Noções básicas de recursos e permissões do Big Data Service nas políticas do serviço IAM
O Oracle Identity and Access Management (IAM) fornece uma estrutura flexível para gravar instruções de política que controlam como os recursos podem interagir entre si. O IAM define diversos recursos padrão, juntamente com as permissões necessárias para interagir com eles. O Big Data Service adiciona seus próprios recursos e permissões específicos do serviço.
Este tópico descreve os recursos e permissões que um administrador pode usar para criar instruções de política do IAM para o Big Data Service.
Tipos e permissões do recurso
| Família de Recursos | Tipo de Recurso | Permissões |
|---|---|---|
| bds-family | bds-instances |
|
| bds-family | bds - limites |
|
Mapa de operações para permissões
A tabela a seguir lista as operações do serviço IAM que são específicas do Big Data Service. Você pode gravar uma política do IAM que inclua estas operações ou pode gravar uma política que use um verbo definido que encapsule estas operações.
| Operação | Operação de API | Permissão Necessária para Usar a Operação |
|---|---|---|
| Listar todos os clusters no compartimento especificado | ListBdsInstances | BDS_INSPECT |
| Criar um cluster | CreateBdsInstance | BDS_CREATE |
| Mostrar detalhes sobre o cluster especificado | GetBdsInstance | BDS_READ |
| Alterar o tamanho de um cluster | ChangeShape | BDS_UPDATE |
| Atualizar detalhes de um cluster | UpdateBdsInstance | BDS_UPDATE |
| Excluir a instância especificada | DeleteBdsInstance | BDS_DELETE |
| Adicionar armazenamento em blocos ao cluster especificado | AddBlockStorage | BDS_UPDATE |
| Adicionar nós de trabalho ao cluster especificado | AddWorkerNodes | BDS_UPDATE |
| Reiniciar um nó especificado de um cluster | RestartNode | BDS_UPDATE |
| Adicionar o SQL Cloud ao cluster especificado | AddCloudSql | BDS_UPDATE |
| Remover o SQL Cloud do cluster especificado | RemoveCloudSql | BDS_UPDATE |
| Mover o cluster de um compartimento para outro | ChangeBdsInstanceCompartment | BDS_MOVE |
| Listar todas as configurações de dimensionamento automático para o cluster especificado | ListAutoScalingConfigurations | BDS_INSPECT |
| Adicionar uma configuração de dimensionamento automático para o cluster especificado | AddAutoScalingConfiguration | BDS_UPDATE |
| Mostrar detalhes sobre a configuração de dimensionamento automático especificada | GetAutoScalingConfiguration | BDS_READ |
| Atualizar campos de uma configuração de dimensionamento automático | UpdateAutoScalingConfiguration | BDS_UPDATE |
| Excluir uma configuração de dimensionamento automático | RemoveAutoScalingConfiguration | BDS_UPDATE |
| Listar todas as solicitações de serviço do Big Data no compartimento especificado | ListWorkRequests | BDS_INSPECT |
| Mostrar detalhes sobre as solicitações de serviço especificadas | GetWorkRequest | BDS_READ |
| Mostrar logs da solicitação de serviço especificada | ListWorkRequestLogs | BDS_INSPECT |
| Mostrar erros da solicitação de serviço especificada | ListWorkRequestErrors | BDS_INSPECT |
| Mostrar recursos usados | ListConsumptions | BDS_CONSUMPTION_INSPECT |
| Listar chaves de API no cluster especificado | ListBdsApiKeys | BDS_READ |
| Criar uma chave de API no cluster especificado | CreateBdsApiKey | BDS_UPDATE |
| Obter uma chave de API no cluster especificado | GetBdsApiKey | BDS_READ |
| Excluir uma chave de API no cluster especificado | DeleteBdsApiKey | BDS_UPDATE |
| Testar o acesso ao bucket do Object Store usando a chave de API especificada | TestBdsObjectStorageConnection | BDS_READ |
Atributos específicos da operação
Para um determinado tipo de recurso, você deve ter o mesmo conjunto de atributos em todas as operações (obter, listar, excluir etc.). A única exceção é para uma operação "criar", na qual você ainda não terá o ID desse objeto, portanto, não poderá ter um atributo target.RESOURCE-KIND.id para "criar".
| Tipo de Recurso | Nome | Tipo | Origem |
|---|---|---|---|
| bds-instances | target.bds-instances.source-compartment.id | Entidade | Solicitação |
| bds-instances | target.bds-instances.destination-compartment.id | Entidade | Solicitação |
Verbos do IAM para uso com o Big Data Service
| Tipo de Recurso | inspecionar | leitura | use | gerenciar |
|---|---|---|---|---|
| bds-instances | BDS_INSPECT | inspecionar + BDS_READ |
leitura + BDS_UPDATE |
use + BDS_CREATE BDS_DELETE BDS_MOVE |
| bds - limites | BDS_CONSUMPTION_INSPECT | . | . | . |
Exemplo 1 - Administradores com todas as permissões em clusters
A instrução de política a seguir informa que os membros de um grupo chamado bds-admins podem inspecionar, ler, atualizar, criar, excluir e mover todos os clusters de um compartimento chamado bds-learn.
allow bds-admins to manage bds-instances in compartment bds-devNa instrução acima:
-
bds-adminsé um grupo criado por um administrador. -
manageespecifica as operações que os membros do grupobds-adminspodem usar.Manageé um dos verbos descritos nos "Verbos do IAM para Uso no Big Data Service". Ele fornece ao usuário/grupo permissão para usar todas as operações fornecidas pelos verbosinspect,readeuse, além de algumas operações específicas do verbomanage:- O verbo
inspectinclui a operaçãoBDS_INSPECT. - O verbo
readinclui as operaçõesBDS_INSPECTeBDS_READ. - O verbo
useinclui as operaçõesBDS_INSPECT,BDS_READeBDS_UPDATE. - O verbo
manageinclui as operaçõesBDS_INSPECT,BDS_READ,BDS_UPDATE,BDS_CREATE,BDS_DELETEeBDS_MOVE.
- O verbo
-
bds-devé um compartimento criado por um administrador.
A instrução de política a seguir informa que os membros do grupo bds-admins podem gerenciar os recursos de VCN (rede Virtual na Nuvem) em toda a tenancy.
allow group bds-admins to manage virtual-network-family in tenancyExemplo 2 - Usuários
A instrução de política a seguir informa que os membros de um grupo chamado bds-users podem inspecionar e ler todos os clusters no compartimento bds-learn. (O verbo read inclui as permissões inspect e read.)
allow bds-users to read bds-instances in compartment bds-learnMais Informações
Para obter mais informações sobre políticas do IAM, consulte Visão Geral do Oracle Cloud Infrastructure Identity and Access Management na documentação do Oracle Cloud Infrastructure. Para obter detalhes sobre a gravação de políticas, consulte Sintaxe de Política e Referência de Políticas.