Políticas do Secure Desktops

Cada serviço do Oracle Cloud Infrastructure se integra ao serviço IAM (Identity and Access Management) para autenticação e autorização de todas as interfaces (Console, SDK ou CLI e API REST).

Observação

Por exemplo, políticas do Secure Desktops e informações sobre os grupos dinâmicos necessários, consulte Criando Políticas para o Serviço e Criando Políticas para Autorização do Usuário.

O administrador da tenancy deve criar políticas no nível da tenancy ou no nível do compartimento para permitir o Secure Desktops e usar os recursos necessários. Eles também precisam configurar grupos, compartimentos e políticas que controlem o acesso do usuário ao serviço. Consulte Criando Políticas para o Serviço e Criando Políticas para Autorização do Usuário.

Para obter uma introdução às políticas, consulte Introdução a Políticas.

Observação

A criação de uma política requer privilégios adequados. Trabalhe com o administrador da tenancy para obter os privilégios ou para que as políticas sejam criadas para você.

Políticas Obrigatórias do Serviço IAM

Dentro do compartimento raiz

Allow dynamic-group <dynamic-group> to {DOMAIN_INSPECT, DOMAIN_READ} in tenancy 
Allow dynamic-group <dynamic-group> to inspect users in tenancy 
Allow dynamic-group <dynamic-group> to inspect compartments in tenancy
Allow dynamic-group <dynamic-group> to use tag-namespaces in tenancy
Dentro do compartimento raiz ou do compartimento acima dos compartimentos do pool de desktops que você gerencia
Allow dynamic-group <dynamic-group> to use virtual-network-family in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to manage virtual-network-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to read instance-images in compartment <image-compartment>
Allow dynamic-group <dynamic-group> to manage instance-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage volume-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to manage dedicated-vm-hosts in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage orm-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to {VNIC_CREATE, VNIC_DELETE} in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage instance-configurations in compartment <desktop-compartment>
Observação

  • Se <desktops-network-compartment> não for filho dos compartimentos acima dos compartimentos do pool de desktops, a política deverá ser especificada no compartimento raiz.
  • Se você estiver planejando criar pools de desktop privados, políticas adicionais poderão ser necessárias. Para obter mais informações, consulte Ativando o Acesso à Área de Trabalho Privada.

Para o administrador da área de trabalho

Allow group <desktop-administrators> to manage desktop-pool-family in compartment <desktop-compartment>
Allow group <desktop-administrators> to read all-resources in compartment <desktop-compartment>
Allow group <desktop-administrators> to use virtual-network-family in compartment <desktops-network-compartment>
Allow group <desktop-administrators> to use instance-images in compartment <images-compartment>

Para o usuário da área de trabalho

Todos os pools de desktop em um compartimento:

Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>

Pools de desktop específicos dentro de um compartimento:

Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>
                where all {target.desktoppool.name = '<pool_name>', target.desktoppool.id = '<pool_ocid>'}

Detalhes da Política do Secure Desktops

Em uma instrução de política, você usa verbos, tipos de recursos e variáveis para conceder acesso a serviços e recursos. Você também pode usar permissões ou operações de API para reduzir o escopo de acesso concedido por um verbo específico.

Para obter informações sobre permissões, consulte Permissões.

Resource-Type Agregado

desktop-pool-family

Resource-Types Individuais

desktop-pool

desktop

variáveis suportadas

Operações para Este Tipo de Recurso...

Podem Usar Estas Variáveis...

Tipo de Variável

Comentários
desktop-pool target.desktopPool.id Entidade (OCID)
desktop target.desktop.id Entidade (OCID)

Detalhes das Combinações de Verbo e Tipo de Recurso

As tabelas a seguir mostram as permissões e operações de API abrangidas por cada verbo. O nível de acesso é cumulativo conforme você vai de inspect > read > use > manage. Um sinal de mais (+) em uma célula da tabela indica acesso incremental em comparação com a célula diretamente acima, enquanto "nenhum extra" indica nenhum acesso incremental.

desktop-pool
Verbos Permissões APIs Totalmente Incluídas APIs Parcialmente Incluídas

inspecionar

DESKTOP_POOL_INSPECT

ListDesktopPools

nenhum

leitura

INSPECT +

DESKTOP_POOL_READ

GetDesktopPool

ListDesktopPoolVolumes

ListDesktopPoolDesktops

ListDesktopPoolErrors

nenhum

use

READ +

UpdateDesktopPool

StartDesktopPool

StopDesktopPool

nenhum

gerenciar

USE +

DESKTOP_POOL_CREATE

DESKTOP_POOL_DELETE

DESKTOP_POOL_MOVE

CreateDesktopPool

DeleteDesktopPool

ChangeDesktopPoolCompartment

nenhum

área de trabalho
Verbos Permissões APIs Totalmente Incluídas APIs Parcialmente Incluídas

inspecionar

DESKTOP_INSPECT

ListDesktops

nenhum

leitura

INSPECT +

DESKTOP_READ

GetDesktop

ListDesktopErrors

nenhum

use

READ +

DESKTOP_UPDATE

UpdateDesktop

StartDesktop

StopDesktop

nenhum

gerenciar

USE +

DESKTOP_DELETE

DeleteDesktop

nenhum

Permissões Exigidas para cada Operação de API

Operação de API Permissões Obrigatórias para Usar a Operação
ListDesktopPools DESKTOP_POOL_INSPECT
CreateDesktopPool DESKTOP_POOL_CREATE
GetDesktopPool DESKTOP_POOL_READ
DeleteDesktopPool DESKTOP_POOL_DELETE
UpdateDesktopPool DESKTOP_POOL_UPDATE
ChangeDesktopPoolCompartment DESKTOP_POOL_MOVE
StartDesktopPool DESKTOP_POOL_UPDATE
StopDesktopPool DESKTOP_POOL_UPDATE
ListDesktopPoolVolumes DESKTOP_POOL_READ
ListDesktopPoolDesktops DESKTOP_POOL_READ
ListDesktopPoolErrors DESKTOP_POOL_READ
ListDesktops DESKTOP_INSPECT
GetDesktop DESKTOP_READ
DeleteDesktop DESKTOP_DELETE
UpdateDesktop DESKTOP_UPDATE
StartDesktop DESKTOP_UPDATE
StopDesktop DESKTOP_UPDATE
ListDesktopErrors DESKTOP_READ