificateDeletion |
CERTIFICATE_DELETE |
ListCertificateVersions |
CERTIFICATE_VERSION_INSPECT |
GetCertificateVersion |
CERTIFICATE_VERSION_READ |
RevokeCertificateVersion |
CERTIFICATE_VERSION_REVOKE, CERTIFICATE_UPDATE e CERTIFICATE_AUTHORITY_APPLY |
ScheduleCertificateVersionDeletion |
CERTIFICATE_VERSION_DELETE e CERTIFICATE_UPDATE |
CancelCertificateVersionDeletion |
CERTIFICATE_VERSION_DELETE e CERTIFICATE_UPDATE |
ListCertificateBundleVersions |
CERTIFICATE_BUNDLE_INSPECT |
GetCertificateBundle |
CERTIFICATE_BUNDLE_READ Para obter detalhes, consulte leaf-certificate-bundles. |
ListCaBundles
|
CABUNDLE_INSPECT |
GetCaBundle |
CABUNDLE_READ |
CreateCaBundle |
CABUNDLE_CREATE |
UpdateCaBundle |
CABUNDLE_UPDATE |
ChangeCaBundleCompartment |
CABUNDLE_MOVE |
DeleteCaBundle |
CABUNDLE_DELETE |
ListAssociations |
CERTIFICATE_AUTHORITY_ASSOCIATION_INSPECT (para certificate-authorities), CERTIFICATE_ASSOCIATION_INSPECT (para leaf-certificates) ou CABUNDLE_ASSOCIATION_INSPECT (para cabundles) |
GetAssociation |
CERTIFICATE_AUTHORITY_ASSOCIATION_READ (para certificate-authorities), CERTIFICATE_ASSOCIATION_READ (para leaf-certificates) ou CABUNDLE_ASSOCIATION_READ (para cabundles) |
DeleteAssociation |
CERTIFICATE_AUTHORITY_ASSOCIATION_DELETE (para certificate-authorities), CERTIFICATE_ASSOCIATION_DELETE (para leaf-certificates) ou CABUNDLE_ASSOCIATION_DELETE (para cabundles) |