Documentação do Oracle Cloud Infrastructure

Gerenciamento Isolado de Identidade e Acesso do Compute Cloud@Customer

O Identity and Access Management Service (IAM) no Oracle Compute Cloud@Customer Isolado fornece controle sobre quais usuários têm acesso a quais recursos em sua tenancy de infraestrutura local.

Você pode criar usuários, grupos de usuários e grupos dinâmicos (grupos de instâncias) e criar políticas para permitir diferentes tipos de acesso a recursos especificados em compartimentos especificados.

É tarefa de um administrador de tenancy controlar qual tipo de acesso um grupo de usuários tem e a quais recursos específicos esse acesso se aplica. A responsabilidade de gerenciar e manter o controle de acesso pode ser delegada a outros usuários privilegiados, por exemplo, concedendo a eles acesso total a um subcompartimento da tenancy.

Além dos usuários, os controladores de instância também têm autorização para gerenciar recursos.

Tarefa

Links

Os compartimentos são os principais blocos de construção para organizar e controlar o acesso aos recursos da nuvem. Os usuários podem criar compartimentos para separar o acesso aos recursos.

Sua tenancy é o compartimento raiz no qual você pode criar recursos de nuvem e outros compartimentos. Você pode criar hierarquias de compartimentos que tenham até seis níveis de profundidade. Você pode limitar o acesso a recursos de compartimento a grupos de usuários especificados por meio de políticas.

Criando e Gerenciando Compartimentos

Uma tenancy tem um usuário administrativo em um grupo de administradores e uma política permite que o grupo de administradores gerencie a tenancy. Um administrador cria contas para outros usuários.

Para conceder aos usuários acesso a apenas um subconjunto de recursos na tenancy ou em outro compartimento, ou para fornecer acesso de gerenciamento inferior ao total a alguns recursos, o administrador da tenancy adiciona contas de usuário a um ou mais grupos e cria políticas para esses grupos.

Como administrador da tenancy, ao criar uma conta de usuário, forneça uma senha temporária ao usuário para que ele possa definir sua própria senha e ativar sua conta.

Criando e Gerenciando Contas de Usuário

O acesso aos recursos da nuvem é concedido a grupos, não diretamente aos usuários. Uma conta de usuário não é automaticamente membro de nenhum grupo. Adicione o usuário a um grupo e, em seguida, crie uma política de acesso para esse grupo.

Um grupo é um conjunto de usuários que têm o mesmo tipo de acesso ao mesmo conjunto de recursos de nuvem. Organize os usuários em grupos de acordo com quais compartimentos e recursos eles precisam acessar e como eles precisam trabalhar com esses recursos. Um usuário pode ser membro de mais de um grupo.

Criando e Gerenciando Grupos de Usuários

Se sua organização já usar o Microsoft Active Directory para gerenciar credenciais de usuário, você poderá configurar a federação para que os usuários possam fazer log-in no Compute Cloud@Customer Isolado usando as mesmas credenciais.

Federando com o Microsoft Active Directory

Um controlador de instâncias é uma instância de computação autorizada a executar ações em recursos de serviço. Os aplicativos em execução em um controlador de instâncias podem chamar serviços e gerenciar recursos semelhantes à forma como os usuários Isolados do Compute Cloud@Customer chamam serviços para gerenciar recursos, mas sem a necessidade de configurar credenciais do usuário.

Para conceder autorizações a um controlador de instâncias, inclua a instância como membro de um grupo dinâmico.

Configurando Instâncias para Serviços de Chamada

Grupos dinâmicos são grupos de instâncias de computação que atendem aos critérios definidos para o grupo. A associação é alterada à medida que as instâncias são atendidas recentemente ou não atendem mais aos critérios.

Designe políticas para definir permissões para aplicativos em execução nas instâncias de um grupo dinâmico.

Criando e Gerenciando Grupos Dinâmicos

A premissa de segurança base é que todo o acesso é negado, a menos que a permissão explícita seja concedida. Uma política é um conjunto nomeado de instruções de política, em que cada instrução de política concede permissão aos usuários para acessar recursos.

Quando você cria uma política, ela deve ser anexada a um compartimento. O local em que você a anexa controla quem pode modificá-la. Os compartimentos herdam políticas de seu compartimento pai.

Todas as instruções de política são gravadas usando a mesma sintaxe geral:

Allow <subject> to <verb> <resource-type> in <location> where <conditions>

Gerenciando Políticas

Sintaxe da Instrução de Política

A marcação permite adicionar metadados a recursos aplicando pares de chave/valor.

  • As tags de formato livre permitem que os usuários incluam informações relevantes nos metadados do recurso de forma rápida e conveniente.

  • As tags definidas permitem impor o uso de chaves e valores específicos. As tags relacionadas podem ser agrupadas em um namespace de tag comum.

Você pode usar padrões de tag para aplicar automaticamente uma tag definida a um recurso quando ele for criado. Tags de recursos especiais também podem ser usadas para estender a funcionalidade.

Aplicando Tags a Recursos

Configurando Padrões de Tag

Estender a Funcionalidade com Tags de Recurso