Políticas do Secure Desktops
Cada serviço do Oracle Cloud Infrastructure se integra ao serviço IAM (Identity and Access Management) para autenticação e autorização de todas as interfaces (Console, SDK ou CLI e API REST).
Por exemplo, políticas do Secure Desktops e informações sobre os grupos dinâmicos necessários, consulte Criando Políticas para o Serviço e Criando Políticas para Autorização do Usuário.
O administrador da tenancy deve criar políticas no nível da tenancy ou no nível do compartimento para permitir o Secure Desktops e usar os recursos necessários. Eles também precisam configurar grupos, compartimentos e políticas que controlem o acesso do usuário ao serviço. Consulte Criando Políticas para o Serviço e Criando Políticas para Autorização do Usuário.
Para obter uma introdução às políticas, consulte Introdução a Políticas.
A criação de uma política requer privilégios adequados. Trabalhe com o administrador da tenancy para obter os privilégios ou para que as políticas sejam criadas para você.
Políticas Obrigatórias do Serviço IAM
Dentro do compartimento raiz
Allow dynamic-group <dynamic-group> to {DOMAIN_INSPECT, DOMAIN_READ} in tenancy
Allow dynamic-group <dynamic-group> to inspect users in tenancy
Allow dynamic-group <dynamic-group> to inspect compartments in tenancy
Allow dynamic-group <dynamic-group> to use tag-namespaces in tenancy
Dentro do compartimento raiz ou do compartimento acima dos compartimentos do pool de desktops que você gerenciaAllow dynamic-group <dynamic-group> to use virtual-network-family in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to manage virtual-network-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to read instance-images in compartment <image-compartment>
Allow dynamic-group <dynamic-group> to manage instance-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage volume-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage dedicated-vm-hosts in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage orm-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to {VNIC_CREATE, VNIC_DELETE} in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage instance-configurations in compartment <desktop-compartment>
- Se <desktops-network-compartment> não for filho dos compartimentos acima dos compartimentos do pool de desktops, a política deverá ser especificada no compartimento raiz.
- Se você estiver planejando criar pools de desktop privados, políticas adicionais poderão ser necessárias. Para obter mais informações, consulte Ativando o Acesso à Área de Trabalho Privada.
Para o administrador da área de trabalho
Allow group <desktop-administrators> to manage desktop-pool-family in compartment <desktop-compartment>
Allow group <desktop-administrators> to read all-resources in compartment <desktop-compartment>
Allow group <desktop-administrators> to use virtual-network-family in compartment <desktops-network-compartment>
Allow group <desktop-administrators> to use instance-images in compartment <images-compartment>
Para o usuário da área de trabalho
Todos os pools de desktop em um compartimento:
Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>
Pools de desktop específicos dentro de um compartimento:
Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>
where all {target.desktoppool.name = '<pool_name>', target.desktoppool.id = '<pool_ocid>'}
Detalhes da Política do Secure Desktops
Em uma instrução de política, você usa verbos, tipos de recursos e variáveis para conceder acesso a serviços e recursos. Você também pode usar permissões ou operações de API para reduzir o escopo de acesso concedido por um verbo específico.
Para obter informações sobre permissões, consulte Permissões.
Resource-Type Agregado
desktop-pool-family
Resource-Types Individuais
desktop-pool
desktop
variáveis suportadas
Operações para Este Tipo de Recurso... |
Podem Usar Estas Variáveis... |
Tipo de Variável |
Comentários |
---|---|---|---|
desktop-pool |
target.desktopPool.id |
Entidade (OCID) | |
desktop |
target.desktop.id |
Entidade (OCID) |
Detalhes das Combinações de Verbo e Tipo de Recurso
As tabelas a seguir mostram as permissões e operações de API abrangidas por cada verbo. O nível de acesso é cumulativo conforme você vai de inspect
> read
> use
> manage
. Um sinal de mais (+) em uma célula da tabela indica acesso incremental em comparação com a célula diretamente acima, enquanto "nenhum extra" indica nenhum acesso incremental.
Verbos | Permissões | APIs Totalmente Incluídas | APIs Parcialmente Incluídas |
---|---|---|---|
inspecionar |
|
|
nenhum |
leitura |
INSPECT +
|
|
nenhum |
use |
READ + |
|
nenhum |
gerenciar |
USE +
|
|
nenhum |
Verbos | Permissões | APIs Totalmente Incluídas | APIs Parcialmente Incluídas |
---|---|---|---|
inspecionar |
|
|
nenhum |
leitura |
INSPECT +
|
|
nenhum |
use |
READ +
|
|
nenhum |
gerenciar |
USE +
|
|
nenhum |
Permissões Exigidas para cada Operação de API
Operação de API | Permissões Obrigatórias para Usar a Operação |
---|---|
ListDesktopPools |
DESKTOP_POOL_INSPECT |
CreateDesktopPool |
DESKTOP_POOL_CREATE |
GetDesktopPool |
DESKTOP_POOL_READ |
DeleteDesktopPool |
DESKTOP_POOL_DELETE |
UpdateDesktopPool |
DESKTOP_POOL_UPDATE |
ChangeDesktopPoolCompartment |
DESKTOP_POOL_MOVE |
StartDesktopPool |
DESKTOP_POOL_UPDATE |
StopDesktopPool |
DESKTOP_POOL_UPDATE |
ListDesktopPoolVolumes |
DESKTOP_POOL_READ |
ListDesktopPoolDesktops |
DESKTOP_POOL_READ |
ListDesktopPoolErrors |
DESKTOP_POOL_READ |
ListDesktops |
DESKTOP_INSPECT |
GetDesktop |
DESKTOP_READ |
DeleteDesktop |
DESKTOP_DELETE |
UpdateDesktop |
DESKTOP_UPDATE |
StartDesktop |
DESKTOP_UPDATE |
StopDesktop |
DESKTOP_UPDATE |
ListDesktopErrors |
DESKTOP_READ |