Documentação do Oracle Cloud Infrastructure

Controle de Acesso

Este tópico fornece informações básicas sobre como usar políticas de e compartimentos do serviço IAM para controlar o acesso a uma rede em nuvem.

Compartimentos e uma Rede na Nuvem

Sempre que você criar um recurso de nuvem, como uma VCN (Virtual Cloud Network) ou instância do serviço Compute, deverá especificar em qual compartimento do serviço IAM você deseja o recurso. Compartimento é uma coleção de recursos relacionados que só podem ser acessados por determinados grupos com permissão concedida por um administrador. O administrador cria compartimentos e as políticas correspondentes do IAM para controlar quais usuários podem acessar quais compartimentos. O objetivo é garantir que cada pessoa possa acessar apenas os recursos necessários.

Se uma empresa estiver começando a testar o Oracle Cloud Infrastructure, apenas algumas pessoas precisarão criar e gerenciar a VCN e seus componentes, criar instâncias na VCN e anexar volumes de armazenamento de blocos a essas instâncias. Essas poucas pessoas precisam acessar todos esses recursos, que, por sua vez, podem permanecer no mesmo compartimento.

Em um ambiente empresarial de produção com uma VCN, uma empresa pode usar muitos compartimentos para controlar mais facilmente o acesso a determinados tipos de recursos. Por exemplo, um administrador pode criar o Compartment_A para uma VCN e outros componentes de rede. Em seguida, o administrador pode criar Compartment_B para todas as instâncias do serviço Compute e volumes de armazenamento de blocos que a organização de RH usa e Compartment_C para todas as instâncias e volumes de armazenamento de blocos que a organização de Marketing usa. Em seguida, o administrador criaria políticas do serviço IAM que concedessem aos usuários apenas o nível de acesso necessário em cada compartimento. Por exemplo, o administrador da instância de RH não tem o direito de alterar a rede na nuvem existente. Portanto, eles teriam permissões completas para Compartment_B, mas acesso limitado a Compartment_A (somente o que é necessário para criar instâncias na rede). Se eles tentassem alterar outros recursos no Compartment_A, a solicitação seria negada.

Recursos de rede como VCNs, sub-redes, tabelas de roteamento, listas de segurança, gateways de serviço, gateways NAT, conexões VPN e FastConnect podem ser movidos de um compartimento para outro. Quando você move um recurso para um novo compartimento, as políticas inerentes são aplicadas imediatamente.

Para obter mais informações sobre compartimentos e como controlar o acesso aos recursos da nuvem, consulte Saiba as Melhores Práticas para Configurar Sua Tenancy e Visão Geral do Identity and Access Management.

Políticas do IAM para Redes

A abordagem mais direta para conceder acesso à Rede é a política listada em Permitir que os administradores da rede gerenciem uma rede na nuvem. Ela abrange a rede na nuvem e todos os outros componentes da Rede (sub-redes, listas de segurança, tabelas de roteamento, gateways etc.). Para também oferecer aos administradores de rede a capacidade de criar instâncias (para testar a conectividade da rede), consulte Permitir que os usuários iniciem instâncias de computação.

Se você for novo em políticas, consulte Gerenciando Domínios de Identidades e Políticas Comuns.

Para obter material de referência ao escrever políticas mais detalhadas para Redes, consulte Detalhes dos Serviços Principais.

Tipos de Recursos Individuais

Você pode escrever políticas que se concentrem em tipos de recursos individuais (por exemplo, apenas listas de segurança) em vez de se concentrarem em virtual-network-family, que é mais amplo. O tipo de recurso instance-family também inclui várias permissões para VNICs, que residem em uma sub-rede, mas são anexadas a uma instância. Para obter mais informações, consulte Detalhes das Combinações de Verbo + Tipo de Recurso e VNICs (Virtual Network Interface Cards).

Um tipo de recurso chamado local-peering-gateways está incluído em virtual-network-family e inclui dois outros tipos de recursos relacionados ao pareamento local de VCN (dentro da região):

  • local-peering-from
  • local-peering-to

O tipo de recurso local-peering-gateways abrange todas as permissões relacionadas aos LPGs (local peering gateways). Os tipos de recurso local-peering-from e local-peering-to têm o objetivo de conceder permissão para conectar dois LPGs e definir um relacionamento de pareamento em uma única região. Para obter mais informações, consulte Pareamento Local usando um LPG (VCNs na Mesma Tenancy) ou Pareamento Local usando um LPG (VCNs em Tenancies Diferentes).

Da mesma forma, um tipo de recurso chamado remote-peering-connections está incluído em virtual-network-family e inclui dois outros tipos de recursos relacionados ao pareamento remoto de VCN (entre regiões):

  • remote-peering-from
  • remote-peering-to

O tipo de recurso remote-peering-connections abrange todas as permissões relacionadas às RPCs (Remote Peering Connections). Os tipos de recurso remote-peering-from e remote-peering-to têm o objetivo de conceder permissão para conectar dois RPCs e definir um relacionamento de pareamento entre regiões. Para obter mais informações, consulte Pareamento Remoto com um DRG Legado e Pareamento Remoto com um DRG Atualizado.

Nuances dos Diferentes Verbos

Você pode escrever políticas que limitam o nível de acesso usando outro verbo de política (manage em vez de use e assim por diante). Se fizer isso, aqui estão algumas nuances a serem compreendidas sobre os verbos de política para Rede.

Lembre-se de que o verbo inspect não só retorna informações gerais sobre os componentes da rede na nuvem (por exemplo, o nome e o OCID de uma lista de segurança ou de uma tabela de roteamento). O verbo também inclui o conteúdo do componente (por exemplo, as regras propriamente ditas contidas na lista de segurança, as rotas na tabela de roteamento etc.).

Além disso, os seguintes tipos de habilidades estão disponíveis apenas com o verbo manage e não com o verbo use:

  • Atualizar (ativar/desativar) internet-gateways
  • Atualizar security-lists
  • Atualizar route-tables
  • Atualizar dhcp-options
  • Anexar um Gateway de Roteamento Dinâmico (DRG) a uma VCN (Rede Virtual na Nuvem)
  • Criar uma conexão IPSec entre um DRG e o CPE (Customer-Premises Equipment)
  • Parear VCNs
Importante

Cada VCN tem vários componentes que afetam diretamente o comportamento da rede (tabelas de roteamento, listas de segurança, opções de DHCP, Gateway de Internet etc.). Ao criar um desses componentes, você estabelece um relacionamento entre esse componente e a VCN. Isso significa que você deve ter permissão em uma política para criar o componente e gerenciar a VCN propriamente dita. No entanto, a capacidade de atualizar esse componente (para alterar as regras de roteamento, as regras de lista de segurança etc.) não requer permissão para gerenciar a própria VCN, mesmo que a alteração desse componente possa afetar diretamente o comportamento da rede. Essa discrepância tem a intenção de dar flexibilidade para conceder menos privilégio aos usuários, e não requer que você conceda acesso excessivo à VCN para que o usuário possa gerenciar outros componentes da rede. Lembre-se de que ao conceder a alguém a capacidade de atualizar determinado tipo de componente, você está implicitamente confiando o controle do comportamento da rede a essa pessoa.

Para obter mais informações sobre verbos de políticas, consulte Informações Básicas sobre Política.

Políticas de Pareamento

Para políticas usadas na conexão de um DRG com VCNs e DRGs em outras regiões e tenancies, consulte Políticas do Serviço IAM para Roteamento entre VCNs.