Visão Geral da Sintaxe de Política

A sintaxe geral de uma instrução de política é explicada nesta seção.

Para poder controlar o acesso aos recursos do Application Dependency Management, crie usuários e coloque-os em grupos apropriados (consulte Gerenciando Usuários e Gerenciando Grupos). Em seguida, você pode criar políticas e instruções de política para controlar o acesso (consulte Gerenciando Políticas). O grupo dinâmico é um tipo especial de grupo que contém recursos que correspondem às regras definidas por você. Para obter mais informações, consulte Gerenciando Grupos Dinâmicos.

Uma política permite que um grupo trabalhe de determinadas formas com tipos específicos de recursos em um compartimento específico.

Allow <subject> to <verb> <resource-type> in <location> where <condition>

Por exemplo, você pode especificar:

  • Um grupo comum ou dinâmico por nome ou OCID como <subject>. Ou você pode usar any-user para abranger todos os usuários da tenancy.

  • inspect, read, use e manage como <verb> para conceder a um <subject> acesso a uma ou mais permissões.

    Ao ir de inspect > read > use > manage, o nível de acesso aumenta e as permissões concedidas são cumulativas. Por exemplo, use inclui read mais a capacidade de atualizar.

  • Uma família de recursos, como adm-family para o <resource-type>. Ou você pode especificar um recurso individual em uma família, como adm-knowledge-bases e adm-vulnerability-audits.

  • Um compartimento por nome ou OCID como <location>. Ou você pode usar tenancy para abranger toda a tenancy.

  • Uma ou mais condições em <condition>, que devem ser atendidas para que o acesso seja concedido. Para várias condições, você pode usar any ou all.

    Uma condição consiste em uma ou mais variáveis. Uma variável pode ser relevante para a própria solicitação (por exemplo, request.operation) ou para o recurso que está sendo utilizado na solicitação (por exemplo, target.compartment.id). Para ilustrar, permitir que um grupo gerencie uma base de conhecimento específica e não qualquer outra base de conhecimento:

    Allow group <group-name> to manage adm-knowledge-bases in compartment <compartment-name> where target.compartment.id = '<compartment-ocid>'

    Ou, para permitir que um grupo gerencie todos os recursos do Application Dependency Management, exceto para excluir bases de conhecimento:

    Allow group <group-name> to manage adm-family in compartment <compartment-name> where request.permission != 'ADM_KNOWLEDGE_BASE_DELETE'

Para obter detalhes completos, consulte Sintaxe de Política. Para obter mais informações sobre a criação de políticas, consulte Como as Políticas Funcionam e Referência de Políticas.