Documentação do Oracle Cloud Infrastructure

Controlando Privilégios de Acesso do Administrador

É concedido a um administrador privilégios de acesso com base nos grupos de autorização dos quais a conta é membro. A política anexada a um grupo de autorização define o acesso a recursos e funções. Sem uma política válida, os membros do grupo de autorização não têm privilégios de acesso.

Trabalhando com grupos de autorização

Ao configurar o acesso administrativo, você pode usar os grupos de autorização padrão ou criar um novo. Os grupos padrão são:

  • Inicial

    Os usuários têm acesso limitado ao Service Enclave. Eles estão autorizados a criar a conta de administrador inicial e exibir informações sobre o appliance, mas não têm acesso de leitura a nenhum outro recurso.

  • OCIApp

    Os usuários têm acesso específico a operações relacionadas ao uso de APIs e aplicativos da OCI.

  • OracleServiceAdmin

    Os usuários têm acesso específico às operações relacionadas ao uso de serviços do Private Cloud Appliance.

  • SuperAdmin

    Os usuários têm acesso irrestrito ao Service Enclave. Eles estão autorizados a executar todas as operações disponíveis, incluindo a configuração de outras contas de administrador e o gerenciamento de grupos e famílias de autorização.

Observação

Existem outros grupos de autorização internos. Por exemplo, o grupo Day0 fornece acesso específico a operações relacionadas à configuração inicial do appliance.

Em sistemas existentes atualizados de uma versão mais antiga, os grupos de autorização legados não são removidos. Para continuidade, as famílias de autorização e as políticas são criadas durante o processo de upgrade para garantir que os mesmos privilégios de acesso sejam mantidos.

Usando a UI da Web de Serviço

  1. Abra o menu de navegação e clique em Grupo de Autorizações.

  2. Clique em Criar Grupo.

  3. Informe um nome com 1 a 255 caracteres e clique em Criar Grupo de Autorização.

    A página de detalhes do novo grupo de autorização é exibida.

  4. Clique em Adicionar Declaração de Política. A janela Form Declaração da Política de Autorização é exibida.

    Observação

    Para obter informações, consulte Escrevendo Instruções de Política.

  5. Insira um nome com de 1 a 255 caracteres.

  6. Selecione uma ação: Inspecionar, Ler, Usar ou Gerenciar.

  7. Selecione um aplicativo de política:

    • Recursos - Informe os recursos aos quais deseja que a política se aplique.

    • Família de Funções - Selecione uma no menu suspenso.

    • Família de Recursos - Selecione uma no menu suspenso.

    Observação

    Para obter informações, consulte Como Trabalhar com Famílias de Autorização.

  8. Clique em Create Policy Statement (Criar Instrução de Política).

    A nova instrução de política é exibida na página de detalhes. Adicione até 100 instruções de política adicionais.

Usando a CLI do Serviço

  1. Criar um novo grupo de autorização.

    PCA-ADMIN> create AuthorizationGroup name=authors
JobId: 14ea4d22-acf1-455d-a7a1-ec0a30f29671
Data:
id:c672d9c6-90ec-4776-bccb-caae128e86db name:authors

  2. Exiba a ajuda do comando create authpolicyStatement.

    PCA-ADMIN> create authpolicyStatement ?
*action
activeState
functionFamily
resourceFamily
resources
*on
  3. Digite showcustomcmds ? para ver opções de recursos ou digite showallcustomcmds para exibir opções de funções, por exemplo:
    PCA-ADMIN> showcustomcmds ?
                          ASRBundle
                          ASRPhonehome
                          BackupJob
                          CnUpdateManager
                          ComputeInstance
                          ComputeNode
                          [...]

PCA-ADMIN> showallcustomcmds
    Operation Name: <Related Object(s)>
    -----------------------------------
    [...]
    backup:  BackupJob
    changeIlomPassword:  ComputeNode, ManagementNode
    changePassword:  ComputeNode, LeafSwitch, ManagementNode, ManagementSwitch, SpineSwitch, User, ZFSAppliance
    clearFirstBootError:  NetworkConfig
    configZFSAdDomain:  ZfsAdDomain
    configZFSAdWorkgroup:  ZfsAdDomain
    createAdminAccount:  
    createUserInGroup:  User
    deletePlatformImage:  PlatformImage
    deprovision:  ComputeNode
    disableVmHighAvailability:  PcaSystem
    drAddComputeInstance:  ComputeInstance
    drAddSiteMapping:  DrSiteMapping
    [...]
    Observação

    Para obter mais informações sobre comandos e sintaxe, consulte Usando a CLI do Serviço.

  4. Crie uma instrução de política usando resources, functionFamily ou resourceFamily.

    Observação

    Para obter mais informações, consulte Escrevendo Instruções de Política e Trabalhando com Famílias de Autorização.

    PCA-ADMIN> create authpolicyStatement action=manage resources=ComputeNode on authorizationGroup id=c672d9c6-90ec-4776-bccb-caae128e86db
    PCA-ADMIN> create authpolicyStatement action=manage authresourceFamily=rackops on authorizationGroup id=c672d9c6-90ec-4776-bccb-caae128e86db
    PCA-ADMIN> create authpolicyStatement action=manage authfunctionFamily=computeops on authorizationGroup id=c672d9c6-90ec-4776-bccb-caae128e86db

  5. Exiba os detalhes do grupo de autorização.

    PCA-ADMIN> show authorizationGroup name=authors
Data:
Id = c672d9c6-90ec-4776-bccb-caae128e86db
Type = AuthorizationGroup
Name = authors
Policy Statements 1 = dea601bf-9bfc-4b2c-a135-d98378e69c87(ACTIVE)-Allow authors to MANAGE ComputeNode
Is Predefined Authorization Group = false
AuthPolicyStatementIds 1 = id:4adde579-1f6a-49eb-a783-9478465f135e type:AuthPolicyStatement name:
AuthPolicyStatementIds 2 = id:be498a4e-3e0a-4cfa-9013-188542adb8e3 type:AuthPolicyStatement name:

Para desativar uma instrução de política:

  1. Exiba a ajuda do comando edit authpolicyStatement.

    PCA-ADMIN> edit authpolicyStatement ?
id=<object identifier>

  2. Localize o ID da instrução de política usando o comando show authorizationGroup name=group-name.

    PCA-ADMIN> show authorizationGroup name=authors
[...]
Policy Statements 1 = dea601bf-9bfc-4b2c-a135-d98378e69c87(ACTIVE)-Allow authors to MANAGE ComputeNode
Is Predefined Authorization Group = false
AuthPolicyStatementIds 1 = id:4adde579-1f6a-49eb-a783-9478465f135e type:AuthPolicyStatement name:
AuthPolicyStatementIds 2 = id:be498a4e-3e0a-4cfa-9013-188542adb8e3 type:AuthPolicyStatement name:

  3. Usando o ID da instrução de política (AuthPolicyStatementIds Number = id:unique-identifier), exiba o comando para ativar ou desativar a instrução de política.

    PCA-ADMIN> edit authpolicyStatement id=be498a4e-3e0a-4cfa-9013-188542adb8e3 ?
activeState

  4. Desative a instrução de política.

    PCA-ADMIN> edit authpolicyStatement id=be498a4e-3e0a-4cfa-9013-188542adb8e3 activeState=inactive
JobId: 842c444e-060d-461d-a4e0-c9cdd9f1d3c3

  5. Verifique se a instrução de política está inativa.

    PCA-ADMIN> show authorizationGroup name=authors
Data:
Id = c672d9c6-90ec-4776-bccb-caae128e86db
Type = AuthorizationGroup
Name = authors
Policy Statements 1 = 4adde579-1f6a-49eb-a783-9478465f135e(ACTIVE)-Allow authors to MANAGE ComputeNode
Policy Statements 2 = be498a4e-3e0a-4cfa-9013-188542adb8e3(INACTIVE)-Allow authors to MANAGE ComputeNode
Is Predefined Authorization Group = false
AuthPolicyStatementIds 1 = id:4adde579-1f6a-49eb-a783-9478465f135e type:AuthPolicyStatement name:
AuthPolicyStatementIds 2 = id:be498a4e-3e0a-4cfa-9013-188542adb8e3 type:AuthPolicyStatement name:

Trabalhando com Famílias de Autorização

O uso de uma família de autorização permite criar políticas que podem ser reutilizadas entre grupos de autorização. Os grupos de autorização padrão usam políticas predefinidas, que são criadas usando famílias de autorização. Há dois tipos de famílias de autorização que você pode usar em declarações de política:

  • Famílias de recursos são usadas para definir recursos do appliance, como servidores, armazenamento e infraestrutura de rede.

  • As famílias de funções são usadas para definir funções do appliance, como compartimento, usuário e gerenciamento de computação.

A tabela a seguir lista as famílias de autorização predefinidas e como elas são usadas nas políticas de grupo de autorização padrão.

Família de Autorização

Tipo

Usado em políticas para...

Os Usuários do Grupo Podem...

Day0

Família de Funções

Grupo de autorização SuperAdmin

  • definir parâmetros de sistema, roteamento estático, roteamento dinâmico e rede Day0

  • obter integridade do ILOM, do nó de computação e do nó de gerenciamento do ZFS

  • desbloquear e bloquear o appliance

Inicial

Família de Funções

Grupo de autorização inicial

criar a conta de administrador inicial

OCIApp

Família de Funções

Grupo de autorização SuperAdmin

criar conta de aplicativos do OCI

OracleServiceAdmin

Família de Funções

Grupo de autorização SuperAdmin

criar conta do Oracle Services

SuperAdmin

Família de Funções

Grupo de autorização SuperAdmin

gerenciar todas as funções do appliance

Day0

Família de Recursos

Grupo de autorização SuperAdmin

ler informações do sistema e configuração de rede

Inicial

Família de Recursos

Grupo de autorização inicial

ler informações do sistema

OCIApp

Família de Recursos

Grupo de autorização SuperAdmin

gerenciar aplicativos da OCI

OracleServiceAdmin

Família de Recursos

Grupo de autorização SuperAdmin

gerenciar serviços Oracle

SuperAdmin

Família de Recursos

Grupo de autorização SuperAdmin

 gerenciar todos os recursos no appliance
Usando a UI da Web de Serviço

  1. Abra o menu de navegação e clique em Famílias de Autorização.

  2. Clique em Criar família de autorização.

  3. Selecione o tipo de família de autorização: Família de Funções ou Família de Recursos.

  4. Informe um nome.

  5. Informe os recursos a serem incluídos na família.

    Observação

    Para obter informações sobre como localizar as opções de recurso e função, consulte as instruções da CLI.

  6. Clique em Criar família.

Usando a CLI do Serviço

Para criar uma família de funções de autorização:

  1. Exiba as opções do comando create authfunctionFamily.

    PCA-ADMIN> create authfunctionFamily ?
*name
*resources

  2. Digite showallcustomcmds para exibir opções para funções, por exemplo:

    PCA-ADMIN> showallcustomcmds
    Operation Name: <Related Object(s)>
    -----------------------------------
    [...]
    backup:  BackupJob
    changeIlomPassword:  ComputeNode, ManagementNode
    changePassword:  ComputeNode, LeafSwitch, ManagementNode, ManagementSwitch, SpineSwitch, User, ZFSAppliance
    clearFirstBootError:  NetworkConfig
    configZFSAdDomain:  ZfsAdDomain
    configZFSAdWorkgroup:  ZfsAdDomain
    createAdminAccount:  
    createUserInGroup:  User
    deletePlatformImage:  PlatformImage
    deprovision:  ComputeNode
    disableVmHighAvailability:  PcaSystem
    drAddComputeInstance:  ComputeInstance
    drAddSiteMapping:  DrSiteMapping
    [...]

  3. Crie a família de funções de autorização.

    PCA-ADMIN> create authfunctionFamily name=cnops resources=ComputeNode.reset,ComputeNode.start,ComputeNode.stop
Command: create authfunctionFamily name=cnops resources=ComputeNode.reset,ComputeNode.start,ComputeNode.stop
JobId: 4cd37ea7-161f-4b11-952f-ffa992a37d5f
Data:
id:ae0216da-20d1-4e03-bf65-c7898c6079b2 name:cnops

  4. Liste as famílias de funções de autorização.

    PCA-ADMIN> list authfunctionFamily
Data:
id name
-- ----
7f1ac922-571a-4253-a120-e5d15a877a1e Initial
2185058a-3355-48be-851c-2fa0e5a896bd SuperAdmin
7f092ddd-1a51-4a17-b4e2-96c4ece005ec Day0
ae0216da-20d1-4e03-bf65-c7898c6079b2 cnops

Para criar uma família de recursos de autorização:

  1. Exiba as opções do comando create authresourceFamily.

    PCA-ADMIN> create authresourceFamily ?
*name
*resources

  2. Digite showcustomcmds ? para ver opções de recursos, por exemplo:

    PCA-ADMIN> showcustomcmds ?
                          ASRBundle
                          ASRPhonehome
                          BackupJob
                          CnUpdateManager
                          ComputeInstance
                          ComputeNode
                          [...]
    Observação

    Para obter mais informações sobre comandos e sintaxe, consulte Usando a CLI do Serviço.

  3. Crie a família de recursos de autorização.

    PCA-ADMIN> create authresourceFamily name=rackops resources=ComputeNode,RackUnit
JobId: eb49ac48-e3f3-4c2f-bf11-d5d18a066788
Data:
id:b54e4413-15bd-440e-b399-e2ab75f17c35 name:rackops

  4. Liste as famílias de recursos de autorização.

    PCA-ADMIN> list authresourceFamily
Data:
id name
-- ----
9aefc9c8-556d-42a4-9369-d7cdf0bf0c52 SuperAdmin
b591cc7b-b117-449e-af35-cb4fc6f0c213 Day0
87633db2-d724-45b6-97a5-30babb6c4869 cnops
b54e4413-15bd-440e-b399-e2ab75f17c35 rackops
a45c08b4-f895-4da8-87f4-c81ca0b2bf27 Initial

Escrevendo Instruções de Política

Políticas são necessárias para que os grupos de autorização funcionem. É possível criar políticas individuais ou usar famílias de autorização. Você pode criar instruções de política na IU da Web do Serviço ou na CLI do Serviço. Cada instrução de política deve conter o seguinte:

  • Nome - 1 a 255 caracteres

  • Ação - Inspecionar, Ler, Usar ou Gerenciar

  • Família de Recursos/Autorizações - Um ou mais recursos ou uma família de autorizações

  • (Somente CLI de Serviço) Grupo de Autorização - o ID do grupo

Observação

Não é possível modificar uma instrução de política. Se você precisar fazer alterações em uma instrução de política, deverá excluí-la e recriá-la.

A tabela a seguir contém informações sobre as ações que você pode executar em um recurso.

Ação

Tipo de Acesso

inspect

Capacidade de listar recursos, sem acesso a informações confidenciais ou metadados especificados por usuário que possam ser parte desse recurso.

read

Inclui inspect mais a capacidade de obter metadados especificados do usuário e o próprio recurso real.

use

Inclui read, mais a capacidade de trabalhar com recursos existentes. As ações variam por tipo de recurso.

manage

Inclui todas as permissões para o recurso.