Documentação do Oracle Cloud Infrastructure

Acessando Recursos Relacionados ao Cluster entre Tenancies

Descubra sobre as políticas do serviço IAM necessárias para permitir que grupos de usuários em uma tenancy acessem recursos relacionados ao cluster em outras tenancies.

Quando quiser que grupos de usuários em uma tenancy acessem recursos em outras tenancies, crie políticas entre tenancies.

Se você não conhece as políticas, consulte Conceitos Básicos de Políticas e consulte:

Políticas Intertenancy

Sua organização pode compartilhar recursos relacionados ao cluster com outra organização que tem sua própria tenancy. Pode ser outra unidade de negócios da sua empresa, um cliente da sua empresa, uma empresa que fornece serviços para sua empresa e assim por diante. Em casos como esses, você precisa de políticas entre tenancies, além das políticas necessárias de usuário e serviço descritas em Configuração de Política para Criação e Implantação de Cluster.

Endossar, Admitir e Definir instruções

Para acessar e compartilhar recursos entre duas locações, os administradores de ambas as locações precisam criar instruções de política especiais que declarem explicitamente os recursos que podem ser acessados e compartilhados. Essas instruções especiais usam as palavras Define, Endorse e Admit.

Veja aqui uma visão geral dos verbos especiais usados em instruções intertenancy:

  • Endorse: Informa o conjunto geral de habilidades que um grupo em sua própria tenancy pode executar em outras tenancies. A instrução Endorse sempre pertence à tenancy com o grupo de usuários que cruzam os limites em outra tenancy para trabalhar com os recursos dessa tenancy. Nos exemplos, essa tenancy é referida como a tenancy de origem.
  • Admit: Indica o tipo de capacidade em sua própria tenancy que você deseja conceder a um grupo de outra tenancy. A instrução Admit pertence à tenancy que está concedendo "admissão" à tenancy. A instrução Admit identifica o grupo de usuários que requer acesso a recursos da tenancy de origem e identificado com uma instrução Endorse correspondente. Nos exemplos, essa tenancy é chamada de tenancy de destino.

  • Define: Designa um alias a um OCID da tenancy para instruções de política Endorse e Admit. Uma instrução Define também é necessária na tenancy de destino para designar um alias ao OCID do grupo do serviço IAM de origem para instruções Admit.

    As instruções Define devem ser incluídas na mesma entidade de política que a instrução Endorse ou Admit.

As instruções Endorse e Admit funcionam juntas, mas residem em políticas separadas, uma em cada tenancy. Sem uma instrução correspondente que especifique o acesso, uma determinada instrução Endorse ou Admit não concede acesso. É necessário um acordo entre ambas as tenancies.

Políticas da origem

O administrador de origem cria instruções de política que endossam um grupo do serviço IAM de origem para gerenciar recursos em uma tenancy de destino.

Este é um exemplo de uma instrução de política ampla que endossa o grupo do serviço IAM OKE-Admins para fazer qualquer coisa com todos os recursos relacionados ao cluster em qualquer tenancy:

Endorse group OKE-Admins to manage cluster-family in any-tenancy

Para permitir que o grupo de origem do serviço IAM crie clusters na tenancy de destino, o administrador de origem também deve criar instruções de política para endossar o grupo a gerenciar redes virtuais e inspecionar compartimentos. Por exemplo:

Endorse group OKE-Admins to manage virtual-network-family in any-tenancy
Endorse group OKE-Admins to inspect compartments in any-tenancy

Para gravar uma política que reduz o escopo do acesso da tenancy apenas à tenancy de destino, o administrador de origem deve obter o OCID da tenancy de destino do administrador de destino e incluir esse OCID em uma instrução de política. Este é um exemplo de instruções de política que endossa o grupo do serviço IAM OKE-Admins para gerenciar recursos relacionados ao cluster somente em DestinationTenancy:

Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group OKE-Admins to manage cluster-family in tenancy DestinationTenancy

Políticas de destino

O administrador de destino cria instruções de política que:

  • Defina a tenancy de origem e o grupo do serviço IAM que pode acessar recursos na tenancy de destino. O administrador de origem deve fornecer os OCIDs da tenancy de origem e do grupo do IAM de origem.
  • Admita o grupo do serviço IAM de origem para acessar recursos relacionados ao cluster na tenancy de destino.

Veja aqui um exemplo de instruções de política que admitem o grupo OKE-Admins do serviço IAM na tenancy de origem para fazer qualquer coisa com todos os recursos relacionados ao cluster na tenancy de destino:

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group OKE-Admins as ocid1.group.oc1..<unique_ID>
Admit group OKE-Admins of tenancy SourceTenancy to manage cluster-family in tenancy

Para permitir que o grupo do serviço IAM de origem crie clusters na tenancy de destino, o administrador de destino também deve criar instruções de política para admitir que o grupo gerencie redes virtuais e inspecione compartimentos na tenancy de destino. Por exemplo:

Admit group OKE-Admins of tenancy SourceTenancy to manage virtual-network-family in tenancy
Admit group OKE-Admins of tenancy SourceTenancy to inspect compartments in tenancy

Este é um exemplo de instruções de política que endossam o grupo OKE-Admins do serviço IAM na tenancy de origem para gerenciar recursos relacionados ao cluster somente no compartimento SharedOKEClusters:

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group OKE-Admins as ocid1.group.oc1..<unique_ID>
Admit group OKE-Admins of tenancy SourceTenancy to manage cluster-family in compartment SharedOKEClusters