Documentação do Oracle Cloud Infrastructure

Acessando Recursos do Serviço Object Storage entre Tenancies

Saiba como gravar políticas que dão à sua tenancy acesso a recursos do serviço Object Storage em outras tenancies.

Se você não estiver familiarizado com as políticas, consulte Gerenciando Domínios de Identidades e Detalhes para os Serviços Object Storage, Archive Storage e Data Transfer.

Políticas Intertenancy

Sua organização também pode compartilhar recursos com outra organização que possui sua própria tenancy. Pode ser outra unidade de negócios da sua empresa, um cliente da sua empresa, uma empresa que fornece serviços para sua empresa e assim por diante. Em casos como esses, você precisa de políticas intertenancy, além das políticas necessárias de usuário e serviço descritas anteriormente.

Para acessar e compartilhar recursos, os administradores de ambas as tenancies precisam criar instruções de política especiais que declarem explicitamente os recursos que podem ser acessados e compartilhados. Essas instruções especiais usam as palavras Define, Endorse e Admit.

Instruções Endorse, Admit e Define

Veja aqui uma visão geral dos verbos especiais usados em instruções intertenancy:

  • Endorse: Informa o conjunto geral de habilidades que um grupo em sua própria tenancy pode executar em outras tenancies. A instrução Endorse sempre pertence à tenancy que contém o grupo de usuários que cruzam os limites em outra tenancy para trabalhar com os recursos dessa tenancy. Nos exemplos, referimo-nos a essa tenancy como a tenancy de origem.
  • Admit: Indica o tipo de capacidade em sua própria tenancy que você deseja conceder a um grupo da outra tenancy. A instrução Admit pertence à tenancy que está concedendo "admissão" à tenancy. A instrução Admit identifica o grupo de usuários que requer acesso a recursos da tenancy de origem e é identificado com uma instrução Endorse correspondente. Nos exemplos, referimo-nos a essa tenancy como a tenancy de destino.
  • Define: Designa um alias a um OCID da tenancy para instruções de política Endorse e Admit. Uma instrução Define também é necessária na tenancy de destino para designar um alias ao OCID do grupo do serviço IAM de origem para instruções Admit.

    Inclua uma instrução Define na mesma entidade de política que a instrução Endorse ou Admit.

As instruções Endorse e Admit funcionam juntas. Uma instrução Endorse reside na tenancy de origem enquanto uma instrução Admit reside na tenancy de destino. Sem uma instrução correspondente que especifique o acesso, uma determinada instrução Endorse ou Admit não concede acesso. As duas tenancies devem concordar com o acesso.

Importante

Além das instruções de política, você também deve se inscrever em uma região para compartilhar recursos entre regiões.

Instruções da Política da Tenancy de Origem

Os administradores da tenancy de origem e de destino criam declarações de política que endossam um grupo do serviço IAM de origem que tem permissão para gerenciar recursos na tenancy de destino.

Este é um exemplo de uma instrução de política ampla que endossa o grupo StorageAdmins do grupo do serviço IAM para fazer qualquer coisa com todos os recursos do serviço Object Storage em qualquer tenancy:

Endorse group StorageAdmins to manage object-family in any-tenancy

Para gravar uma política que reduz o escopo do acesso da tenancy, o administrador de origem deve fazer referência ao OCID da tenancy de destino fornecido pelo administrador de destino. Veja aqui um exemplo de instruções de política que endossa o grupo StorageAdmins do grupo do serviço IAM para gerenciar recursos do serviço Object Storage somente em DestinationTenancy:

Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group StorageAdmins to manage object-family in tenancy DestinationTenancy

Ao usar o serviço IAM com Domínios de Identidades, especifique o domínio:

Endorse group <identity_domain_name>/StorageAdmins to manage object-family in any-tenancy

Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group <identity_domain_name>/ StorageAdmins to manage object-family in tenancy DestinationTenancy

Instruções da Política da Tenancy de Destino

O administrador de destino cria instruções de política que:

  • Define a tenancy de origem e o grupo do serviço IAM que tem permissão para acessar recursos em sua tenancy. O administrador de origem deve fornecer essas informações.
  • Admitem que essas origens definidas acessem os recursos do serviço Object Storage aos quais você deseja permitir acesso em sua tenancy.

Este é um exemplo de instruções de política que endossam o grupo StorageAdmins do serviço IAM na tenancy de origem para fazer qualquer coisa com todos os recursos do serviço Object Storage em sua tenancy:

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group StorageAdmins as ocid1.group.oc1..<unique_ID>
Admit group StorageAdmins of tenancy SourceTenancy to manage object-family in tenancy

Este é um exemplo de instruções de política que endossam o grupo StorageAdmins do serviço IAM na tenancy de origem para gerenciar recursos do serviço Object Storage somente no compartimento SharedBuckets:

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group StorageAdmins as ocid1.group.oc1..<unique_ID>
Admit group StorageAdmins of tenancy SourceTenancy to manage object-family in compartment SharedBuckets 
Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group <identity_domain_name>/StorageAdmins as ocid1.group.oc1..<unique_ID>
Admit group <identity_domain_name>/StorageAdmins of tenancy SourceTenancy to manage object-family in tenancy