Políticas de Segurança do Serviço IAM
As políticas de segurança do IAM são usadas para controlar o acesso de grupos do IAM a recursos de compartimentos e da tenancy.
A Oracle recomenda que você designe um acesso com privilégios mínimos a grupos do IAM para utilizar recursos. O formato comum de políticas do IAM é mostrado no exemplo a seguir.
Allow group <group_name> to <verb> <resource-type> in compartment <compartment_name>
Allow group <group_name> to <verb> <resource-type> in tenancyAs políticas do IAM permitem quatro verbos predefinidos: inspect, read, use e manage. Inspect permite o mínimo de privilégios, e manage permite o máximo de privilégios. Os quatro verbos são mostrados em ordem crescente de privilégio na tabela a seguir.
| Verbo | Tipo de Acesso | Exemplo de Usuário |
|---|---|---|
inspect
|
Deve mostrar apenas metadados. Isso geralmente resulta na capacidade de listar recursos apenas | auditor de terceiros |
read
|
inspecionar mais a capacidade de ler metadados de recursos e usuários. Essa é a permissão de que a maioria dos usuários precisa para que o trabalho seja feito. | auditores internos |
use
|
ler mais capacidade de trabalhar com recursos (as ações variam por tipo de recurso). Não inclui a capacidade de criar ou excluir recursos | usuários comuns (desenvolvedores de software, engenheiros de sistema, gerentes de desenvolvimento etc.) definindo e configurando recursos da tenancy e aplicativos em execução nesses recursos |
manage
|
Todas as permissões para todos os recursos | administradores, executivos (para cenários de emergência) |
Os tipos de recursos do Oracle Cloud Infrastructure são mostrados na tabela a seguir.
| Família do Tipo de Recurso | Descrição | Tipos de Recurso |
|---|---|---|
all-resources |
Todos os tipos de recursos | |
| Por design, nenhum nome | Tipos de recursos no serviço IAM | compartments, users, groups, dynamic-groups, policies, identity-providers, tenancy tag-namespaces, tag-definitions |
instance-family |
Tipos de recursos no serviço de computação | console-histories, instance-console-connection, instance-images, instances, volume-attachmentsapp-catalog-listing |
volume-family |
Tipos de recursos no serviço de armazenamento em blocos | volumes, volume-attachments, volume-backups |
virtual-network-family |
Tipos de recursos no serviço de rede virtual | vcns, subnets, route-tables, security-lists, dhcp-options, private-ips, public-ips, internet-gateways, local-peering-gatewaysdrgs, deg-attachments, cpes, ipsec-connections, cross-connects, cross-connect-groups, virtual-circuits, vnics, vnic-attachments |
object-family |
Tipos de recursos no serviço de armazenamento de objetos | buckets, objects |
database-family |
Tipos de recursos no serviço DbaaS | db-systems, db-nodes, db-homes, databases, backups |
load-balancers |
Recursos do serviço Load Balancer | load-balancers |
file-family |
Recursos no serviço de armazenamento de arquivos | file-systems, mount-targets, export-sets |
dns |
Recursos no serviço DNS | dns-zones, dns-records, dns-traffic |
email-family |
Recursos no serviço de entrega de e-mail | approved-senders, suppressions |
Para obter mais informações sobre verbos do IAM e mapeamentos de permissões de tipos de recursos, consulte Detalhes dos Serviços Básicos.
As políticas de segurança do IAM podem ser refinadas por meio de condições. O acesso especificado na política só será permitido se as instruções condicionais forem avaliadas como verdadeiras. As condições são especificadas usando variáveis predefinidas. As variáveis usam as palavras-chave request ou target, dependendo do fato de a variável ser relevante para a solicitação ou para o recurso que está sendo afetado, respectivamente. Para obter informações sobre variáveis predefinidas suportadas, consulte Referência da Política.
Os grupos dinâmicos do IAM são usados para autorizar as instâncias de computação a acessar APIs do Oracle Cloud Infrastructure. O recurso controlador de instâncias pode ser usado por aplicativos em execução nas instâncias para acessar programaticamente os serviços do Oracle Cloud Infrastructure. Os clientes criam grupos dinâmicos, que incluem instâncias como membros, e autorizam o acesso aos seus recursos da tenancy usando as políticas de segurança do IAM. Todo acesso por instâncias é capturado nos logs de auditoria disponíveis para os clientes.