Políticas do Identity and Access Management (IAM)

Saiba como criar políticas do OCI IAM para controlar o acesso aos recursos do Oracle Cloud VMware Solution.

Por padrão, apenas os usuários do grupo Administrators podem acessar todos os recursos e funções na Solução VMware. Para controlar o acesso de usuário não administrador a recursos e funções da Solução VMware, crie grupos do IAM e, em seguida, crie políticas que concedam aos grupos o acesso adequado.

Se você precisar de uma lista completa das políticas do Oracle Cloud Infrastructure, consulte Referência de Políticas.

Tipos de Recursos

sddcs

variáveis suportadas

Somente as variáveis gerais são suportadas (consulte Variáveis Gerais para Todas as Solicitações).

Detalhes das Combinações de Verbo + Tipo de Recurso

As tabelas a seguir mostram as permissões e operações de API abrangidas por cada verbo da Solução VMware. O nível de acesso é cumulativo conforme você vai de inspect a read a use a manage. Um sinal de mais (+) em uma célula da tabela indica acesso incremental em comparação com a célula diretamente acima, enquanto "nenhum extra" indica nenhum acesso incremental.

sddcs


Verbos	Permissões	APIs Totalmente Incluídas	APIs Parcialmente Abrangidas
inspecionar	SDDC_INSPECT	`ListSddcs` `ListWorkRequests`	nenhum
leitura	INSPECIONAR + SDDC_READ	INSPECIONAR + `GetSddc` `GetWorkRequest`	nenhuma
use	LEITURA + SDDC_UPDATE SDDC_UPDATE_ESXI_HOST	LEITURA + `UpdateSddc` `UpdateEsxiHost`	nenhuma
gerenciar	USAR + SDDC_CREATE SDDC_MOVE SDDC_ADD_ESXI_HOST SDDC_DELETE_ESXI_HOST SDDC_DELETE	USAR + `ChangeSddcCompartment`	`CreateSddc` (também precisa de `manage instances`, `manage vcns`, `use subnets`, `use vnics`, `use vlans`, `use private-ips`, `inspect security-lists`, `use network-security-groups`) `DeleteSddc`, `CreateEsxiHost`, `DeleteEsxiHost` (também precisa de `manage instances`, `manage vcns`, `use subnets`, `use vnics`, `use vlans`, `use private-ips`)

Permissões Exigidas para cada Operação de API

A tabela a seguir lista as operações de API em uma ordem lógica, agrupadas por tipo de recurso.


Operação de API	Permissões Obrigatórias para Usar a Operação
`ListSddcs`	SDDC_INSPECT
`GetSddc`	SDDC_READ
`CreateSddc`	SDDC_CREATE & INSTANCE_CREATE & INSTANCE_ATTACH_SECONDARY_VNIC & VCN_READ & VCN_ATTACH & SUBNET_READ & SUBNET_ATTACH & VNIC_READ & VNIC_CREATE & VLAN_READ & VLAN_ATTACH & PRIVATE_IP_CREATE & PRIVATE_IP_ASSIGN & SECURITY_LIST_READ & NETWORK_SECURITY_GROUP_LIST_SECURITY_RULES
`ListWorkRequests`	SDDC_INSPECT
`GetWorkRequest`	SDDC_READ
`ChangeSddcCompartment`	SDDC_MOVE
`UpdateSddc`	SDDC_UPDATE
`DeleteSddc`	SDDC_DELETE & INSTANCE_DELETE & INSTANCE_DETACH_SECONDARY_VNIC & VCN_DETACH & SUBNET_DETACH & VLAN_DETACH & VNIC_READ & VNIC_DELETE & PRIVATE_IP_DELETE & PRIVATE_IP_UNASSIGN
`ListEsxiHosts`	SDDC_INSPECT
`CreateEsxiHost`	SDDC_ADD_ESXI_HOST & INSTANCE_CREATE & INSTANCE_ATTACH_SECONDARY_VNIC & VCN_READ & VCN_ATTACH & SUBNET_READ & SUBNET_ATTACH & VLAN_READ & VLAN_ATTACH & VNIC_READ & VNIC_CREATE & PRIVATE_IP_CREATE & PRIVATE_IP_ASSIGN
`UpdateEsxiHost`	SDDC_UPDATE_ESXI_HOST
`DeleteEsxiHost`	SDDC_DELETE_ESXI_HOST & INSTANCE_DELETE & INSTANCE_DETACH_SECONDARY_VNIC & VCN_DETACH & SUBNET_DETACH & VLAN_DETACH & VNIC_READ & VNIC_DELETE & PRIVATE_IP_DELETE & PRIVATE_IP_UNASSIGN

Criando uma Política

Para criar políticas para um grupo de usuários, você precisa saber o nome do grupo do IAM do Oracle Cloud Infrastructure.

Para criar uma política:

No menu de navegação da Console, selecione Identidade e Segurança e em Identidade selecione Políticas.
Selecione Criar Política.
Digite um Nome e uma Descrição (opcional) para a política.
Selecione o Compartimento no qual criar a política.
Selecione Mostrar editor manual. Em seguida, digite as instruções de política necessárias.
(Opcional) Selecione Criar Outra Política para permanecer na página Criar Política depois de criar essa política.
Para criar esta política, selecione Criar.

Políticas Comuns

Permitir que os usuários criem, gerenciem e excluam SDDCs, hosts ESXi e VLANs

Tipo de acesso: Capacidade de criar, gerenciar ou excluir um SDDC, um host ESXi ou VLANs.

Onde criar a política: Na tenancy, para que a capacidade de criar, gerenciar ou excluir um recurso da Solução VMware seja facilmente concedida a todos os compartimentos por meio da herança de política. Para reduzir o escopo dessas funções administrativas a SDDCs em um compartimento em particular, especifique esse compartimento em vez da tenancy.

Este exemplo de política também inclui permissões para recursos de computação e rede. Esses recursos de computação e rede são necessários para criar, gerenciar ou excluir SDDCs, hosts ESXi ou VLANs. A permissão mínima necessária é mostrada para cada um.

Allow group <group_name> to manage sddcs in tenancy
Allow group <group_name> to manage virtual-network-family in tenancy
Allow group <group_name> to manage dns in tenancy
Allow group <group_name> to manage instance-family in tenancy
Allow group <group_name> to manage volume-family in tenancy
Allow group <group_name> to read app-catalog-listing in tenancy

Documentação do Oracle Cloud Infrastructure