Políticas do Serviço IAM do DevOps

Crie políticas do serviço IAM para controlar quem tem acesso aos recursos do DevOps e para controlar o tipo de acesso de cada grupo de usuários.

Para poder controlar o acesso aos recursos do DevOps, como repositórios de código, pipelines de build e pipelines de implantação, crie usuários e coloque-os nos grupos apropriados (consulte Gerenciando Usuários e Gerenciando Grupos). Em seguida, você pode criar políticas e instruções de política para controlar o acesso (consulte Gerenciando Políticas).

Por padrão, os usuários do grupo Administrators têm acesso a todos os recursos do DevOps. Se você não estiver familiarizado com políticas de IAM, consulte Conceitos Básicos de Políticas.

Para obter uma lista completa de todas as políticas do Oracle Cloud Infrastructure, consulte Referência de Política e Políticas Comuns.

Esta seção explica os seguintes tópicos:

Tipos de Recursos e Permissões

Lista de tipos de recursos do DevOps e permissões associadas.

Para designar permissões a todos os recursos do DevOps, use o tipo de agregação devops-family. Para obter mais informações, consulte Permissões.

Uma política que usa <verb> devops-family é igual a criar uma política com uma instrução <verb> <resource-type> separada para cada tipo de recurso individual.


Tipo de Recurso	Permissões
devops-família	Os verbos, `inspect, read, use, manage`, são aplicáveis a todas as permissões de tipos de recursos DevOps. Os verbos `inspect` e `read` são aplicáveis à permissão DEVOPS_WORK_REQUEST.
devops-project	DEVOPS_PROJECT_INSPECT DEVOPS_PROJECT_READ DEVOPS_PROJECT_UPDATE DEVOPS_PROJECT_CREATE DEVOPS_PROJECT_DELETE DEVOPS_PROJECT_MOVE DEVOPS_PROJECT_CASCADE_DELETE DEVOPS_PROJECT_SETTINGS_READ DEVOPS_PROJECT_SETTINGS_UPDATE DEVOPS_PROJECT_SETTINGS_DELETE
devops-deploy-família	Os verbos, `inspect, read, use, manage`, são aplicáveis às seguintes permissões: DEVOPS_DEPLOY_ARTIFACT DEVOPS_DEPLOY_ENVIRONMENT DEVOPS_DEPLOY_PIPELINE DEVOPS_DEPLOY_STAGE DEVOPS_DEPLOY_DEPLOYMENT
devops-deploy-artifact	DEVOPS_DEPLOY_ARTIFACT_INSPECT DEVOPS_DEPLOY_ARTIFACT_READ DEVOPS_DEPLOY_ARTIFACT_UPDATE DEVOPS_DEPLOY_ARTIFACT_CREATE DEVOPS_DEPLOY_ARTIFACT_DELETE
devops-deploy-environment	DEVOPS_DEPLOY_ENVIRONMENT_INSPECT DEVOPS_DEPLOY_ENVIRONMENT_READ DEVOPS_DEPLOY_ENVIRONMENT_UPDATE DEVOPS_DEPLOY_ENVIRONMENT_CREATE DEVOPS_DEPLOY_ENVIRONMENT_DELETE
devops-deploy-pipeline	DEVOPS_DEPLOY_PIPELINE_INSPECT DEVOPS_DEPLOY_PIPELINE_READ DEVOPS_DEPLOY_PIPELINE_UPDATE DEVOPS_DEPLOY_PIPELINE_CREATE DEVOPS_DEPLOY_PIPELINE_DELETE
devops-deploy-stage	DEVOPS_DEPLOY_STAGE_INSPECT DEVOPS_DEPLOY_STAGE_READ DEVOPS_DEPLOY_STAGE_UPDATE DEVOPS_DEPLOY_STAGE_CREATE DEVOPS_DEPLOY_STAGE_DELETE
devops-deployment	DEVOPS_DEPLOY_DEPLOYMENT_INSPECT DEVOPS_DEPLOY_DEPLOYMENT_READ DEVOPS_DEPLOY_DEPLOYMENT_UPDATE DEVOPS_DEPLOY_DEPLOYMENT_CREATE DEVOPS_DEPLOY_DEPLOYMENT_DELETE DEVOPS_DEPLOY_DEPLOYMENT_CANCEL DEVOPS_DEPLOY_DEPLOYMENT_APPROVE
devops-work-requests	DEVOPS_WORK_REQUEST_INSPECT DEVOPS_WORK_REQUEST_READ
devops-repositório-família	Os verbos, `inspect, read, use, manage`, são aplicáveis às seguintes permissões: DEVOPS_REPOSITORY DEVOPS_PULL_REQUEST DEVOPS_PULL_REQUEST_COMMENT DEVOPS_PROTECTED_BRANCH O verbo `manage` é aplicável à permissão DEVOPS_REPOSITORY_SETTINGS.
devops-repository	DEVOPS_REPOSITORY_INSPECT DEVOPS_REPOSITORY_READ DEVOPS_REPOSITORY_UPDATE DEVOPS_REPOSITORY_CREATE DEVOPS_REPOSITORY_DELETE DEVOPS_REPOSITORY_SETTINGS_READ DEVOPS_REPOSITORY_SETTINGS_UPDATE DEVOPS_REPOSITORY_SETTINGS_DELETE
devops-pull-request	DEVOPS_PULL_REQUEST_INSPECT DEVOPS_PULL_REQUEST_READ DEVOPS_PULL_REQUEST_UPDATE DEVOPS_PULL_REQUEST_CREATE DEVOPS_PULL_REQUEST_DELETE DEVOPS_PULL_REQUEST_REVIEW
devops-pull-request-comentário	DEVOPS_PULL_REQUEST_COMMENT_INSPECT DEVOPS_PULL_REQUEST_COMMENT_READ DEVOPS_PULL_REQUEST_COMMENT_UPDATE DEVOPS_PULL_REQUEST_COMMENT_CREATE DEVOPS_PULL_REQUEST_COMMENT_DELETE
ramificação protegida por devops	DEVOPS_PROTECTED_BRANCH_INSPECT DEVOPS_PROTECTED_BRANCH_READ DEVOPS_PROTECTED_BRANCH_PUSH DEVOPS_PROTECTED_BRANCH_CREATE DEVOPS_PROTECTED_BRANCH_UPDATE DEVOPS_PROTECTED_BRANCH_DELETE
devops-build-família	Dados os verbos, `inspect, read, use, manage` são aplicáveis às seguintes permissões: DEVOPS_BUILD_PIPELINE DEVOPS_BUILD_PIPELINE_STAGE DEVOPS_BUILD_RUN
devops-build-pipeline	DEVOPS_BUILD_PIPELINE_INSPECT DEVOPS_BUILD_PIPELINE_READ DEVOPS_BUILD_PIPELINE_UPDATE DEVOPS_BUILD_PIPELINE_CREATE DEVOPS_BUILD_PIPELINE_DELETE
devops-build-pipeline-stage	DEVOPS_BUILD_PIPELINE_STAGE_INSPECT DEVOPS_BUILD_PIPELINE_STAGE_READ DEVOPS_BUILD_PIPELINE_STAGE_UPDATE DEVOPS_BUILD_PIPELINE_STAGE_CREATE DEVOPS_BUILD_PIPELINE_STAGE_DELETE
devops-build-run	DEVOPS_BUILD_RUN_INSPECT DEVOPS_BUILD_RUN_READ DEVOPS_BUILD_RUN_UPDATE DEVOPS_BUILD_RUN_CREATE DEVOPS_BUILD_RUN_DELETE DEVOPS_BUILD_RUN_CANCEL
devops-connection	DEVOPS_CONNECTION_INSPECT DEVOPS_CONNECTION_READ DEVOPS_CONNECTION_UPDATE DEVOPS_CONNECTION_CREATE DEVOPS_CONNECTION_DELETE
devops-trigger	DEVOPS_TRIGGER_INSPECT DEVOPS_TRIGGER_READ DEVOPS_TRIGGER_UPDATE DEVOPS_TRIGGER_CREATE DEVOPS_TRIGGER_DELETE

Variáveis com Suporte

Variáveis são usadas ao adicionar condições a uma política.

O DevOps suporta as seguintes variáveis:

Entidade: Oracle Cloud Identifier (OCID)
String: Texto de formato livre
Número: Valor numérico (precisão arbitrária)
Lista: Lista de Entidade, String ou Número
Booliano: Verdadeiro ou Falso

Consulte Variáveis Gerais para Todas as Solicitações.

As variáveis são minúsculas e separadas por hífen. Por exemplo, target.tag-namespace.name, target.display-name. Aqui name deve ser exclusivo e display-name é a descrição.

As variáveis obrigatórias são fornecidas pelo serviço DevOps para cada solicitação. As variáveis automáticas são fornecidas pelo mecanismo de autorização (local de serviço com o SDK para um thick client ou no plano de dados de Identidade para um thin client).


Variáveis Obrigatórias	Tipo	Descrição
`target.compartment.id`	Entidade (OCID)	O OCID do recurso principal da solicitação.
`request.operation`	String	O ID da operação (por exemplo, `GetUser`) para a solicitação.
`target.resource.kind`	String	O nome do tipo do recurso principal da solicitação.


Variáveis Automáticas	Tipo	Descrição
`request.user.id`	Entidade (OCID)	O OCID do usuário solicitante.
`request.groups.id`	Lista de entidades (OCIDs)	Os OCIDs dos grupos em que o usuário solicitação se encontra.
`target.compartment.name`	String	O nome do compartimento especificado em `target.compartment.id`.
`target.tenant.id`	Entidade (OCID)	O OCID do ID do tenant de destino.

Veja uma lista de origens disponíveis para as variáveis:

Solicitação: Vem da entrada da solicitação.
Derivado: Vem da solicitação.
Armazenado: Vem do serviço, entrada retida.
Calculado: Calculado com base nos dados do serviço.

Variáveis de Mapeamento com Tipos de Recurso


Tipo de Recurso	Variável	Tipo	Origem	Descrição
`devops-project` `devops-deploy-artifact` `devops-deploy-environment` `devops-deploy-pipeline` `devops-deploy-stage` `devops-deployment` `devops-repository` `devops-pull-request` `devops-connection` `devops-trigger` `devops-build-pipeline` `devops-build-pipeline-stage` `devops-build-run` `devops-pull-request-comment` `devops-protected-branch`	`target.project.id`	Entrada	Armazenado	Disponível para operações Obter, Atualizar, Excluir e Mover no recurso do Projeto.
`devops-project` `devops-deploy-artifact` `devops-deploy-environment` `devops-deploy-pipeline` `devops-deploy-stage` `devops-deployment` `devops-repository` `devops-pull-request` `devops-connection` `devops-trigger` `devops-build-pipeline` `devops-build-pipeline-stage` `devops-build-run` `devops-pull-request-comment` `devops-protected-branch`	`target.project.name`	String	Armazenado	Disponível para operações Obter, Atualizar, Excluir e Mover no recurso do Projeto.
`devops-deploy-artifact`	`target.artifact.id`	Entidade	Armazenado	Disponível para operações Obter, Atualizar e Excluir no recurso de Artefato.
`devops-deploy-environment`	`target.environment.id`	Entidade	Armazenado	Disponível para operações Obter, Atualizar e Excluir no recurso de Ambiente.
`devops-deploy-pipeline` `devops-deploy-stage` `devops-deployment`	`target.pipeline.id`	Entidade	Armazenado	Disponível para operações Obter, Atualizar e Excluir no recurso de Pipeline.
`devops-deploy-stage`	`target.stage.id`	Entidade	Armazenado	Disponível para operações Obter, Atualizar e Excluir no recurso de Estágio.
`devops-deployment`	`target.deployment.id`	Entidade	Armazenado	Disponível para operações Obter, Atualizar e Excluir nos tipos de recurso de Implantação.
`devops-repository` `devops-pull-request` `devops-pull-request-comment` `devops-protected-branch`	`target.repository.id`	Entidade	Armazenado	Disponível para operações Obter, Atualizar e Mover no recurso de Repositório.
`devops-pull-request-comment`	`target.pull-request.id`	Entidade	Armazenado	Disponível para operações Obter, Atualizar e Excluir no recurso de Solicitação de Baixa Automática.
`devops-repository` `devops-pull-request` `devops-pull-request-comment` `devops-protected-branch`	`target.repository.name`	Entidade	Armazenado	Disponível para operações Obter, Atualizar e Mover no recurso de Repositório.
`devops-pull-request-comment`	`target.pull-request.display-name`	String	Armazenado	Disponível para operações Obter, Atualizar e Excluir no recurso de Solicitação de Baixa Automática.
`devops-repository`	`target.branch.name`	Entidade	Armazenado	Disponível para operações do Git como upload-pack e receive-pack na ramificação Repositório.
`devops-protected-branch`	`target.branch.name`	String	Armazenado	Disponível para operações Obter, Atualizar, Excluir e Mover no recurso de Ramificação Protegida.
`devops-repository`	`target.tag.name`	Entidade	Armazenado	Disponível para operações do Git como upload-pack e receive-pack na ramificação Repositório.
`devops-pull-request`	`target.pull-request.id`	Entidade	Armazenado	Disponível para operações Obter, Atualizar e Excluir no recurso de Solicitação de Baixa Automática.
`devops-pull-request`	`target.pull-request.display-name`	String	Armazenado	Disponível para operações Obter, Atualizar e Excluir no recurso de Solicitação de Baixa Automática.
`devops-connection`	`target.connection.id`	Entidade	Armazenado	Disponível para operações Obter, Atualizar e Excluir no recurso de Conexão.
`devops-trigger`	`target.trigger.id`	Entidade	Armazenado	Disponível para operações Obter, Atualizar e Excluir no recurso de Trigger.
`devops-build-pipeline` `devops-build-pipeline-stage` `devops-build-run`	`target.build-pipeline.id`	Entidade	Armazenado	Disponível para operações Obter, Atualizar e Excluir no recurso de Pipeline de Build.
`devops-build-pipeline-stage`	`target.build-pipeline-stage.id`	Entidade	Armazenado	Disponível para operações Obter, Atualizar e Excluir no recurso de Estágio do Pipeline de Build.
`devops-build-run`	`target.build-run.id`	Entidade	Armazenado	Disponível para operações Obter, Atualizar, Excluir e Cancelar no recurso de Execução de Build.

Detalhes para Combinações de Verbo + Tipo de Recurso

Identifique as permissões e operações de API abrangidas por cada verbo para recursos do DevOps.

O nível de acesso é cumulativo conforme você vai de inspect a read a use a manage. Um sinal de mais (+) em uma célula da tabela indica acesso incremental quando comparado à célula anterior. Todas as permissões (inspecionar, ler, usar e gerenciar) são aplicáveis ao tipo de recurso devops-family, que inclui todos os recursos DevOps.

Para obter informações sobre como conceder acesso, consulte Permissões.

devops-project

Esta tabela lista as permissões e as APIs totalmente abrangidas pelas permissões, para o recurso devops-project.


Verbos	Permissões	APIs Abrangidas	Descrição
`inspect`	`DEVOPS_PROJECT_INSPECT`	`ListProjects`	Liste todos os recursos do projeto em um compartimento.
`read`	`inspect+` `DEVOPS_PROJECT_READ`	`inspect+` `GetProject`	Obtenha um projeto específico por ID.
`use`	`read+` `DEVOPS_PROJECT_UPDATE`	`read+` `UpdateProject`	Atualize um projeto específico.
`manage`	`use+` `DEVOPS_PROJECT_CREATE`	`use+` `CreateProject`	Crie um recurso de projeto.
`manage`	`use+` `DEVOPS_PROJECT_DELETE`	`use+` `DeleteProject`	Exclua um projeto específico.
`manage`	`use+` `DEVOPS_PROJECT_MOVE`	`use+` `ChangeProjectCompartment`	Mova um projeto para outro compartimento.

devops-deploy-família

Esta tabela lista as permissões e as APIs totalmente abrangidas pelas permissões, para o recurso devops-deploy-family.


Verbos	Permissões	APIs Abrangidas	Descrição
`inspect`	`DEVOPS_DEPLOY_ARTIFACT_INSPECT` `DEVOPS_DEPLOY_ENVIRONMENT_INSPECT` `DEVOPS_DEPLOY_PIPELINE_INSPECT` `DEVOPS_DEPLOY_STAGE_INSPECT` `DEVOPS_DEPLOYMENT_INSPECT`	`ListDeployArtifacts` `ListDeployEnvironments` `ListDeployPipelines` `ListDeployStages` `ListDeployments`	Liste todos os artefatos de um projeto ou compartimento. Liste todos os ambientes em um projeto ou compartimento. Liste todos os recursos de pipeline em um compartimento. Liste todos os estágios em um pipeline ou compartimento. Liste todas as implantações em um compartimento.
`read`	`inspect+` `DEVOPS_DEPLOY_ARTIFACT_READ` `DEVOPS_DEPLOY_ENVIRONMENT_READ` `DEVOPS_DEPLOY_PIPELINE_READ` `DEVOPS_DEPLOY_STAGE_READ` `DEVOPS_DEPLOYMENT_READ`	`inspect+` `GetDeployArtifact` `GetDeployEnvironment` `GetDeployPipeline` `GetDeployStage` `GetDeployment`	Obtenha um artefato específico por ID. Obtenha um ambiente específico por ID. Obtenha um pipeline específico por ID. Obtenha um estágio específico por ID. Obtenha uma implantação específica por ID.
`use`	`read+` `DEVOPS_DEPLOY_ARTIFACT_UPDATE` `DEVOPS_DEPLOY_ENVIRONMENT_UPDATE` `DEVOPS_DEPLOY_PIPELINE_UPDATE` `DEVOPS_DEPLOY_STAGE_UPDATE` `DEVOPS_DEPLOYMENT_UPDATE` `DEVOPS_DEPLOYMENT_APPROVE` `DEVOPS_DEPLOYMENT_CANCEL`	`read+` `UpdateDeployArtifact` `UpdateDeployEnvironment` `UpdateDeployPipeline` `UpdateDeployStage` `UpdateDeployment` `ApproveDeployment` `CancelDeployment`	Atualize um artefato específico por ID. Atualize um ambiente específico por ID. Atualize um pipeline específico por ID. Atualize um estágio específico por ID. Atualize uma implantação específica por ID. Aprove uma implantação específica que está aguardando aprovação manual. Cancele uma implantação em execução.
`manage`	`use+` `DEVOPS_DEPLOY_ARTIFACT_CREATE` `DEVOPS_DEPLOY_ARTIFACT_DELETE` `DEVOPS_DEPLOY_ENVIRONMENT_CREATE` `DEVOPS_DEPLOY_ENVIRONMENT_DELETE` `DEVOPS_DEPLOY_PIPELINE_CREATE` `DEVOPS_DEPLOY_PIPELINE_DELETE` `DEVOPS_DEPLOY_STAGE_CREATE` `DEVOPS_DEPLOY_STAGE_DELETE` `DEVOPS_DEPLOYMENT_CREATE` `DEVOPS_DEPLOYMENT_DELETE`	`use+` `CreateDeployArtifact` `DeleteDeployArtifact` `CreateDeployEnvironment` `DeleteDeployEnvironment` `CreateDeployPipeline` `DeleteDeployPipeline` `CreateDeployStage` `DeleteDeployStage` `CreateDeployment` `DeleteDeployment`	Crie um recurso de artefato em um projeto. Exclua um artefato específico por ID. Criar um ambiente dentro de um projeto. Exclua um ambiente específico por ID. Crie um recurso de pipeline. Exclua um pipeline específico por ID. Crie um estágio em um pipeline. Exclua um estágio específico por ID. Crie uma implantação para um pipeline específico. Exclua uma implantação específica por ID.

devops-deploy-artifact

Esta tabela lista as permissões e as APIs totalmente abrangidas pelas permissões, para o recurso devops-deploy-artifact.


Verbos	Permissões	APIs Abrangidas	Descrição
`inspect`	`DEVOPS_DEPLOY_ARTIFACT_INSPECT`	`ListDeployArtifacts`	Liste todos os artefatos de um projeto ou compartimento.
`read`	`inspect+` `DEVOPS_DEPLOY_ARTIFACT_READ`	`inspect+` `GetDeployArtifact`	Obtenha um artefato específico por ID.
`use`	`read+` `DEVOPS_DEPLOY_ARTIFACT_UPDATE`	`read+` `UpdateDeployArtifact`	Atualize um artefato específico por ID.
`manage`	`use+` `DEVOPS_DEPLOY_ARTIFACT_CREATE`	`use+` `CreateDeployArtifact`	Crie um recurso de artefato em um projeto.
`manage`	`use+` `DEVOPS_DEPLOY_ARTIFACT_DELETE`	`use+` `DeleteDeployArtifact`	Exclua um artefato específico por ID.

devops-deploy-environment

Esta tabela lista as permissões e as APIs totalmente abrangidas pelas permissões, para o recurso devops-deploy-environment.


Verbos	Permissões	APIs Abrangidas	Descrição
`inspect`	`DEVOPS_DEPLOY_ENVIRONMENT_INSPECT`	`ListDeployEnvironments`	Liste todos os ambientes em um aplicativo ou compartimento.
`read`	`inspect+` `DEVOPS_DEPLOY_ENVIRONMENT_READ`	`inspect+` `GetDeployEnvironment`	Obtenha um ambiente específico por ID.
`use`	`read+` `DEVOPS_DEPLOY_ENVIRONMENT_UPDATE`	`read+` `UpdateDeployEnvironment`	Atualize um ambiente específico por ID.
`manage`	`use+` `DEVOPS_DEPLOY_ENVIRONMENT_CREATE`	`use+` `CreateDeployEnvironment`	Crie um ambiente para um destino de implantação em um aplicativo.
`manage`	`use+` `DEVOPS_DEPLOY_ENVIRONMENT_DELETE`	`use+` `DeleteDeployEnvironment`	Exclua um ambiente específico por ID.

devops-deploy-pipeline

Esta tabela lista as permissões e as APIs totalmente abrangidas pelas permissões, para o recurso devops-deploy-pipeline.


Verbos	Permissões	APIs Abrangidas	Descrição
`inspect`	`DEVOPS_DEPLOY_PIPELINE_INSPECT`	`ListDeployPipelines`	Liste todos os recursos de pipeline em um compartimento.
`read`	`inspect+` `DEVOPS_DEPLOY_PIPELINE_READ`	`inspect+` `GetDeployPipeline`	Obtenha um pipeline específico por ID.
`use`	`read+` `DEVOPS_DEPLOY_PIPELINE_UPDATE`	`read+` `UpdateDeployPipeline`	Atualize um pipeline específico por ID.
`manage`	`use+` `DEVOPS_DEPLOY_PIPELINE_CREATE`	`use+` `CreateDeployPipeline`	Crie um recurso de pipeline.
`manage`	`use+` `DEVOPS_DEPLOY_PIPELINE_DELETE`	`use+` `DeleteDeployPipeline`	Exclua um pipeline específico.

devops-deploy-stage

Esta tabela lista as permissões e as APIs totalmente abrangidas pelas permissões, para o recurso devops-deploy-stage.


Verbos	Permissões	APIs Abrangidas	Descrição
`inspect`	`DEVOPS_DEPLOY_STAGE_INSPECT`	`ListDeployStages`	Liste todos os estágios em um pipeline ou compartimento.
`read`	`inspect+` `DEVOPS_DEPLOY_STAGE_READ`	`inspect+` `GetDeployStage`	Obtenha um estágio específico por ID.
`use`	`read+` `DEVOPS_DEPLOY_STAGE_UPDATE`	`read+` `UpdateDeployStage`	Atualize um estágio específico por ID.
`manage`	`use+` `DEVOPS_DEPLOY_STAGE_CREATE`	`use+` `CreateDeployStage`	Crie um estágio em um pipeline.
`manage`	`use+` `DEVOPS_DEPLOY_STAGE_DELETE`	`use+` `DeleteDeployStage`	Exclua um estágio específico por ID.

devops-deployment

Esta tabela lista as permissões e as APIs totalmente abrangidas pelas permissões, para o recurso devops-deployment.


Verbos	Permissões	APIs Abrangidas	Descrição
`inspect`	`DEVOPS_DEPLOYMENT_INSPECT`	`ListDeployments`	Liste todas as implantações em um compartimento.
`read`	`inspect+` `DEVOPS_DEPLOYMENT_READ`	`inspect+` `GetDeployment`	Obtenha uma implantação específica por ID.
`use`	`read+` `DEVOPS_DEPLOYMENT_UPDATE`	`read+` `UpdateDeployStage`	Atualize um estágio específico por ID.
`use`	`read+` `DEVOPS_DEPLOYMENT_APPROVE`	`read+` `ApproveDeployment`	Aprove uma implantação específica que está aguardando aprovação manual.
`use`	`read+` `DEVOPS_DEPLOYMENT_CANCEL`	`read+` `CancelDeployment`	Cancele uma implantação em execução.
`manage`	`use+` `DEVOPS_DEPLOYMENT_CREATE`	`use+` `CreateDeployment`	Crie uma implantação para um pipeline específico.
`manage`	`use+` `DEVOPS_DEPLOYMENT_DELETE`	`use+` `DeleteDeployment`	Exclua uma implantação específica.

devops-work-requests

Esta tabela lista as permissões e as APIs totalmente abrangidas pelas permissões, para o recurso devops-work-requests.


Verbos	Permissões	APIs Abrangidas	Descrição
`inspect`	`DEVOPS_WORK_REQUEST_INSPECT`	`ListWorkRequests`	Liste todas as solicitações de serviço em um compartimento
`read`	`inspect+` `DEVOPS_WORK_REQUEST_READ`	`inspect+` `GetWorkRequest`	Obtenha uma solicitação de serviço específica por ID.

devops-repositório-família

Esta tabela lista as permissões e as APIs totalmente abrangidas pelas permissões, para o recurso devops-repository-family.


Verbos	Permissões	APIs Abrangidas	Descrição
`inspect`	`DEVOPS_REPOSITORY_INSPECT` `DEVOPS_PULL_REQUEST_INSPECT` `DEVOPS_PULL_REQUEST_COMMENT_INSPECT` `DEVOPS_PROTECTED_BRANCH_INSPECT`	`ListRepositories` `ListPullRequests` `ListPullRequestAttachments` `ListPullRequestComments` `ListProtectedBranches`	Liste todos os recursos de repositório por ID do compartimento, do projeto ou do repositório. Listar solicitações de extração em um repositório. Listar anexos de solicitação de baixa automática por identificador. Listar comentários do revisor da solicitação de extração. Liste as ramificações protegidas em um repositório.
`read`	`inspect+` `DEVOPS_REPOSITORY_READ` `DEVOPS_PULL_REQUEST_READ` `DEVOPS_PULL_REQUEST_COMMENT_READ` `DEVOPS_PROTECTED_BRANCH_READ` `DEVOPS_PULL_REQUEST_REVIEW` `DEVOPS_PULL_REQUEST_COMMENT_CREATE` `DEVOPS_PULL_REQUEST_COMMENT_UPDATE` `DEVOPS_PULL_REQUEST_COMMENT_DELETE`	`inspect+` `GetRepository` `GetPullRequest` `GetPullRequestComment` `GetPullRequestAttachmentContent` `GetProtectedBranch` `ReviewPullRequest` `UpdatePullRequestComment` `LikePullRequestComment` `UnlikePullRequestComment` `DeletePullRequestComment`	Obtenha um repositório específico por ID. Obtenha uma solicitação de extração por ID. Obtenha um comentário por um ID de comentário. Obter conteúdo de um anexo de solicitação de extração. Obter informações de proteção para uma ramificação específica. Atualizar a lista de revisores de uma solicitação de extração. Atualizar um comentário de solicitação de extração por ID. Como um comentário de solicitação de pull. Ao contrário de um comentário de solicitação pull. Exclua um comentário de solicitação de extração.
`use`	`read+` `DEVOPS_REPOSITORY_UPDATE` `DEVOPS_PULL_REQUEST_UPDATE` `DEVOPS_PULL_REQUEST_CREATE` `DEVOPS_PULL_REQUEST_DELETE`	`read+` `UpdateRepository` `UpdatePullRequest` `DeclinePullRequest` `ReopenPullRequest` `MergePullRequest` `DeletePullRequest`	Atualize um repositório específico por ID. Atualizar uma solicitação de extração por ID. Feche uma solicitação de pull definindo o ciclo de vida da solicitação de pull como recusada. Reabra uma solicitação de extração fechada. Mescle uma solicitação de extração aprovada da ramificação de origem para o destino. Excluir uma solicitação de extração por ID.
`manage`	`use+` `DEVOPS_REPOSITORY_CREATE` `DEVOPS_REPOSITORY_DELETE` `DEVOPS_PROTECTED_BRANCH_CREATE` `DEVOPS_PROTECTED_BRANCH_UPDATE` `DEVOPS_PROTECTED_BRANCH_DELETE` `DEVOPS_REPOSITORY_SETTINGS_READ` `DEVOPS_REPOSITORY_SETTINGS_UPDATE` `DEVOPS_REPOSITORY_SETTINGS_DELETE` `DEVOPS_PROTECTED_BRANCH_PUSH`	`use+` `CreateRepository` `DeleteRepository` `CreateProtectedBranch` `UpdateProtectedBranch` `DeleteProtectedBranch` `GetRepositorySettings` `UpdateRepositorySettings` `DeleteRepositorySettings` `ProtectedBranchReceivePack`	Crie um repositório. Exclua um repositório específico por ID. Crie uma ramificação protegida em um repositório. Atualize o nível de proteção em uma ramificação protegida. As opções atuais de nível de proteção são `PULL_REQUEST_MERGE_ONLY` e `READ_ONLY`. Exclua uma ramificação protegida. Isso remove as restrições adicionadas a uma ramificação quando ela estava protegida. Obtenha as definições personalizadas configuradas para um repositório. Atualize as definições personalizadas configuradas para um repositório. Remova as definições personalizadas configuradas para um repositório. Dá aos usuários a capacidade de enviar diretamente para a ramificação protegida.

devops-repository

Esta tabela lista as permissões e as APIs totalmente abrangidas pelas permissões, para o recurso devops-repository.


Verbos	Permissões	APIs Abrangidas	Descrição
`inspect`	`DEVOPS_REPOSITORY_INSPECT`	`ListRepositories`	Liste todos os recursos de repositório por ID do compartimento, do projeto ou do repositório.
`read`	`inspect+` `DEVOPS_REPOSITORY_READ`	`inspect+` `GetRepository`	Obtenha um repositório específico por ID.
`use`	`read+` `DEVOPS_REPOSITORY_UPDATE`	`read+` `UpdateRepository`	Atualize um repositório específico por ID.
`manage`	`use+` `DEVOPS_REPOSITORY_CREATE`	`use+` `CreateRepository`	Crie um repositório.
`manage`	`use+` `DEVOPS_REPOSITORY_DELETE`	`use+` `DeleteRepository`	Exclua um repositório específico por ID.

devops-connection

Esta tabela lista as permissões e as APIs totalmente abrangidas pelas permissões, para o recurso devops-connection.


Verbos	Permissões	APIs Abrangidas	Descrição
`inspect`	`DEVOPS_CONNECTION_INSPECT`	`ListConnections`	Liste todas as conexões em um projeto ou compartimento.
`read`	`inspect+` `DEVOPS_CONNECTION_READ`	`inspect+` `GetConnection`	Obtenha uma conexão específica por ID.
`use`	`read+` `DEVOPS_CONNECTION_UPDATE`	`read+` `UpdateConnection`	Atualize uma conexão específica por ID.
`use`	`read+` `DEVOPS_CONNECTION_VALIDATE`	`read+` `ValidateConnection`	Valide o PAT da conexão.
`manage`	`use+` `DEVOPS_CONNECTION_CREATE`	`use+` `CreateConnection`	Crie um recurso de conexão em um projeto.
`manage`	`use+` `DEVOPS_CONNECTION_DELETE`	`use+` `DeleteConnection`	Exclua uma conexão específica por ID.

devops-trigger

Esta tabela lista as permissões e as APIs totalmente abrangidas pelas permissões, para o recurso devops-trigger.


Verbos	Permissões	APIs Abrangidas	Descrição
`inspect`	`DEVOPS_TRIGGER_INSPECT`	`ListTriggers`	Liste todos os triggers em um projeto ou compartimento.
`read`	`inspect+` `DEVOPS_TRIGGER_READ`	`inspect+` `GetTrigger`	Obtenha um trigger específico por ID.
`use`	`read+` `DEVOPS_TRIGGER_UPDATE`	`read+` `UpdateTrigger`	Atualize um trigger específico por ID.
`manage`	`use+` `DEVOPS_TRIGGER_CREATE`	`use+` `CreateTrigger`	Crie um recurso de trigger em um projeto.
`manage`	`use+` `DEVOPS_TRIGGER_DELETE`	`use+` `DeleteTrigger`	Exclua um trigger específico por ID.

devops-build-família

Esta tabela lista as permissões e as APIs totalmente abrangidas pelas permissões, para o recurso devops-build-family.


Verbos	Permissões	APIs Abrangidas	Descrição
`inspect`	`DEVOPS_BUILD_PIPELINE_INSPECT` `DEVOPS_BUILD_PIPELINE_STAGE_INSPECT` `DEVOPS_BUILD_RUN_INSPECT`	`ListBuildPipelines` `ListBuildPipelineStages` `ListBuildRuns`	Liste todos os recursos do pipeline de build em um compartimento. Liste os estágios em um pipeline de build ou compartimento. Liste as execuções de builds em um projeto ou compartimento.
`read`	`inspect+` `DEVOPS_BUILD_PIPELINE_READ` `DEVOPS_BUILD_PIPELINE_STAGE_READ` `DEVOPS_BUILD_RUN_READ`	`inspect+` `GetBuildPipeline` `GetBuildPipelineStage` `GetBuildRun`	Obtenha um pipeline de build específico por ID. Obtenha um estágio específico do pipeline de build por ID. Obtenha uma execução de build específica por ID.
`use`	`read+` `DEVOPS_BUILD_PIPELINE_UPDATE` `DEVOPS_BUILD_PIPELINE_STAGE_UPDATE` `DEVOPS_BUILD_RUN_UPDATE` `DEVOPS_BUILD_RUN_CANCEL`	`read+` `UpdateBuildPipeline` `UpdateBuildPipelineStage` `UpdateBuildRun` `CancelBuildRun`	Atualize um pipeline de build específico por ID. Atualize um estágio específico do pipeline de build por ID. Atualize uma execução de build existente. Cancela uma execução de build que está em execução.
`manage`	`use+` `DEVOPS_BUILD_PIPELINE_CREATE` `DEVOPS_BUILD_PIPELINE_DELETE` `DEVOPS_BUILD_PIPELINE_STAGE_CREATE` `DEVOPS_BUILD_PIPELINE_STAGE_DELETE` `DEVOPS_BUILD_RUN_CREATE` `DEVOPS_BUILD_RUN_DELETE`	`use+` `CreateBuildPipeline` `DeleteBuildPipeline` `CreateBuildPipelineStage` `DeleteBuildPipelineStage` `CreateBuildRun` `DeleteBuildRun`	Crie um recurso de pipeline de build. Excluir um pipeline de build. Crie um estágio em um pipeline de build. Exclua um estágio específico do pipeline de build por ID. Inicie uma execução de build para um pipeline de build. Exclua uma execução de build existente.

devops-build-pipeline

Esta tabela lista as permissões e as APIs totalmente abrangidas pelas permissões, para o recurso devops-build-pipeline.


Verbos	Permissões	APIs Abrangidas	Descrição
`inspect`	`DEVOPS_BUILD_PIPELINE_INSPECT`	`ListBuildPipelines`	Liste todos os recursos do pipeline de build em um compartimento.
`read`	`inspect+` `DEVOPS_BUILD_PIPELINE_READ`	`inspect+` `GetBuildPipeline`	Obtenha um pipeline de build específico por ID.
`use`	`read+` `DEVOPS_BUILD_PIPELINE_UPDATE`	`read+` `UpdateBuildPipeline`	Atualize um pipeline de build específico por ID.
`manage`	`use+` `DEVOPS_BUILD_PIPELINE_CREATE`	`use+` `CreateBuildPipeline`	Crie um recurso de pipeline de build.
`manage`	`use+` `DEVOPS_BUILD_PIPELINE_DELETE`	`use+` `DeleteBuildPipeline`	Exclua um pipeline de build específico.

devops-build-pipeline-stage

Esta tabela lista as permissões e as APIs totalmente abrangidas pelas permissões, para o recurso devops-build-pipeline-stage.


Verbos	Permissões	APIs Abrangidas	Descrição
`inspect`	`DEVOPS_BUILD_PIPELINE_STAGE_INSPECT`	`ListBuildPipelineStages`	Liste todos os estágios em um pipeline de build ou compartimento.
`read`	`inspect+` `DEVOPS_BUILD_PIPELINE_STAGE_READ`	`inspect+` `GetBuildPipelineStage`	Obtenha um estágio específico do pipeline de build por ID.
`use`	`read+` `DEVOPS_BUILD_PIPELINE_STAGE_UPDATE`	`read+` `UpdateBuildPipelineStage`	Atualize um estágio específico do pipeline de build por ID.
`manage`	`use+` `DEVOPS_BUILD_PIPELINE_STAGE_CREATE`	`use+` `CreateBuildPipelineStage`	Crie um estágio em um pipeline de build.
`manage`	`use+` `DEVOPS_BUILD_PIPELINE_STAGE_DELETE`	`use+` `DeleteBuildPipelineStage`	Exclua um estágio específico do pipeline de build por ID.

devops-build-run

Esta tabela lista as permissões e as APIs totalmente abrangidas pelas permissões, para o recurso devops-build-run.


Verbos	Permissões	APIs Abrangidas	Descrição
`inspect`	`DEVOPS_BUILD_RUN_INSPECT`	`ListBuildRuns`	Liste as execuções de builds em um projeto ou compartimento.
`read`	`inspect+` `DEVOPS_BUILD_RUN_READ`	`inspect+` `GetBuildRun`	Obtenha uma execução de build específica por ID.
`use`	`read+` `DEVOPS_BUILD_RUN_UPDATE`	`read+` `UpdateBuildRun`	Atualize uma execução de build existente.
`use`	`read+` `DEVOPS_BUILD_RUN_CANCEL`	`read+` `CancelBuildRun`	Cancele uma execução de build em execução.
`manage`	`use+` `DEVOPS_BUILD_RUN_CREATE`	`use+` `CreateBuildRun`	Inicie uma execução de build para um determinado pipeline de build.
`manage`	`use+` `DEVOPS_BUILD_RUN_DELETE`	`use+` `DeleteBuildRun`	Exclua uma execução de build existente.

Criando uma Política e um Grupo Dinâmico

Para conceder aos usuários permissão para acessar os diversos recursos do serviço DevOps, como pipelines de build, pipeline de implantação, artefatos e repositórios de código, crie grupos, grupos dinâmicos e políticas do IAM.

Uma política permite que um grupo trabalhe de determinadas formas com tipos específicos de recursos em um compartimento específico.

Política

Veja como criar uma política na Console do Oracle Cloud:

Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Políticas.
Clique em Criar Política.
Digite um nome e uma descrição para a política.
Em Policy Builder, clique na opção Mostrar editor manual para ativar o editor.
Digite uma regra de política no seguinte formato:
```
Allow <group> to <verb> <resource_type> in <compartment or tenancy details>
```
Clique em Criar.

Para obter mais informações sobre a criação de políticas, consulte Como as Políticas Funcionam e Referência de Políticas.

Para criar um grupo e adicionar usuários ao grupo, consulte Gerenciando Grupos.

Grupo Dinâmico

O grupo dinâmico é um tipo especial de grupo que contém recursos (como instâncias de computação) que correspondem às regras definidas por você.

As regras de correspondência definem os recursos que pertencem ao grupo dinâmico. Na Console, você pode informar a regra manualmente na caixa de texto fornecida ou pode usar o criador de regras. Para obter mais detalhes, consulte Gravando Regras de Correspondência para Definir Grupos Dinâmicos. Use a regra match-any para corresponder a várias condições.

Crie um grupo dinâmico para os seus recursos do serviço DevOps. Você pode atribuir ao grupo dinâmico um nome como, por exemplo, DevOpsDynamicGroup, e substituir compartmentOCID pelo OCID do seu compartimento:

ALL {resource.type = 'devopsdeploypipeline', resource.compartment.id = 'compartmentOCID'}
ALL {resource.type = 'devopsrepository', resource.compartment.id = 'compartmentOCID'}
ALL {resource.type = 'devopsbuildpipeline',resource.compartment.id = 'compartmentOCID'}
ALL {resource.type = 'devopsconnection',resource.compartment.id = 'compartmentOCID'}

Para obter mais informações sobre grupos dinâmicos, incluindo as permissões necessárias para criá-los, consulte Gerenciando Grupos Dinâmicos e Criando Políticas para Grupos Dinâmicos.

Declaração de política obrigatória para DevOpsDynamicGroup:

Allow dynamic-group DevOpsDynamicGroup to manage devops-family in compartment <compartment_name>

Observação

Para tenancies que têm domínios de identidades, o nome do domínio deve preceder o nome do grupo dinâmico na política. Por exemplo, domain-name/{DevOpsDynamicGroup}

Exemplos de Política

Políticas do DevOps obrigatórias para o uso de vários recursos do DevOps, como repositórios de código, pipelines de build e pipelines de implantação.

São fornecidos os seguintes exemplos de política:

Políticas de Ambiente

Exemplo de política para criar o ambiente de destino usado para implantação.

Consulte as instruções para criar políticas usando a Console.

Crie uma política para permitir que os usuários de um grupo criem, atualizem ou excluam um ambiente privado do OKE:

Allow group <group-name> to manage virtual-network-family in compartment <compartment_name> where any {request.operation='CreatePrivateEndpoint', request.operation='UpdatePrivateEndpoint', request.operation='DeletePrivateEndpoint', request.operation='EnableReverseConnection', request.operation='ModifyReverseConnection', request.operation='DisableReverseConnection'}

Políticas de Repositório de Código

Exemplos de política para criar um repositório de código e estabelecer conexão com repositórios de código externos, como GitHub e GitLab.

Consulte as instruções para criar políticas, grupos e grupos dinâmicos usando a Console.

Para criar um repositório de código, crie as seguintes políticas do serviço IAM:

Permita que os usuários de um grupo tenham acesso ao projeto do serviço DevOps:

Allow group <group-name> to read devops-project in compartment <compartment_name>

Permitir que usuários de um grupo leiam, criem, atualizem ou excluam um repositório:

Allow group <group-name> to manage devops-repository in compartment <compartment_name>

Para clonar um repositório, crie as seguintes políticas do serviço IAM:

Permita que os usuários de um grupo tenham acesso ao projeto do serviço DevOps:

Allow group <group-name> to read devops-project in compartment <compartment_name>

Permitir que usuários de um grupo leiam ou atualizem um repositório:

Allow group <group-name> to use devops-repository in compartment <compartment_name>

Para integrar-se com repositórios de código externos, crie uma política no compartimento raiz. Por exemplo, para permitir que o grupo dinâmico leia segredos:

Allow dynamic-group DevOpsDynamicGroup to read secret-family in compartment <compartment_name>

Para validar uma conexão externa, crie a seguinte política do serviço IAM junto com a política para ler segredos:

Allow group <group-name> to use devops-connection in compartment <compartment_name>

Para receber notificações por e-mail para solicitações de extração em repositórios de código, crie a política de IAM a seguir usando o grupo dinâmico. O administrador deve criar esta política. Por exemplo, para permitir que o grupo dinâmico DevOpsDynamicGroup inclua o recurso do repositório:

Allow dynamic-group DevOpsDynamicGroup to inspect users in tenancy

Para criar uma solicitação de extração, você deve definir políticas com base nas ações que um usuário pode executar. Para obter mais informações e exemplos, consulte Gerenciando Solicitações de Baixa Automática.

Políticas de Pipeline de Build

Exemplos de política para criar pipelines de build e adicionar estágios ao pipeline.

Consulte as instruções para criar políticas usando a Console.

Crie políticas do serviço IAM para permitir que o grupo dinâmico acesse recursos do OCI no compartimento:
- Para entregar artefatos, forneça acesso ao Container Registry (OCIR):
```
Allow dynamic-group DevOpsDynamicGroup to manage repos in compartment <compartment_name>
```
- Para acessar o vault para token de acesso pessoal (PAT), forneça acesso à família secreta. Essa política é obrigatória no estágio de Build Gerenciado para acessar o PAT para fazer download do código de origem:
```
Allow dynamic-group DevOpsDynamicGroup to read secret-family in compartment <compartment_name>
```
- Forneça acesso para ler artefatos de implantação no estágio Entregar Artefatos, leia o repositório de código do DevOps no estágio de Build Gerenciado e acione o pipeline de implantação no estágio Acionar Implantação:
```
Allow dynamic-group DevOpsDynamicGroup to manage devops-family in compartment <compartment_name>
```
- Para entregar artefatos, forneça acesso ao Artifact Registry:
```
Allow dynamic-group DevOpsDynamicGroup to manage generic-artifacts in compartment <compartment_name>
```
- Para enviar notificações, forneça acesso ao pipeline de build:
```
Allow dynamic-group DevOpsDynamicGroup to use ons-topics in compartment <compartment_name>
```

Criar políticas para permitir a configuração de acesso privado no estágio de Build Gerenciado:

Allow dynamic-group DevOpsDynamicGroup to use subnets in compartment <customer subnet compartment>

Allow dynamic-group DevOpsDynamicGroup to use vnics in compartment <customer subnet compartment>

Se algum grupo de segurança de rede (NSGs) for especificado na configuração de acesso privado, a política deverá permitir o acesso aos NSGs:

Allow dynamic-group DevOpsDynamicGroup to use network-security-groups in compartment <customer subnet compartment>

Crie uma política para permitir que o pipeline de build acesse o recurso do pacote Autoridade de Certificação (CA) para verificação de TLS (Transport Layer Security):
```
Allow dynamic-group DevOpsDynamicGroup to use cabundles in compartment <compartment_name>
```

Políticas para Acessar Recursos do ADM

Exemplos de política para acessar recursos do serviço ADM (Application Dependency Management) pelo pipeline de build.

Consulte as instruções para criar políticas usando a Console.

Crie políticas de IAM para permitir que o grupo dinâmico acesse recursos do OCI na tenancy:

Allow dynamic-group DevOpsDynamicGroup to use adm-knowledge-bases in tenancy

Allow dynamic-group DevOpsDynamicGroup to manage adm-vulnerability-audits in tenancy

Políticas de Pipeline de Implantação

Exemplos de política para criar pipelines de implantação e adicionar estágios ao pipeline.

Consulte as instruções para criar políticas usando a Console.

Crie políticas do serviço IAM para permitir que o grupo dinâmico de pipeline de implantação acesse os recursos do seu compartimento:

Implantações de cluster do OKE:

Allow dynamic-group DevOpsDynamicGroup to read all-artifacts in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to manage cluster in compartment <compartment_name>

Serviço Functions:

Allow dynamic-group DevOpsDynamicGroup to manage fn-function in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to read fn-app in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to use fn-invocation in compartment <compartment_name>

Implantações de Grupo de Instâncias:

Allow dynamic-group DevOpsDynamicGroup to read all-artifacts in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to read instance-family in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to use instance-agent-command-family in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to use load-balancers in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to use vnics in compartment <compartment_name>

Para uma implantação de grupo de instâncias, crie também um grupo dinâmico para as seguintes instâncias e dê a esse grupo determinadas permissões:

Crie um grupo dinâmico para as instâncias. Por exemplo, você pode nomear o grupo dinâmico como DeployComputeDynamicGroup e substituir compartmentOCID pelo OCID do seu compartimento:
```
All {instance.compartment.id = 'compartmentOCID'}
```

Crie políticas do serviço IAM para conceder o acesso necessário às instâncias de implantação:

Allow dynamic-group DeployComputeDynamicGroup to use instance-agent-command-execution-family in compartment <compartment_name>
Allow dynamic-group DeployComputeDynamicGroup to read generic-artifacts in compartment <compartment_name>
Allow dynamic-group DeployComputeDynamicGroup to read secret-family in compartment <compartment_name>

Implantações de estágio do Helm:

Allow dynamic-group DevOpsDynamicGroup to read all-artifacts in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to manage cluster in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to read repos in compartment <compartment_name>

Estágio de aprovação:

Allow group pipeline1_approvers to use devops-family in compartment <compartment_name>  where all {request.principal.id = 'ocid1.pipeline1'}
Allow group pipeline2_approvers to use devops-family in compartment <compartment_name>  where all {request.principal.id = 'ocid1.pipeline2'}

Estágio do shell:

Allow dynamic-group DevOpsDynamicGroup to manage compute-container-instances in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to manage compute-containers in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to use vnics in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to use subnets in compartment <compartment_name>
Allow dynamic-group DevOpsDynamicGroup to use dhcp-options in compartment <compartment_name>

Se você estiver usando o grupo de segurança de Rede ao criar o estágio do Shell, adicione a seguinte política:

Allow dynamic-group DevOpsDynamicGroup to use network-security-groups in compartment <compartment_name>

Políticas de Artefato

Exemplos de política para adicionar o estágio Entregar Artefatos ao pipeline de build.

O estágio Entregar Artefatos mapeia as saídas de build do estágio de Build Gerenciado com a versão a ser entregue a um recurso de artefato do DevOps e, em seguida, ao repositório de código do OCI (Oracle Cloud Infrastructure). O DevOps suporta artefatos armazenados nos repositórios do OCI Container Registry e OCI Artifact Registry. Consulte Adicionando um Estágio Entregar Artefatos.

Consulte as instruções para criar políticas usando a Console.

Crie as seguintes políticas do serviço IAM:

Para ver uma lista de todos os repositórios no serviço Container Registry pertencente à tenancy ou a um compartimento específico:

Allow dynamic-group DevOpsDynamicGroup to inspect repos in tenancy

Allow dynamic-group DevOpsDynamicGroup to inspect repos in compartment <compartment_name>

Permitir que artefatos sejam enviados ao Container Registry (OCIR) que pertence à tenancy ou a um compartimento específico:
```
Allow dynamic-group DevOpsDynamicGroup to use repos in tenancy
```
```
Allow dynamic-group DevOpsDynamicGroup to use repos in compartment <compartment_name>
```
Consulte Políticas para Controlar o Acesso ao Repositório.

Capacidade de ver uma lista de artefatos genéricos no Artifact Registry que pertence à tenancy ou a um compartimento específico:

Allow dynamic-group DevOpsDynamicGroup to inspect generic-artifacts in tenancy

Allow dynamic-group DevOpsDynamicGroup to inspect generic-artifacts in compartment <compartment_name>

Permite que artefatos genéricos sejam enviados ao Artifact Registry que pertence à tenancy ou a um compartimento específico:
```
Allow dynamic-group DevOpsDynamicGroup to use generic-artifacts in tenancy
```
```
Allow dynamic-group DevOpsDynamicGroup to use generic-artifacts in compartment <compartment_name>
```
Consulte Políticas do serviço Artifact Registry.

Permita que os usuários extraiam artefatos genéricos que pertencem à tenancy ou a um compartimento específico:

Allow dynamic-group DevOpsDynamicGroup to read generic-artifacts in tenancy

Allow dynamic-group DevOpsDynamicGroup to read generic-artifacts in compartment <compartment_name>

Acessando o Artifact Registry

O Oracle Cloud Infrastructure Artifact Registry é um serviço de repositório para armazenar, compartilhar e gerenciar pacotes de desenvolvimento de software.

Você pode acessar os artefatos que armazena no Artifact Registry pelo serviço DevOps. Você pode criar uma referência a três tipos de artefatos no Artifact Registry: configurações de implantação do grupo de instâncias, artefatos gerais e manifestos do Kubernetes. Seu administrador deve conceder a permissão read all-artifacts aos recursos do pipeline.

Consulte as instruções para criar políticas usando a console.

Crie uma política do serviço IAM para permitir que o grupo dinâmico acesse os artefatos de um compartimento específico:

Allow dynamic-group DevOpsDynamicGroup to read all-artifacts in compartment <compartment_name>

Para obter mais informações, consulte Políticas do serviço Artifact Registry.

Documentação do Oracle Cloud Infrastructure

Políticas do Serviço IAM do DevOps

Tipos de Recursos e Permissões

Variáveis com Suporte

Variáveis de Mapeamento com Tipos de Recurso

Detalhes para Combinações de Verbo + Tipo de Recurso

Criando uma Política e um Grupo Dinâmico

Política

Grupo Dinâmico

Exemplos de Política

Políticas de Ambiente

Políticas de Repositório de Código

Políticas de Pipeline de Build

Políticas para Acessar Recursos do ADM

Políticas de Pipeline de Implantação

Políticas de Artefato

Acessando o Artifact Registry