Políticas do OCI Cache IAM
Saiba mais sobre as políticas de IAM e os detalhes de permissão necessários para o OCI Cache.
Permissões de Usuário
Para criar ou gerenciar um cluster, os usuários precisam de permissões para acessar a criação e o gerenciamento dos recursos de Rede necessários, além de permissões para criar e gerenciar recursos do OCI Cache.
O exemplo de política a seguir concede essas permissões ao grupo ClusterAdmins:
Allow group ClusterAdmins to manage redis-family in compartment <USER_COMPARTMENT>
Allow group ClusterAdmins to manage virtual-network-family in compartment <USER_COMPARTMENT>Você pode configurar essas permissões com mais granularidade. Consulte Exemplos de Política.
Tipos de Recursos e Permissões
Lista de tipos de recursos do OCI Cache e permissões associadas.
Para designar permissões a todos os recursos do OCI Cache, use o tipo de agregação redis-family. Para obter mais informações, consulte Permissões.
A tabela a seguir lista todos os recursos do redis-family:
| Nome de Família | Tipo de Recurso Individual |
|---|---|
redis-family |
|
Uma política que usa <verb> é igual a gravar uma política com uma instrução redis-family<verb> <resource-type> separada para cada tipo de recurso individual.
| Tipo de Recurso | Permissões |
|---|---|
| redis-clusters |
|
| oci-cache-usuários |
|
| conjuntos de configurações do oci-cache |
|
| redis-solicitações de trabalho |
|
Detalhes para Combinações de Verbo + Tipo de Recurso
Identifique as permissões e operações da API cobertas por cada verbo para recursos do OCI Cache.
O nível de acesso é cumulativo conforme você vai de inspect a read a use a manage. Um sinal de mais (+) em uma célula da tabela indica acesso incremental quando comparado à célula anterior.
Para obter informações sobre como conceder acesso, consulte Permissões.
| Verbos | Permissões | APIs Totalmente Cobertas | APIs Parcialmente Cobertas |
|---|---|---|---|
| inspecionar | REDIS_CLUSTER_INSPECT
|
ListRedisClusters |
nenhum |
read |
|
|
nenhum |
use |
|
|
AttachOciCacheUsers (também precisa de OCI_CACHE_USER_USE)
|
manage |
|
|
CreateRedisCluster (também precisa de OCI_CACHE_CONFIGSET_USE) |
| Verbos | Permissões | APIs Totalmente Cobertas | APIs Parcialmente Cobertas |
|---|---|---|---|
inspect |
OCI_CACHE_USER_INSPECT |
ListOciCacheUsers |
nenhum |
read |
|
|
nenhum |
use |
|
|
AttachOciCacheUsers (também precisa de REDIS_CLUSTER_USE)
|
manage |
|
use+
|
nenhum |
| Verbos | Permissões | APIs Totalmente Cobertas | APIs Parcialmente Cobertas |
|---|---|---|---|
inspect |
OCI_CACHE_CONFIGSET_INSPECT |
ListOciCacheConfigSets
|
nenhum |
read |
|
|
nenhum |
use |
|
read+
|
CreateRedisCluster (também precisa de REDIS_CLUSTER_MANAGE)
|
manage |
|
use+
|
nenhum |
| Verbos | Permissões | APIs Totalmente Cobertas | APIs Parcialmente Cobertas |
|---|---|---|---|
inspect |
REDIS_WORK_REQUEST_INSPECT |
ListWorkRequests |
nenhum |
read |
|
inspect+
|
nenhum |
manage |
|
use+
|
nenhum |
Permissões Exigidas para cada Operação de API
A tabela abaixo lista a operação de API do OCI Cache em uma ordem lógica, agrupada por resource-type.
| Operação de API | Permissões Obrigatórias para Usar a Operação |
|---|---|
ListRedisClusters
|
REDIS_CLUSTER_INSPECT |
GetRedisCluster
|
REDIS_CLUSTER_READ |
CreateRedisCluster |
REDIS_CLUSTER_MANAGE, OCI_CACHE_CONFIGSET_USE |
ListAttachedOciCacheUsers
|
REDIS_CLUSTER_USE |
UpdateRedisCluster
|
REDIS_CLUSTER_USE, OCI_CACHE_CONFIGSET_USE |
ChangeRedisClusterCompartment
|
REDIS_CLUSTER_USE |
DeleteRedisCluster |
REDIS_CLUSTER_MANAGE |
ListOciCacheUsers
|
OCI_CACHE_USER_INSPECT |
GetOciCacheUser |
OCI_CACHE_USER_READ |
CreateOciCacheUser
|
OCI_CACHE_USER_MANAGE |
UpdateOciCacheUser
|
OCI_CACHE_USER_USE |
ChangeOciCacheUserCompartment
|
OCI_CACHE_USER_USE |
DeleteOciCacheUser |
OCI_CACHE_USER_MANAGE |
AttachOciCacheUsers
|
REDIS_CLUSTER_USE, OCI_CACHE_USER_USE |
DetachOciCacheUsers
|
REDIS_CLUSTER_USE, OCI_CACHE_USER_USE |
Generate Token for OCI Cache User
|
REDIS_CLUSTER_USE, OCI_CACHE_USER_USE |
ListOciCacheConfigSets |
OCI_CACHE_CONFIGSET_INSPECT |
GetOciCacheConfigSet |
OCI_CACHE_CONFIGSET_READ |
CreateOciCacheConfigSet |
OCI_CACHE_CONFIGSET_MANAGE |
UpdateOciCacheConfigSet |
OCI_CACHE_CONFIGSET_USE |
ChangeOciCacheConfigSetCompartment |
OCI_CACHE_CONFIGSET_USE |
DeleteOciCacheConfigSet |
OCI_CACHE_CONFIGSET_MANAGE |
ListAssociatedOciCacheClusters |
OCI_CACHE_CONFIGSET_USE |
ListOciCacheDefaultConfigSets |
OCI_CACHE_CONFIGSET_INSPECT |
GetOciCacheDefaultConfigSet |
OCI_CACHE_CONFIGSET_READ |
ListWorkRequests
|
REDIS_WORK_REQUEST_INSPECT |
ListWorkRequestErrors
|
REDIS_WORK_REQUEST_READ |
ListWorkRequestLogs
|
REDIS_WORK_REQUEST_READ |
GetWorkRequest
|
REDIS_WORK_REQUEST_READ |
DeleteWorkRequest |
REDIS_WORK_REQUEST_MANAGE |
Exemplos de Política
- Permite acesso somente para uso a VCNs, compartimentos e sub-redes apenas.
-
Allow group ClusterAdmins to use compartments in tenancy -
Allow group ClusterAdmins to use vcns in compartment <USER_NETWORK_COMPARTMENT_NAME> -
Allow group ClusterAdmins to use subnet in compartment <USER_NETWORK_COMPARTMENT_NAME> -
Allow group ClusterAdmins to use network-security-groups in compartment <USER_NETWORK_COMPARTMENT_NAME> -
Allow group ClusterAdmins to use vcns in compartment <USER_ENGINEERING_COMPARTMENT_NAME>
Observação
As VCNs estão localizadas no compartimento Rede, enquanto os clusters estão no compartimento Engenharia. -
- Permite acesso somente para uso a VNICs no compartimento Engenharia. Por exemplo:
Allow group ClusterAdmins to use VNICs in compartment <USER_ENGINEERING_COMPARTMENT_NAME> - Permite gerenciar permissão para criar ou atualizar pontos finais privados. Por exemplo:
-
Allow group ClusterAdmins to manage redis-family in compartment <USER_ENGINEERING_COMPARTMENT_NAME> -
Allow group ClusterAdmins to manage redis-work-requests in compartment <USER_ENGINEERING_COMPARTMENT_NAME> -
Allow group ClusterAdmins to manage vcns in compartment <USER_NETWORK_COMPARTMENT_NAME> where ALL{ ANY { request.operation = 'CreatePrivateEndpoint', request.operation = 'UpdatePrivateEndpoint', request.operation ='DeletePrivateEndpoint', request.operation = 'EnableReverseConnection', request.operation = 'ModifyReverseConnection', request.operation = 'DisableReverseConnection' } , ANY {request.operation = 'CreateRedisCluster', request.operation = 'DeleteRedisCluster' , request.operation = 'UpdateRedisCluster' } }
-
- (Opcional) Permite o tráfego nas portas Redis. Por exemplo:
Allow group ClusterAdmins to manage security-lists in compartment <USER_NETWORK_COMPARTMENT_NAME> where ANY { request.operation = 'CreateRedisCluster', request.operation = 'DeleteRedisCluster' , request.operation = 'UpdateRedisCluster' }Observação
Se a política não for fornecida, você deverá adicionar regras de segurança e permitir tráfego TCP para portas, 6379.
Allow group ClusterUsers to use redis-clusters in compartment <USER_COMPARTMENT>Allow group CacheUsers to use oci-cache-users in compartment <USER_COMPARTMENT>Allow group ClusterAdmins to manage vcns in compartment <USER_NETWORK_COMPARTMENT_NAME> where ALL{ ANY
{ request.operation = 'CreatePrivateEndpoint', request.operation = 'UpdatePrivateEndpoint', request.operation ='DeletePrivateEndpoint', request.operation = 'EnableReverseConnection', request.operation = 'ModifyReverseConnection', request.operation = 'DisableReverseConnection' }
, ANY {request.operation = 'CreateRedisCluster', request.operation = 'DeleteRedisCluster' , request.operation = 'UpdateRedisCluster', request.operation = 'AttachOciCacheUsers', request.operation = 'DetachOciCacheUsers' } }Allow group ClusterAdmins to manage security-lists in compartment <USER_NETWORK_COMPARTMENT_NAME> where ANY
{ request.operation = 'CreateRedisCluster', request.operation = 'DeleteRedisCluster' , request.operation = 'UpdateRedisCluster', request.operation = 'AttachOciCacheUsers', request.operation = 'DetachOciCacheUsers'}Allow group ClusterConfig to use oci-cache-configsets in compartment <USER_COMPARTMENT>Se você não conhece as políticas, consulte Conceitos Básicos de Políticas e Políticas Comuns.