Gerenciando Certificados

Política Obrigatória do Serviço IAM

Para usar o Oracle Cloud Infrastructure, você deve receber acesso à segurança em uma política (IAM) por um administrador. Esse acesso será necessário se você estiver usando a Console ou a API REST com um SDK, uma CLI ou outra ferramenta. Se você receber uma mensagem de que não tem permissão ou está não autorizado, verifique com o administrador o tipo de acesso que você tem e em qual compartimento você deve trabalhar.

A política a seguir concede permissão ao grupo de exemplo CertificateAdmins para gerenciar certificados e bundles de CA. Especificamente, a política concede permissão para listar quaisquer recursos incluídos no tipo de recurso agregado certificate-authority-family (sem acesso a qualquer informação confidencial). A política também dá permissão ao grupo de exemplo para trabalhar com o tipo de recurso certificate-authority-delegate. (O exemplo de grupo pode usar qualquer CA no compartimento para assinar um certificado, mas não pode criar, atualizar ou excluir CAs). Por último, a política concede permissão ao grupo para fazer qualquer coisa com os recursos incluídos no tipo de recurso agregado leaf-certificate-family. O acesso é limitado a recursos nos compartimentos de exemplo especificados.

Allow group CertificateAdmins to inspect certificate-authority-family in compartment ABC
Allow group CertificateAdmins to use certificate-authority-delegate in compartment ABC
Allow group CertificateAdmins to manage leaf-certificate-family in compartment ABC

Essas instruções fornecem o acesso mínimo necessário para concluir tarefas administrativas com certificados, como descrito mais adiante nesta seção.

Talvez você queira fornecer acesso a um grupo para trabalhar com certificados enquanto restringe sua capacidade de criar, atualizar ou excluir quaisquer recursos relacionados a certificados. A política a seguir concede permissão ao grupo de exemplo CertificateUsers para ler e atualizar certificados e bundles de CA. A política também concede permissão ao grupo para renovar certificados. O acesso é limitado a recursos nos compartimentos de exemplo especificados.

Allow group CertificateUsers to use leaf-certificate-family in compartment DEF
Allow group CertificateUsers to use certificate-authority-delegate in compartment DEF
Allow group CertificateUsers to manage certificate-associations in compartment DEF
Allow group CertificateUsers to inspect certificate-authority-associations in compartment DEF
Allow group CertificateUsers to manage cabundle-associations in compartment DEF
Por fim, talvez você queira fornecer acesso a um grupo que só permita que eles leiam determinados tipos de pacotes de certificados como parte de seu trabalho. A política a seguir dá permissão ao grupo de exemplo CertificateDevelopers para ler pacotes de certificados com conteúdo de certificado, a chave privada no formato PEM e a frase-senha da chave privada. O acesso é limitado a recursos no compartimento de exemplo especificado.
Allow group CertificateDevelopers to read leaf-certificate-bundles in compartment ABC where target.leaf-certificate.bundle-type='CERTIFICATE_CONTENT_WITH_PRIVATE_KEY'

Para obter mais informações sobre permissões ou se você precisar gravar mais ou menos políticas restritivas, consulte Detalhes do Serviço Certificates. Se você não conhece as políticas, consulte Conceitos Básicos de Políticas e Políticas Comuns.