Políticas de IAM do Serviço Container Instances
Este tópico abrange detalhes de gravação de políticas para controlar o acesso ao Oracle Cloud Infrastructure Container Instances.
Para obter informações sobre o IAM, consulte Visão Geral do IAM.
Tipos de Recursos
Tipos de Recursos Individual
compute-container-instances
compute-containers
Tipo de Recurso Agregado
compute-container-family
Comentários
Uma política que usa <verb> compute-container-family é equivalente a gravar uma instrução <verb> <individual resource-type> separada para cada um dos tipos de recursos individuais.
Variáveis com Suporte
As políticas do serviço IAM do Container Instances suportam todas as variáveis gerais da política. Consulte Variáveis Gerais para Todas as Solicitações.
Detalhes das Combinações de Verbo + Tipo de Recurso
As tabelas a seguir mostram as permissões e operações de API abrangidas por cada verbo. O nível de acesso é cumulativo conforme você vai de inspect > read > use > manage. Um sinal de mais (+) em uma célula da tabela indica acesso incremental em comparação com a célula diretamente acima, enquanto "nenhum extra" indica nenhum acesso incremental.
Por exemplo, os verbos read e use do tipo de recurso vcns não incluem permissões extras ou operações de API em comparação com o verbo inspect. No entanto, o verbo manage inclui diversas permissões extras e operações de API.
Para os Tipos de Recursos compute-container-family
A tabela a seguir lista as permissões e operações de API abrangidas por cada um dos tipos de recursos individuais incluídos em compute-container-family.
| Verbos | Permissões | APIs totalmente abrangidas | APIs Parcialmente abrangidas |
|---|---|---|---|
| inspecionar |
COMPUTE_CONTAINER_INSTANCE_INSPECT |
ListContainerInstanceShapes ListContainerInstances ListWorkRequests ListWorkRequestErrors ListWorkRequestLogs |
não |
| ler |
INSPECIONAR + COMPUTE_CONTAINER_INSTANCE_READ |
GetWorkRequest |
GetContainerInstance (também precisa de |
| usar |
LIDO + COMPUTE_CONTAINER_INSTANCE_UPDATE COMPUTE_CONTAINER_INSTANCE_START COMPUTE_CONTAINER_INSTANCE_STOP COMPUTE_CONTAINER_INSTANCE_RESTART |
UpdateContainerInstance StartContainerInstance StopContainerInstance RestartContainerInstance |
sem extra |
| gerenciar |
USAR + COMPUTE_CONTAINER_INSTANCE_CREATE COMPUTE_CONTAINER_INSTANCE_DELETE COMPUTE_CONTAINER_INSTANCE_MOVE |
ChangeContainerInstanceCompartment |
CreateContainerInstance (também precisa de DeleteContainerInstance (também precisa de |
| Verbos | Permissões | APIs totalmente abrangidas | APIs Parcialmente abrangidas |
|---|---|---|---|
| inspecionar |
COMPUTE_CONTAINER_INSPECT |
ListContainers |
GetContainerInstance (também precisa de |
| ler |
INSPECIONAR + COMPUTE_CONTAINER_READ |
GetContainer |
sem extra |
| usar |
LIDO + COMPUTE_CONTAINER_UPDATE COMPUTE_CONTAINER_LOG_RETRIEVE |
UpdateContainer RetrieveLogs |
sem extra |
| gerenciar |
USAR + COMPUTE_CONTAINER_CREATE COMPUTE_CONTAINER_DELETE |
sem extra |
CreateContainerInstance (também precisa de DeleteContainerInstance (também precisa de |
Permissões Exigidas para cada Operação de API
A tabela a seguir lista as operações de API agrupadas por tipo de recurso. Os tipos de recursos são listados em ordem alfabética.
Para obter informações sobre permissões, consulte Permissões.
| Operação da API | Permissões Obrigatórias para Usar a Operação |
|---|---|
| GetContainer | COMPUTE_CONTAINER_READ |
| ListContainers | COMPUTE_CONTAINER_INSPECT |
| RetrieveLogs | COMPUTE_CONTAINER_LOG_RETRIEVE |
| UpdateContainer | COMPUTE_CONTAINER_UPDATE |
| CreateContainerInstance | COMPUTE_CONTAINER_INSTANCE_CREATE, VNIC_CREATE, SUBNET_USE e COMPUTE_CONTAINER_CREATE |
| GetContainerInstance | COMPUTE_CONTAINER_INSTANCE_READ e COMPUTE_CONTAINER_INSPECT |
| ListContainerInstances | COMPUTE_CONTAINER_INSTANCE_INSPECT |
| ListContainerInstanceShapes | COMPUTE_CONTAINER_INSTANCE_INSPECT |
| UpdateContainerInstance | COMPUTE_CONTAINER_INSTANCE_UPDATE |
| StartContainerInstance | COMPUTE_CONTAINER_INSTANCE_START |
| StopContainerInstance | COMPUTE_CONTAINER_INSTANCE_STOP |
| RestartContainerInstance | COMPUTE_CONTAINER_INSTANCE_RESTART |
| ChangeContainerInstanceCompartment | COMPUTE_CONTAINER_INSTANCE_MOVE |
| DeleteContainerInstance | COMPUTE_CONTAINER_INSTANCE_DELETE, VNIC_DELETE, SUBNET_USE e COMPUTE_CONTAINER_DELETE |
| GetWorkRequest | COMPUTE_CONTAINER_INSTANCE_READ |
| ListWorkRequestLogs | COMPUTE_CONTAINER_INSTANCE_INSPECT |
| ListWorkRequestErrors | COMPUTE_CONTAINER_INSTANCE_INSPECT |
| ListWorkRequests | COMPUTE_CONTAINER_INSTANCE_INSPECT |
Exemplos de Política
Os exemplos a seguir fazem com que sua tenancy seja configurada rapidamente. Para obter mais personalização das políticas da sua tenancy, consulte Recursos avançados das políticas do serviço IAM.
Permitir que usuários criem instâncias de contêiner
Tipo de acesso: Permita que os usuários criem instâncias de contêiner no compartimento <container-instance-compartment-name> e usem sub-redes no compartimento <subnet-compartment-name>.
Onde criar a política: O método mais fácil é colocar essa política na tenancy. Se você quiser que os administradores dos compartimentos individuais tenham controle sobre as instruções de política individuais para seus compartimentos, consulte Anexação de Políticas.
Allow group ContainerInstanceLaunchers to manage compute-container-family in compartment <container-instance-compartment-name>
Allow group ContainerInstanceLaunchers to use virtual-network-family in compartment <subnet-compartment-name>
Allow group ContainerInstanceLaunchers to read repos in tenancyPara permitir que os usuários criem novas redes e sub-redes na nuvem, consulte Permitir que os administradores de rede gerenciem uma rede na nuvem.
Permitir que o Container Instances extraia imagens do Container Registry
Tipo de acesso: Permite ao serviço Container Instances a capacidade de ler imagens dos repositórios privados do Container Registry.
Onde criar a política: O método mais fácil é colocar essa política na tenancy.
- Crie um grupo dinâmico com Container Instances como o tipo de recurso. Adicione uma regra com a seguinte sintaxe:
ALL {resource.type='computecontainerinstance', resource.compartment.id = '<container-instance-compartment-ocid>'} -
Crie as seguintes políticas para conceder acesso ao grupo dinâmico:
Allow dynamic-group ContainerInstanceDynamicGroup to read repos in compartment <container-registry-repo-compartment-name>
Selecionando a imagem de contêiner usando a Console
Tipo de acesso: Ao criar sua instância de contêiner na Console, você pode selecionar a imagem do contêiner. Para gerar o endereço correto da imagem do contêiner, adicione esta política para ler namespaces do serviço Object Storage.
Onde criar a política: O método mais fácil é colocar essa política na tenancy.
Allow group ContainerInstanceLaunchers to read objectstorage-namespaces in tenancy