Strings ACL do Usuário do Cache do OCI
Saiba mais sobre strings ACL (Access Control List) para configurar seus usuários do OCI Cache.
A string de ACL fornecida quando você criou o usuário de cache é uma lista de regras predefinidas que concedem ou revogam permissões de usuário, decidindo quais operações um usuário de cache pode executar. Cada regra ACL especifica permissões para comandos, padrões de chave, canais Pub/Sub e requisitos de autenticação.
A tabela a seguir mostra algumas opções nos comandos ACL:
| Comandos ACL de amostra | |
|---|---|
| Comando | Descrição |
| Autenticação | |
on |
O status do usuário é ativo e pode ser autenticado. |
>mypassword123 |
O usuário deve se autenticar usando a senha mypassword123. |
#hashedPassword |
O usuário deve se autenticar usando a senha plainPassword (em que hashedPassword é o conversor sha-256 de plainPassword). |
| Acesso de Chave | |
allkeys |
O usuário tem acesso a todas as chaves (representado pelo curinga *). |
allkeys +get +set |
O usuário pode recuperar todas as chaves e configurá-las. |
|
O usuário pode recuperar todas as chaves sem defini-las. |
allkeys -get -set |
O usuário não pode recuperar nem definir as chaves. |
~service1:* |
O usuário só tem acesso a chaves que começam com o prefixo service1:. |
| Acesso Pub/Sub | |
allchannels |
O usuário tem acesso a todos os canais Pub/Sub. |
&service1:* |
O usuário só tem acesso a canais Pub/Sub que começam com o prefixo service1:. |
| Acesso ao Comando | |
allcommands |
O usuário pode executar todos os comandos. |
+@write |
O usuário pode executar todos os comandos de gravação. |
-@read |
Todos os comandos de leitura foram negados ao usuário. |
+@read +@write |
O usuário pode executar operações de leitura (como GET, HGET) e operações de gravação (como SET, HSET) |
-@write -@read |
O usuário tem restrição de todas as operações de leitura e gravação. |
+@read -keys |
O usuário pode executar operações de leitura (como GET, HGET), mas é restrito do comando keys. |
+command|info |
O usuário pode obter informações ou detalhes sobre os comandos disponíveis. |
O OCI Cache, como serviço gerenciado, restringe alguns comandos para garantir a estabilidade do sistema e evitar alterações não intencionais no cluster de cache. Não é possível incluir esses comandos restritos na string ACL ao criar ou atualizar um usuário de cache. Estes são os exemplos da configuração de usuário com acesso restrito:
-
user name : service1 Description : user for service1 Authentication Mode : Password Password : mypassword123 Access string : ~service1:* &service1:* +@write -@read user Status : on -
user name : service1 Description : user for service1 Authentication Mode : IAM Access string : ~service1:* &service1:* +@write -@read user Status : on
Embora sua string ACL possa conter @all para um usuário, o Cache do OCI restringe implicitamente os seguintes comandos:
| Comandos ACL Restrita do Cache do OCI | ||
|---|---|---|
acl|cat |
cluster|flushslots |
memory|malloc-stats |
acl|deluser |
cluster|forget |
memory|purge |
acl|dryrun |
cluster|meet |
memory|stats |
acl|genpass |
cluster|replicate |
memory|usage |
acl|getuser |
cluster|reset |
cmigrate |
acl|help |
cluster|saveconfig |
module |
acl|list |
cluster|set-config-epoch |
module|help |
acl|load |
cluster|setslot |
module|list |
acl|log |
config|rewrite |
module|load |
acl|save |
config|set |
module|loadex |
acl|setuser |
failover |
module|unload |
acl|users |
memory |
psync |
cluster|addslots |
memory|doctor |
replicaof |
cluster|addslotsrange |
memory|help |
shutdown |
cluster|bumpepoch |
memory|malloc-stats |
slaveof |
cluster|delslots |
memory|purge |
sync |
cluster|delslotsrange |
memory|stats |
|
cluster|failover |
memory|usage |
|