Políticas Comuns

Tipo de acesso: Capacidade de criar, atualizar e excluir usuários e suas credenciais. Ele não inclui a capacidade para colocar usuários em grupos.

Onde criar a política: Na tenancy, porque os usuários residem na tenancy.

Allow group HelpDesk to manage users in tenancy

Tipo de acesso: Capacidade de listar os recursos em todos os compartimentos. Lembre-se de que:

• A operação para listar políticas do serviço IAM inclui o conteúdo das próprias políticas
• As operações de lista para tipos de recursos do serviço Networking retornam todas as informações (por exemplo, o conteúdo de listas de segurança e tabelas de roteamento)
• A operação para listar instâncias requer o verbo read em vez de inspect, e o conteúdo inclui os metadados fornecidos pelo usuário.
• A operação para exibir eventos do serviço Audit requer o verbo read em vez de inspect.

Onde criar a política: Na tenancy. Devido ao conceito de herança de política, os auditores podem inspecionar a tenancy e todos os compartimentos abaixo dela. Ou você pode optar por dar aos auditores acesso apenas a compartimentos específicos se eles não precisarem de acesso a toda a tenancy.

Allow group Auditors to inspect all-resources in tenancy

Allow group Auditors to read instances in tenancy

Allow group Auditors to read audit-events in tenancy

Esta política será aplicável se você quiser permitir que um único conjunto de administradores do Serviço de Recuperação gerencie todos os recursos do Serviço de Recuperação em todos os compartimentos.

Onde criar a política: Na tenancy, para que o acesso seja facilmente concedido a todos os compartimentos por meio da herança da política. Para reduzir o escopo de acesso a recursos do Serviço de Recuperação em um compartimento específico, especifique o compartimento necessário em vez da tenancy.

Allow group RecoveryServiceGroup to manage recovery-service-family in tenancy

Tipo de acesso: Capacidade de gerenciar políticas de proteção em todos os compartimentos.

Essa política será aplicável se você quiser permitir que um único conjunto de administradores de conformidade gerencie Políticas de Proteção em todos os compartimentos.

Onde criar a política: Na tenancy, para que o acesso seja facilmente concedido a todos os compartimentos por meio da herança da política. Para reduzir o escopo do acesso a políticas de proteção em um compartimento específico, especifique o compartimento necessário em vez da tenancy.

Allow group ComplianceGroup to manage recovery-service-policy in tenancy
    

Tipo de acesso: Capacidade de gerenciar todos os componentes no serviço Networking. Isso inclui redes em nuvem, sub-redes, gateways, circuitos virtuais, listas de segurança, tabelas de roteamento etc. Se os administradores de rede precisarem iniciar instâncias para testar a conectividade de rede, consulte Permitir que os usuários iniciem instâncias de computação.

Onde criar a política: Na tenancy. Devido ao conceito de herança de política, o NetworkAdmins pode gerenciar uma rede em nuvem em qualquer compartimento. Para reduzir o escopo do acesso a um compartimento em particular, especifique esse compartimento em vez da tenancy.

Allow group NetworkAdmins to manage virtual-network-family in tenancy

Para políticas usadas na conexão de um DRG com VCNs e DRGs em outras regiões e tenancies, consulte Políticas do Serviço IAM para Roteamento entre VCNs.

Tipo de acesso: Capacidade de gerenciar todos os componentes no Balanceador de Carga. Se o grupo precisar iniciar instâncias, consulte Permitir que os usuários iniciem instâncias de computação.

Onde criar a política: Na tenancy. Devido ao conceito de herança de política, o NetworkAdmins pode gerenciar balanceadores de carga em qualquer compartimento. Para reduzir o escopo do acesso a um compartimento em particular, especifique esse compartimento em vez da tenancy.

Allow group NetworkAdmins to manage load-balancers in tenancy

Se o grupo quiser gerenciar balanceadores de carga e balanceadores de carga de rede, serão necessárias políticas adicionais para usar os recursos de rede associados:

Allow group NetworkAdmins to manage load-balancers in tenancy

Allow group NetworkAdmins to use virtual-network-family in tenancy

Allow group NetworkAdmins to manage instances in tenancy

Se um grupo específico precisar atualizar balanceadores de carga existentes (por exemplo, modificar o conjunto de backend) mas não criá-los ou excluí-los, use esta instrução:

Allow group LBUsers to use load-balancers in tenancy

Tipo de acesso: Capacidade de executar todas as operações com instâncias iniciadas na rede em nuvem e sub-redes no compartimento XYZ e anexar/desanexar quaisquer volumes já existentes no compartimento ABC. A primeira instrução também permite que o grupo crie e gerencie imagens da instância no compartimento ABC. Se o grupo não precisar anexar ou desanexar volumes, você poderá excluir a instrução volume-family.

Onde criar a política: O método mais fácil é colocar essa política na tenancy. Se você quiser que os administradores dos compartimentos individuais (ABC e XYZ) tenham controle sobre as instruções de política individuais para seus compartimentos, consulte Anexação de Políticas.

Allow group InstanceLaunchers to manage instance-family in compartment ABC
Allow group InstanceLaunchers to read app-catalog-listing in tenancy
Allow group InstanceLaunchers to use volume-family in compartment ABC
Allow group InstanceLaunchers to use virtual-network-family in compartment XYZ

Para permitir que os usuários criem novas redes e sub-redes na nuvem, consulte Permitir que os administradores de rede gerenciem uma rede na nuvem.

Para permitir que os usuários determinem se a capacidade está disponível para uma forma específica antes de criar uma instância, adicione a seguinte instrução à política:

Allow group InstanceLaunchers to manage compute-capacity-reports in tenancy

Tipo de acesso: Capacidade de iniciar instâncias na rede e nas sub-redes da nuvem no compartimento XYZ usando apenas a imagem personalizada especificada. A política também inclui a capacidade de anexar/desanexar quaisquer volumes existentes que já existam no compartimento ABC. Se o grupo não precisar anexar/desanexar volumes, você poderá excluir a instrução volume-family.

Para especificar várias imagens personalizadas, você pode usar condições.

Onde criar a política: O método mais fácil é colocar essa política na tenancy. Se você quiser que os administradores dos compartimentos individuais (ABC e XYZ) tenham controle sobre as instruções de política individuais para seus compartimentos, consulte Anexação de Políticas.

Allow group ImageUsers to inspect instance-images in compartment ABC
Allow group ImageUsers to {INSTANCE_IMAGE_READ} in compartment ABC where target.image.id='<image_OCID>'
Allow group ImageUsers to manage instances in compartment ABC
Allow group ImageUsers to read app-catalog-listing in tenancy
Allow group ImageUsers to use volume-family in compartment ABC
Allow group ImageUsers to use virtual-network-family in compartment XYZ

Tipo de acesso: Capacidade de fazer tudo com imagens personalizadas e instâncias de computação. Também inclui a capacidade de fazer tudo com buckets, objetos e namespaces do serviço Object Storage no compartimento Y (para criar imagens de objetos e criar solicitações pré-autenticadas de imagens); para anexar/desanexar quaisquer volumes existentes no compartimento X; e iniciar instâncias na rede e nas sub-redes da nuvem no compartimento Z (para criar novas instâncias nas quais basear uma imagem). Se o grupo não precisar anexar/desanexar volumes, você poderá excluir a instrução volume-family.

Onde criar a política: O método mais fácil é colocar essa política na tenancy. Se você quiser que os administradores dos compartimentos individuais (X, Y e Z) tenham controle sobre as instruções de política individuais para seus compartimentos, consulte Anexação de Política.

Allow group ImageAdmins to manage instances in compartment X
Allow group ImageAdmins to manage instance-images in compartment X
Allow group ImageAdmins to read app-catalog-listing in tenancy
Allow group ImageAdmins to manage object-family in compartment Y
Allow group ImageAdmins to use volume-family in compartment X
Allow group ImageAdmins to use virtual-network-family in compartment Z

Tipo de acesso: Capacidade de fazer todas as coisas com configurações de instância, pools de instâncias e redes de cluster em todos os compartimentos.

Onde criar a política: Na tenancy, para que o acesso seja facilmente concedido a todos os compartimentos por meio da herança da política. Para reduzir o escopo do acesso apenas a configurações de instância, pools de instâncias e redes de cluster em um compartimento em particular, especifique esse compartimento em vez da tenancy.

Allow group InstancePoolAdmins to manage compute-management-family in tenancy

Se um grupo precisar criar configurações de instância usando instâncias existentes como um modelo e usar a API, SDKs ou a CLI (command line interface) para fazer isso, adicione as instruções a seguir à política:

Allow group InstancePoolAdmins to read instance-family in tenancy
Allow group InstancePoolAdmins to inspect volumes in tenancy

Se um grupo específico precisar iniciar, interromper ou redefinir as instâncias em pools de instâncias existentes, mas não criar ou excluir pools de instâncias, use esta instrução:

Allow group InstancePoolUsers to use instance-pools in tenancy

Se os recursos usados pelo pool de instâncias contiverem tags padrão, adicione a seguinte instrução à política para conceder ao grupo permissão para o namespace de tag Oracle-Tags:

Allow group InstancePoolUsers to use tag-namespaces in tenancy where target.tag-namespace.name = 'oracle-tags'

Se a configuração da instância usada pelo pool iniciar instâncias em uma reserva de capacidade, adicione a seguinte instrução à política:

Allow service compute_management to use compute-capacity-reservations in tenancy

Se o volume de inicialização usado na configuração da instância para criar um pool de instâncias for criptografado com uma chave KMS, adicione a instrução a seguir à política

allow service compute, blockstorage, compute_management to use key-family in compartment <compartment_id/<tenant_id>>

Tipo de acesso: Capacidade de criar, atualizar e excluir configurações de dimensionamento automático.

Onde criar a política: Na tenancy, para que o acesso seja facilmente concedido a todos os compartimentos por meio da herança da política. Para reduzir o escopo do acesso somente às configurações de dimensionamento automático em um compartimento em particular, especifique esse compartimento em vez da tenancy.

Allow group AutoscalingAdmins to manage auto-scaling-configurations in tenancy
Allow group AutoscalingAdmins to manage instance-pools in tenancy

Tipo de acesso: Capacidade de listar e criar inscrições em imagens no catálogo de Imagens do Parceiro. Não inclui a capacidade de criar instâncias usando imagens do catálogo de Imagens do Parceiro (consulte Permitir que os usuários iniciem instâncias de computação).

Onde criar a política: Na tenancy. Para reduzir o escopo do acesso apenas à criação de inscrições em um compartimento em particular, especifique esse compartimento em vez da tenancy na terceira instrução.

Allow group CatalogSubscribers to inspect app-catalog-listing in tenancy
Allow group CatalogSubscribers to read app-catalog-listing in tenancy
Allow group CatalogSubscribers to manage app-catalog-listing in tenancy

Tipo de acesso: Capacidade de criar conexões da console da instância.

Onde criar a política: Na tenancy.

Allow group <group_name> to manage instance-console-connection in tenancy
Allow group <group_name> to read instance in tenancy

Tipo de acesso: Capacidade de criar, atualizar e excluir hosts de máquina virtual dedicados, além de iniciar instâncias em hosts de máquina virtual dedicados.

Onde criar a política: Na tenancy, para que o acesso seja facilmente concedido a todos os compartimentos por meio da herança da política. Para reduzir o escopo do acesso apenas a instâncias e hosts de máquina virtual dedicados em um compartimento em particular, especifique esse compartimento em vez da tenancy.

Allow group DedicatedVMHostAdmins to manage dedicated-vm-hosts in tenancy
Allow group DedicatedVMHostAdmins to manage instances in tenancy

Tipo de acesso: Capacidade de iniciar instâncias em hosts de máquina virtual dedicados.

Onde criar a política: Na tenancy, para que o acesso seja facilmente concedido a todos os compartimentos por meio da herança da política. Para reduzir o escopo do acesso apenas a instâncias e hosts de máquina virtual dedicados em um compartimento em particular, especifique esse compartimento em vez da tenancy.

Allow group DedicatedVMHostAdmins to use dedicated-vm-hosts in tenancy
Allow group DedicatedVMHostAdmins to manage instances in tenancy

Tipo de acesso: Capacidade de fazer todas as coisas com volumes de armazenamento em blocos, backups de volume e grupos de volume em todos os compartimentos com exceção da cópia de backups de volume em regiões. Isso faz sentido se você quiser que um único conjunto de administradores de volume gerencie todos os volumes, backups de volume e grupos de volume em todos os compartimentos. A segunda instrução é necessária para anexar/desanexar os volumes das instâncias.

Onde criar a política: Na tenancy, para que o acesso seja facilmente concedido a todos os compartimentos por meio da herança da política. Para reduzir o escopo do acesso apenas a volumes/backups e instâncias em um compartimento em particular, especifique esse compartimento em vez da tenancy.

Allow group VolumeAdmins to manage volume-family in tenancy

Allow group VolumeAdmins to use instance-family in tenancy

Se o grupo também precisar copiar backups de volume e backups de volume de inicialização entre regiões, adicione as seguintes instruções à política:

Allow group VolumeAdmins to use volume-backups in tenancy where request.permission='VOLUME_BACKUP_COPY'
Allow group VolumeAdmins to use boot-volume-backups in tenancy where request.permission='BOOT_VOLUME_BACKUP_COPY'

Tipo de acesso: Capacidade de fazer todas as coisas com backups de volume, mas não criar e gerenciar volumes propriamente ditos. Isso faz sentido se você quiser que um único conjunto de administradores de backup de volume gerencie todos os backups de volume em todos os compartimentos. A primeira instrução fornece o acesso necessário ao volume que está sendo armazenado; a segunda instrução permite a criação do backup (e a capacidade de excluir backups). A terceira instrução permite a criação e o gerenciamento de políticas de backup definidas pelo usuário; a quarta instrução permite a atribuição e a remoção da atribuição de políticas de backup.

Onde criar a política: Na tenancy, para que o acesso seja facilmente concedido a todos os compartimentos por meio da herança da política. Para reduzir o escopo do acesso apenas aos volumes e backups em um compartimento em particular, especifique esse compartimento em vez da tenancy.

Allow group VolumeBackupAdmins to use volumes in tenancy

Allow group VolumeBackupAdmins to manage volume-backups in tenancy

Allow group VolumeBackupAdmins to manage backup-policies in tenancy

Allow group VolumeBackupAdmins to manage backup-policy-assignments in tenancy

Se o grupo for usar a Console, a seguinte política fornecerá uma melhor experiência ao usuário:

Allow group VolumeBackupAdmins to use volumes in tenancy

Allow group VolumeBackupAdmins to manage volume-backups in tenancy

Allow group VolumeBackupAdmins to inspect volume-attachments in tenancy

Allow group VolumeBackupAdmins to inspect instances in tenancy

Allow group VolumeBackupAdmins to manage backup-policies in tenancy

Allow group VolumeBackupAdmins to manage backup-policy-assignments in tenancy

As duas últimas instruções não são necessárias para gerenciar backups de volume. No entanto, elas permitem que a Console exiba todas as informações sobre um determinado volume e as políticas de backup disponíveis.

Tipo de acesso: Capacidade de fazer tudo com backups de volume de inicialização, exceto criar e gerenciar volumes propriamente ditos. Isso faz sentido se você quiser que um único conjunto de administradores de backup de volume de inicialização gerencie todos os backups de volume de inicialização em todos os compartimentos. A primeira instrução fornece o acesso necessário ao volume de inicialização que está sendo submetido a backup; a segunda instrução permite a criação do backup (e a capacidade de excluir backups). A terceira instrução permite a criação e o gerenciamento de políticas de backup definidas pelo usuário; a quarta instrução permite a atribuição e a remoção da atribuição de políticas de backup.

Onde criar a política: Na tenancy, para que o acesso seja facilmente concedido a todos os compartimentos por meio da herança da política. Para reduzir o escopo de acesso apenas aos volumes de inicialização e backups em um compartimento específico, especifique esse compartimento em vez da tenancy.

Allow group BootVolumeBackupAdmins to use volumes in tenancy

Allow group BootVolumeBackupAdmins to manage boot-volume-backups in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policies in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policy-assignments in tenancy

Se o grupo for usar a Console, a seguinte política fornecerá uma melhor experiência ao usuário:

Allow group BootVolumeBackupAdmins to use volumes in tenancy

Allow group BootVolumeBackupAdmins to manage boot-volume-backups in tenancy

Allow group BootVolumeBackupAdmins to inspect instances in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policies in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policy-assignments in tenancy

As duas últimas instruções não são necessárias para gerenciar backups de volume. No entanto, eles permitem que a Console exiba todas as informações sobre um volume de inicialização específico e as políticas de backup disponíveis.

Tipo de acesso: Capacidade de criar um grupo de volumes com base em um conjunto de volumes.

Onde criar a política: Na tenancy, para que o acesso seja facilmente concedido a todos os compartimentos por meio da herança da política. Para reduzir o escopo do acesso apenas aos volumes e grupos de volumes em um compartimento em particular, especifique esse compartimento em vez da tenancy.

Allow group VolumeGroupCreators to inspect volumes in tenancy
Allow group VolumeGroupCreators to manage volume-groups in tenancy

Tipo de acesso: Capacidade de clonar um grupo de volumes com base em um grupo de volumes existente.

Onde criar a política: Na tenancy, para que o acesso seja facilmente concedido a todos os compartimentos por meio da herança da política. Para reduzir o escopo do acesso apenas aos volumes e grupos de volumes em um compartimento em particular, especifique esse compartimento em vez da tenancy.

Allow group VolumeGroupCloners to inspect volumes in tenancy
Allow group VolumeGroupCloners to manage volume-groups in tenancy
Allow group VolumeGroupCloners to manage volumes in tenancy

Tipo de acesso: Capacidade de criar um backup de grupo de volumes.

Onde criar a política: Na tenancy, para que o acesso seja facilmente concedido a todos os compartimentos por meio da herança da política. Para reduzir o escopo de acesso apenas aos volumes/backups e grupos de volumes/backups de grupos de volumes em um compartimento em particular, especifique esse compartimento em vez da tenancy.

Allow group VolumeGroupBackupAdmins to inspect volume-groups in tenancy
Allow group VolumeGroupBackupAdmins to manage volumes in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-group-backups in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-backups in tenancy

Tipo de acesso: Capacidade de criar um grupo de volumes restaurando um backup de grupo de volumes.

Onde criar a política: Na tenancy, para que o acesso seja facilmente concedido a todos os compartimentos por meio da herança da política. Para reduzir o escopo de acesso apenas aos volumes/backups e grupos de volumes/backups de grupos de volumes em um compartimento em particular, especifique esse compartimento em vez da tenancy.

Allow group VolumeGroupBackupAdmins to inspect volume-group-backups in tenancy
Allow group VolumeGroupBackupAdmins to read volume-backups in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-groups in tenancy
Allow group VolumeGroupBackupAdmins to manage volumes in tenancy

Tipo de acesso: Capacidade de criar, gerenciar ou excluir um sistema de arquivos ou um clone do sistema de arquivos. As funções administrativas de um sistema de arquivos incluem a capacidade de renomeá-lo ou excluí-lo ou desconectar-se dele.

Onde criar a política: Na tenancy, para que a capacidade de criar, gerenciar ou excluir um sistema de arquivos seja facilmente concedida a todos os compartimentos por meio da herança de política. Para reduzir o escopo dessas funções administrativas a sistemas de arquivos de um compartimento em particular, especifique esse compartimento em vez da tenancy.

Allow group StorageAdmins to manage file-family in tenancy

Tipo de acesso: Capacidade de criar um sistema de arquivos ou um clone do sistema de arquivos.

Onde criar a política: Na tenancy, para que a capacidade de criar um sistema de arquivos seja facilmente concedida a todos os compartimentos por meio da herança de política. Para reduzir o escopo dessas funções administrativas a sistemas de arquivos de um compartimento em particular, especifique esse compartimento em vez da tenancy.

Allow group Managers to manage file-systems in tenancy

Allow group Managers to read mount-targets in tenancy

A segunda instrução é obrigatória quando os usuários criam um sistema de arquivos usando a Console. Ela permite que a Console exiba uma lista de destinos de montagem aos quais o novo sistema de arquivos pode ser associado.

Tipo de acesso: Capacidade de fazer todas as coisas com buckets e objetos do serviço Object Storage em todos os compartimentos.

Onde criar a política: Na tenancy, para que o acesso seja facilmente concedido a todos os compartimentos por meio da herança da política. Para reduzir o escopo do acesso apenas aos buckets e objetos de um compartimento em particular, especifique esse compartimento em vez da tenancy.

Allow group ObjectAdmins to manage buckets in tenancy

Allow group ObjectAdmins to manage objects in tenancy

Tipo de acesso: Capacidade de gravar objetos em qualquer bucket do serviço Object Storage no compartimento ABC (imagine uma situação em que um cliente precisa gravar regularmente arquivos de log em um bucket). Isso consiste na capacidade de listar os buckets no compartimento, listar os objetos em um bucket e criar um novo objeto em um bucket. Embora a segunda instrução ofereça um amplo acesso com o verbo manage, esse acesso reduz o escopo apenas às permissões OBJECT_INSPECT e OBJECT_CREATE com a condição no final da instrução.

Onde criar a política: O método mais fácil é colocar essa política na tenancy. Se você quiser que os administradores do compartimento ABC tenham controle sobre a política, consulte Anexação de Políticas.

Allow group ObjectWriters to read buckets in compartment ABC

Allow group ObjectWriters to manage objects in compartment ABC where any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}

Acesso limitado a um bucket específico: Para limitar o acesso a um bucket específico em um determinado compartimento, adicione a condição where target.bucket.name='<bucket_name>'. A política a seguir permite que o usuário liste todos os buckets de um compartimento específico, mas ele só pode listar os objetos contidos e fazer upload de objetos no BucketA:

Allow group ObjectWriters to read buckets in compartment ABC

Allow group ObjectWriters to manage objects in compartment ABC where all {target.bucket.name='BucketA', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

Acesso limitado a buckets com uma tag definida específica: Para limitar o acesso aos buckets com uma tag específica em um determinado compartimento, adicione a condição where target.bucket.tag.<TagNamespace>.<TagKeyDefinition>='<TagValue>'. A política a seguir permite que o usuário liste todos os buckets do compartimento ABC. No entanto, ele só pode listar os objetos contidos e fazer upload de objetos para o bucket com a tag MyTagNamespace.TagKey='MyTagValue':

Allow group ObjectWriters to read buckets in compartment ABC
Allow group ObjectWriters to manage objects in compartment ABC where all {target.bucket.tag.MyTagNamespace.TagKey='MyTagValue', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

Para obter mais informações sobre o uso de condições, consulte Recursos Avançados de Política.

Tipo de acesso: Capacidade de fazer download de objetos de qualquer bucket do serviço Object Storage no compartimento ABC. Isso consiste na capacidade de listar os buckets no compartimento, listar os objetos em um bucket e ler objetos existentes em um bucket.

Onde criar a política: O método mais fácil é colocar essa política na tenancy. Se você quiser que os administradores do compartimento ABC tenham controle sobre a política, consulte Anexação de Políticas.

Allow group ObjectReaders to read buckets in compartment ABC

Allow group ObjectReaders to read objects in compartment ABC

Acesso limitado a um bucket específico: Para limitar o acesso a um bucket específico em um compartimento em particular, adicione a condição where target.bucket.name='<bucket_name>'. A política a seguir permite que o usuário liste todos os buckets em um compartimento específico, mas ele só pode ler os objetos e fazer download no BucketA:

Allow group ObjectReaders to read buckets in compartment ABC

Allow group ObjectReaders to read objects in compartment ABC where target.bucket.name='BucketA'

Acesso limitado a buckets com uma tag definida específica

Para limitar o acesso aos buckets com uma tag específica em um determinado compartimento, adicione a condição where target.bucket.tag.<TagNamespace>.<TagKeyDefinition>='<TagValue>'. A política a seguir permite que o usuário liste todos os buckets no compartimento ABC. No entanto, ele só pode ler os objetos contidos e fazer download dos objetos para o bucket com a tag MyTagNamespace.TagKey='MyTagValue':

Allow group ObjectReaders to read buckets in compartment ABC
Allow group ObjectReaders to read objects in compartment ABC where target.bucket.tag.MyTagNamespace.TagKey='MyTagValue'

Para obter mais informações sobre o uso de condições, consulte Recursos Avançados de Política.

Tipo de acesso: Capacidade de criar chave gerenciada pelo cliente. Isso consiste na capacidade de configurar políticas para acessar dados criptografados com a chave gerenciada pelo cliente.

allow group <group_in_tenancy> to manage vaults in compartment <key_located_compartment>
allow group <group_in_tenancy> to manage keys in compartment <key_located_compartment>
allow group <group_in_tenancy> to manage key-delegate in compartment <key_located_compartment>
allow group <group_in_tenancy> to use object-family in compartment <key_located_compartment>
allow service objectstorage-<region_name> to use keys in compartment <key_located_compartment>

A última instrução no exemplo de política acima é específica da região. Isso significa que os clientes precisam escrever repetidamente essa instrução para cada região. Para definição de política de conveniência, os clientes podem usar o seguinte exemplo de definição de política:

allow group <group_in_tenancy> to manage vaults in compartment <key_located_compartment>
allow group <group_in_tenancy> to manage keys in compartment <key_located_compartment>
allow group <group_in_tenancy> to manage key-delegate in compartment <key_located_compartment>
allow group <group_in_tenancy> to use object-family in compartment <key_located_compartment>
allow any-group to use keys in compartment <key_located_compartment> where all {request.principal.type = 'service', request.service.name = /objectstorage-*/}

Tipo de acesso: Capacidade de um grupo de usuários executar todas as ações em um bucket do serviço Object Storage e seus objetos.

Onde criar a política: Na tenancy em que os usuários residem.

ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*'} 

Tipo de acesso: Capacidade de um grupo de usuários de ter acesso somente leitura a um bucket do serviço Object Storage e seus objetos.

Onde criar a política: Na tenancy em que os usuários residem.

ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*', any{request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}

Tipo de acesso: Capacidade de um grupo de usuários de ter acesso somente para gravação a uma pasta de objetos dentro de um bucket. Os usuários não podem exibir uma lista de objetos no bucket nem excluir objetos que ele contém.

Onde criar a política: Na tenancy em que os usuários residem.

ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*', any{request.permission='OBJECT_CREATE'}}

Tipo de acesso: Capacidade de um grupo de usuários de ter acesso de leitura e gravação a uma pasta de objetos dentro de um bucket do serviço Object Storage. Os usuários não podem gerar uma lista de objetos na pasta nem substituir objetos existentes na pasta.

Onde criar a política: Na tenancy em que os usuários residem.

ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*', any{request.permission='OBJECT_CREATE', request.permission='OBJECT_READ'}}

Tipo de acesso: Capacidade de um usuário especificado de ter acesso total a todos os objetos que correspondem a um padrão especificado em um bucket do serviço Object Storage.

Onde criar a política: Na tenancy em que o usuário reside.

ALLOW any-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = '*.pdf', request.user.id='ocid1.user.oc1..exampleuniqueID'}

Isso fará sentido se você quiser que um único conjunto de administradores de banco de dados gerencie todos os sistemas bare metal, máquina virtual e Exadata em todos os compartimentos.

Onde criar a política: Na tenancy, para que o acesso seja facilmente concedido a todos os compartimentos por meio da herança da política. Para reduzir o escopo de acesso apenas aos sistemas de banco de dados em um compartimento em particular, especifique esse compartimento em vez da tenancy.

Allow group DatabaseAdmins to manage database-family in tenancy

Tipo de acesso: Capacidade de executar todas as operações com os recursos do Exadata Database Service on Cloud@Customer em todos os compartimentos. Isso faz sentido se você quiser que um único conjunto de administradores de banco de dados gerencie todos os sistemas Exadata Database Service on Cloud@Customer em todos os compartimentos.

Onde criar a política: Na tenancy, para que o acesso seja facilmente concedido a todos os compartimentos por meio da herança da política. Para reduzir o escopo de acesso apenas ao Exadata Database Service on Cloud@Customer

em um compartimento específico, especifique esse compartimento em vez da tenancy.

Allow group ExaCCAdmins to manage database-family in tenancy

Tipo de acesso:

Capacidade de fazer tudo com os recursos do MySQL Database e MySQL HeatWave em todos os compartimentos. A criação e o gerenciamento de Sistemas de BD MySQL Database também exigem acesso limitado a VCNs, Sub-redes e namespaces de Tag na tenancy.

Allow group <group_name> to {
  	COMPARTMENT_INSPECT, 
    VCN_READ, 
    SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH, 
    NETWORK_SECURITY_GROUP_UPDATE_MEMBERS,
    VNIC_CREATE, VNIC_UPDATE, VNIC_DELETE, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP
  } in tenancy | compartment <compartment_name> | compartment <compartment_ocid>
  Allow group <group_name> to manage mysql-family in tenancy | compartment <compartment_name> | compartment <compartment_ocid>
  Allow group <group_name> to use tag-namespaces in tenancy

Tipo de acesso: Capacidade de fazer todas as coisas com instâncias do Autonomous Database em todos os compartimentos. Aplicável se você quiser ter um único conjunto de administradores de banco de dados gerenciando todos os bancos de dados Autonomous Database em todos os compartimentos.

Onde criar a política: Na tenancy, para que o acesso seja facilmente concedido a todos os compartimentos por meio da herança da política. Para reduzir o escopo do acesso apenas aos Autonomous Databases em um compartimento em particular, especifique esse compartimento em vez da tenancy.

Exemplo 1: Para Atribuições de Usuário Associadas ao Autonomous Database na Infraestrutura Dedicada do Exadata. Permite que o administrador de frota do Autonomous Database acesse os tipos de carga de trabalho e gerencie os seguintes recursos de infraestrutura dedicada do Exadata: Autonomous Container Databases e Autonomous VM Clusters.

Allow group DatabaseAdmins to manage autonomous-database-family in tenancy

Caso precise restringir o acesso aos tipos de recursos Cluster de VMs Autônomas e Autonomous Container Database (aplicável apenas à infraestrutura dedicada do Exadata), você poderá fazer isso criando instruções de política separadas para administradores de banco de dados que permitam acesso apenas a Autonomous Databases e seus backups. Como uma instrução de política só pode especificar um tipo de recurso, você deve criar instruções separadas para o banco de dados e recursos de backup.

Exemplo 2: Para o Autonomous Database na Infraestrutura Dedicada do Exadata. Permite que administradores de banco de dados Autonomous Database tenham acesso a bancos de dados e backups dos diversos tipos de carga de trabalho, mas nega acesso a recursos do Autonomous Container Databases, Autonomous VM Clusters e Cloud Exadata Infrastructure.

Allow group ADB-Admins to manage autonomous-database in tenancy

Allow group ADB-Admins to manage autonomous-backup in tenancy

Para reduzir o escopo de acesso de bancos de dados e backups a um tipo de carga de trabalho específico, use uma cláusula where.

Exemplo 3: Para o Autonomous Database na Infraestrutura Dedicada do Exadata. Limita o acesso do Autonomous Database a bancos de dados e backups de um tipo de carga de trabalho específico.

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'workload_type'

Allow group ADB-Admins to manage autonomous-backups in tenancy where target.workloadType = 'workload_type'

Nos exemplos de código anteriores, workload_type é uma das strings listadas na tabela a seguir.

Tipo de acesso: Capacidade de fazer tudo com o serviço Vault em todos os compartimentos. Isso faz sentido se você deseja ter um único conjunto de administradores de segurança que gerencie todos os vaults, chaves e componentes secretos (incluindo segredos, versões de segredos e pacotes de segredos) em todos os compartimentos.

Onde criar a política: Na tenancy, para que esse acesso seja facilmente concedido a todos os compartimentos por meio da herança da política. Para reduzir o escopo de acesso apenas aos vaults, chaves e componentes secretos em um determinado compartimento, especifique esse compartimento em vez da tenancy. Para reduzir o escopo do acesso apenas a vaults, chaves ou componentes secretos, inclua somente a instrução de política que pertence ao respectivo tipo de recurso individual ou agregado, conforme apropriado.

Allow group SecurityAdmins to manage vaults in tenancy

Allow group SecurityAdmins to manage keys in tenancy

Allow group SecurityAdmins to manage secret-family in tenancy

Tipo de acesso: Capacidade de executar todas as coisas com chaves em um vault específico no compartimento ABC.

Onde criar a política: O método mais fácil é colocar essa política na tenancy. Se você quiser que os administradores do compartimento individual (ABC) tenham controle sobre as instruções de política individuais do compartimento, consulte Anexação de Políticas.

Allow group SecurityAdmins to manage keys in compartment ABC where target.vault.id='<vault_OCID>'

Tipo de acesso: Capacidade de listar, exibir e executar operações criptográficas com uma chave específica em um compartimento.

Onde criar a política: O método mais fácil é colocar essa política na tenancy. Se você quiser que os administradores do compartimento individual (ABC) tenham controle sobre as instruções de política individuais do compartimento, consulte Anexação de Políticas.

Allow group SecurityAdmins to use keys in compartment ABC where target.key.id='<key_OCID>'

Tipo de acesso: Capacidade de associar um bucket do serviço Object Storage, um volume do serviço Block Volume, um sistema de arquivos do serviço File Storage um cluster do Kubernetes ou pool de streams do serviço Streaming com uma chave específica autorizada para uso em um compartimento específico. Com essa política, um usuário do grupo especificado não tem permissão para usar a chave. Em vez disso, por associação, a chave pode ser usada pelo serviço Object Storage, Block Volume, File Storage, Container Engine for Kubernetes ou Streaming em nome do usuário para:

• Criar ou atualizar um bucket criptografado, um volume ou um sistema de arquivos e criptografar ou decriptografar dados no bucket, volume ou sistema de arquivos.
• Criar clusters do Kubernetes com segredos do Kubernetes criptografados em repouso no armazenamento de chave/valor do etcd.
• Criar um pool de streams para criptografar dados nos streams do pool de streams.

Esta política exige que você também tenha uma política complementar que permita que o serviço Object Storage, Block Volume, File Storage, Container Engine for Kubernetes ou Streaming use a chave para executar operações criptográficas.

Onde criar a política: O método mais fácil é colocar essa política na tenancy. Se você quiser que os administradores do compartimento individual (ABC) tenham controle sobre as instruções de política individuais do compartimento, consulte Anexação de Políticas.

Allow group ObjectWriters, VolumeWriters, FileWriters, ClusterWriters, StreamWriters to use key-delegate in compartment ABC where target.key.id = '<key_OCID>'

Tipo de acesso: Capacidade de listar, exibir e executar operações criptográficas com todas as chaves no compartimento ABC. Como o Object Storage é um serviço regional, ele tem pontos finais regionais. Assim, você deve especificar o nome do serviço regional para cada região em que estiver usando o serviço Object Storage com criptografia do serviço Vault. Essa política também requer que você tenha uma política complementar que permita a um grupo de usuários usar a chave delegada que o serviço Object Storage, Block Volume, File Storage, Container Engine for Kubernetes ou Streaming usará.

Onde criar a política: O método mais fácil é colocar essa política na tenancy. Se você quiser que os administradores do compartimento individual (ABC) tenham controle sobre as instruções de política individuais do compartimento, consulte Anexação de Políticas.

Allow service blockstorage, objectstorage-<region_name>, <file_storage_service_user>, oke, streaming to use keys in compartment ABC where target.key.id = '<key_OCID>'

Para o serviço Object Storage, substitua <region_name> pelo identificador de região apropriado, por exemplo:

• objectstorage-us-phoenix-1

• objectstorage-us-ashburn-1

• objectstorage-eu-frankfurt-1

• objectstorage-uk-london-1

• objectstorage-ap-tokyo-1

Para determinar o valor do nome da região de uma região do Oracle Cloud Infrastructure, consulte Regiões e Domínios de Disponibilidade.

O nome do usuário do serviço File Storage depende do seu realm. Para realms com números de chave de realm de 10 ou menos, o padrão do usuário do serviço File Storage é FssOc<n>Prod, em que n é o número da chave de realm. Os realms com um número de chave de realm maior que 10 têm um usuário de serviço fssocprod. Para obter mais informações sobre realms, consulte Sobre Regiões e Domínio de Disponibilidade.

Para o serviço Container Engine for Kubernetes, o nome do serviço usado na política é oke.

Para o serviço Streaming, o nome do serviço usado na política é streaming.

Tipo de acesso: Capacidade de executar todas as ações com segredos em um vault específico no compartimento ABC.

Onde criar a política: O método mais fácil é colocar essa política na tenancy. Se você quiser que os administradores do compartimento individual (ABC) tenham controle sobre as instruções de política individuais do compartimento, consulte Anexação de Políticas.

Allow group SecurityAdmins to manage secret-family in compartment ABC where target.vault.id='<vault_OCID>'

Tipo de acesso: Capacidade de ler, atualizar e rotacionar todos os segredos em qualquer vault da tenancy.

Onde criar a política: Na tenancy, para que esse acesso seja facilmente concedido a todos os compartimentos por meio da herança da política. Para reduzir o escopo de acesso apenas aos vaults, chaves e segredos em um determinado compartimento, especifique esse compartimento em vez da tenancy.

Allow group SecretsUsers to use secret-family in tenancy

Nenhuma política é necessária para permitir que os usuários gerenciem suas próprias credenciais. Todos os usuários podem alterar e redefinir suas próprias senhas, gerenciar suas próprias chaves de API e gerenciar seus próprios tokens de autenticação. Para obter mais informações, consulte Credenciais do Usuário.

Tipo de acesso: Capacidade de gerenciar todos os aspectos de um compartimento específico. Por exemplo, um grupo chamado A-Admins pode gerenciar todos os aspectos de um compartimento chamado Projeto-A, incluindo a gravação de políticas adicionais que afetam o compartimento. Para obter mais informações, consulte Anexação de Políticas. Para obter um exemplo desse tipo de configuração e de políticas adicionais que são úteis, consulte Exemplo de Cenário.

Onde criar a política: Na tenancy.

Allow group A-Admins to manage all-resources in compartment Project-A

Tipo de acesso: Capacidade de gerenciar recursos em uma região específica. Lembre-se de que os recursos do serviço IAM devem ser gerenciados na região local. Se a região especificada não for a região local, então o Administrador não poderá gerenciar recursos do serviço IAM. Para obter mais informações sobre a região local, consulte Gerenciando Regiões.

Onde criar a política: Na tenancy.

Allow group PHX-Admins to manage all-resources in tenancy where request.region='phx'

A política precedente permite que PHX -Admins gerenciem todos os aspectos de todos os recursos no Oeste dos EUA (Phoenix).

Os membros do grupo PHX -Admins só poderão gerenciar recursos do serviço IAM se a região local da tenancy for Oeste dos EUA (Phoenix).

Tipo de acesso: Capacidade de exibir as versões resumidas de anúncios sobre o status operacional dos serviços do Oracle Cloud Infrastructure.

Onde criar a política: Na tenancy.

Allow group AnnouncementListers to inspect announcements in tenancy

A política precedente permite que o AnnouncementListers exiba uma lista de anúncios resumidos.

Tipo de acesso: Capacidade de exibir os detalhes dos anúncios sobre o status operacional dos serviços do Oracle Cloud Infrastructure.

Onde criar a política: Na tenancy.

Allow group AnnouncementReaders to read announcements in tenancy

A política precedente permite que o AnnouncementReaders exiba uma lista de anúncios resumidos e os detalhes dos anúncios específicos.

Tipo de acesso: Capacidade de fazer todas as coisas com o serviço de Streaming em todos os compartimentos.

Onde criar a política: Na tenancy, para que o acesso seja facilmente concedido a todos os compartimentos por meio da herança da política. Para reduzir o escopo do acesso apenas aos streams em um compartimento em particular, especifique esse compartimento em vez da tenancy.

Allow group StreamAdmins to manage stream-family in tenancy

Tipo de acesso: Capacidade de produzir mensagens para streams com o serviço de Streaming em todos os compartimentos.

Onde criar a política: Na tenancy, para que o acesso seja facilmente concedido a todos os compartimentos por meio da herança da política. Para reduzir o escopo do acesso apenas aos streams em um compartimento em particular, especifique esse compartimento em vez da tenancy.

Allow group StreamUsers to use stream-push in tenancy

Tipo de acesso: Capacidade de produzir mensagens para um stream com o serviço de Streaming.

Onde criar a política: Na tenancy, para que o acesso seja facilmente concedido a todos os compartimentos por meio da herança da política. Para reduzir o escopo do acesso apenas aos streams em um compartimento em particular, especifique esse compartimento em vez da tenancy.

Allow group StreamUsers to use stream-push in tenancy where target.stream.id = '<stream_OCID>'

Tipo de acesso: Capacidade de produzir mensagens para um stream com o serviço de Streaming.

Onde criar a política: Na tenancy, para que o acesso seja facilmente concedido a todos os compartimentos por meio da herança da política. Para reduzir o escopo do acesso apenas aos streams em um compartimento em particular, especifique esse compartimento em vez da tenancy.

Allow group StreamUsers to use stream-push in tenancy where target.streampool.id = '<streampool_OCID>'

Tipo de acesso: Capacidade de consumir mensagens de streams com o serviço de Streaming em todos os compartimentos.

Onde criar a política: Na tenancy, para que o acesso seja facilmente concedido a todos os compartimentos por meio da herança da política. Para reduzir o escopo do acesso apenas aos streams em um compartimento em particular, especifique esse compartimento em vez da tenancy.

Allow group StreamUsers to use stream-pull in tenancy

Tipo de acesso: Capacidade de listar definições de métricas em um compartimento específico. Para obter mais informações, consulte Listando Definições de Métrica.

Onde criar a política: Na tenancy, para que o acesso seja facilmente concedido a todos os compartimentos por meio da herança da política. Para reduzir o escopo do acesso apenas às definições de métrica em um compartimento em particular, especifique esse compartimento em vez da tenancy.

Allow group <group_name> to inspect metrics in compartment <compartment_name>

Tipo de acesso: Capacidade de consultar métricas para obter recursos suportados em um compartimento específico. Para obter mais informações, consulte Criando uma Consulta.

Onde criar a política: Na tenancy, para que o acesso seja facilmente concedido a todos os compartimentos por meio da herança da política. Para reduzir o escopo de acesso apenas às métricas de um compartimento em particular, especifique esse compartimento em vez da tenancy.

Allow group <group_name> to read metrics in compartment <compartment_name>

Tipo de acesso: Capacidade de consultar métricas para recursos em um namespace de métricas específico. Para obter mais informações, consulte Criando uma Consulta.

Onde criar a política: Na tenancy, para que o acesso seja facilmente concedido a todos os compartimentos por meio da herança da política. Para reduzir o escopo de acesso ao namespace de métricas especificado a apenas um compartimento em particular, especifique esse compartimento em vez da tenancy.

Allow group <group_name> to read metrics in compartment <compartment_name>
  where target.metrics.namespace='<metric_namespace>'

Tipo de acesso: Capacidade de publicar métricas personalizadas em um namespace de métricas específico para o serviço Monitoring, bem como exibir dados de métricas, criar alarmes e tópicos e usar fluxos com alarmes. Para obter mais informações sobre como publicar métricas personalizadas, consulte Publicando Métricas Personalizadas.

Onde criar a política: Na tenancy, para que o acesso seja facilmente concedido a todos os compartimentos por meio da herança da política. Para reduzir o escopo do acesso apenas a métricas em um compartimento em particular, especifique esse compartimento em vez da tenancy.

Allow group <group_name> to use metrics in tenancy 
  where target.metrics.namespace=<metric_namespace>'
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to manage ons-topics in tenancy
Allow group <group_name> to use streams in tenancy

Tipo de acesso: Capacidade de chamar a API do serviço Monitoring para acessar métricas  de monitoramento. As instâncias nas quais as solicitações de API se originam devem ser membros do grupo dinâmico indicado na política. Para obter mais informações sobre instâncias de computação que chamam APIs, consulte Calling Services from an Instance.

Onde criar a política: Na tenancy.

Allow dynamic-group MetricInstances to read metrics in tenancy

Tipo de acesso: Capacidade de obter detalhes do alarme e obter histórico do alarme. Não inclui a capacidade de criar alarmes ou criar ou excluir tópicos.

Onde criar a política: Na tenancy. Devido ao conceito de herança de política, o grupo pode exibir alarmes em qualquer compartimento. Para reduzir o escopo do acesso a um compartimento em particular, especifique esse compartimento em vez da tenancy.

Allow group <group_name> to read alarms in tenancy
Allow group <group_name> to read metrics in tenancy

Tipo de acesso: Capacidade de gerenciar alarmes, usando fluxos e tópicos existentes para notificações. Não inclui a capacidade de criar ou excluir tópicos.

Onde criar a política: Na tenancy. Devido ao conceito de herança de política, o grupo pode exibir e criar alarmes em qualquer compartimento. Para reduzir o escopo do acesso a um compartimento em particular, especifique esse compartimento em vez da tenancy.

Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to use ons-topics in tenancy
Allow group <group_name> to use streams in tenancy

Tipo de acesso: Capacidade de gerenciar alarmes, incluindo criando tópicos (e assinaturas) para notificações (e usando fluxos para notificações).

Onde criar a política: Na tenancy. Devido ao conceito de herança de política, o grupo pode exibir e criar alarmes em qualquer compartimento. Para reduzir o escopo do acesso a um compartimento em particular, especifique esse compartimento em vez da tenancy.

Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to manage ons-topics in tenancy
Allow group <group_name> to use streams in tenancy

Tipo de acesso: Capacidade de exibir relatórios de uso para sua tenancy. Para obter mais informações sobre relatórios de uso, consulte Visão Geral de Relatórios de Custo e Uso.

Onde criar a política: Esta é uma política especial entre tenancies e deve ser criada na tenancy. Para obter mais informações, consulte Acessando Relatórios de Custo e Uso.

define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
				endorse group Administrators to read objects in tenancy usage-report

Tipo de acesso: Capacidade de ver custos da tenancy. Consulte Verificando Despesas e Uso.

Onde criar a política: Na tenancy, para que os usuários no <Example_Group> possam ver custos de toda a conta.

Allow group <Example_Group> to read usage-reports in tenancy

Tipo de acesso: Capacidade de obter, criar, atualizar e excluir tópicos  na tenancy, bem como mover tópicos para outros compartimentos na tenancy. Também inclui a capacidade de criar inscrições  na tenancy e publicar mensagens  (mensagens de notificação de transmissão) em todas as inscrições na tenancy.

Onde criar a política: Na tenancy.

Allow group TopicManagers to manage ons-topics in tenancy

Tipo de acesso: Capacidade de listar, criar, atualizar e excluir inscrições  para tópicos na tenancy. Capacidade de mover inscrições para outros compartimentos na tenancy.

Onde criar a política: Na tenancy.

Allow group SubscriptionUsers to manage ons-subscriptions in tenancy

Tipo de acesso: Capacidade de transmitir mensagens  de notificação para todas as inscrições  na tenancy, assim como listar, criar, atualizar e excluir inscrições na tenancy.

Onde criar a política: Na tenancy.

Allow group TopicUsers to use ons-topics in tenancy

Tipo de acesso: Capacidade de criar, implantar e gerenciar aplicativos e funções do OCI Functions usando o Cloud Shell. Essas instruções de política dão ao grupo acesso ao Cloud Shell, repositórios no Oracle Cloud Infrastructure Registry, logs, métricas, funções, redes e rastreamento.

Onde criar a política: Na tenancy, para que o acesso seja facilmente concedido a todos os compartimentos por meio da herança da política. Para reduzir o escopo do acesso apenas aos recursos de um determinado compartimento, você pode especificar o compartimento em vez da tenancy para a maioria das instruções de política. No entanto, to use cloud-shell, to manage repos e to read objectstorage-namespaces sempre devem ter escopo na tenancy.

Allow group functions-developers to use cloud-shell in tenancy
Allow group functions-developers to manage repos in tenancy
Allow group functions-developers to read objectstorage-namespaces in tenancy
Allow group functions-developers to manage logging-family in tenancy
Allow group functions-developers to read metrics in tenancy
Allow group functions-developers to manage functions-family in tenancy
Allow group functions-developers to use virtual-network-family in tenancy
Allow group functions-developers to use apm-domains in tenancy
Allow group functions-developers to read vaults in tenancy
Allow group functions-developers to use keys in tenancy
Allow service faas to use apm-domains in tenancy
Allow service faas to read repos in tenancy where request.operation='ListContainerImageSignatures'
Allow service faas to {KEY_READ} in tenancy where request.operation='GetKeyVersion'
Allow service faas to {KEY_VERIFY} in tenancy where request.operation='Verify'

Tipo de acesso: Capacidade de listar regras do serviço Events.

Onde criar a política: Na tenancy.

Allow group RuleReaders to read cloudevents-rules in tenancy

A política anterior permite que o RuleReaders liste regras na tenancy.

Tipo de acesso: Capacidade de gerenciar regras do serviço Events, incluindo criar, excluir e atualizar regras.

Onde criar a política: Na tenancy.

allow group <RuleAdmins> to inspect compartments in tenancy

allow group <RuleAdmins> to use tag-namespaces in tenancy

allow group <RuleAdmins> to inspect streams in tenancy
allow group <RuleAdmins> to use stream-push in tenancy
allow group <RuleAdmins> to use stream-pull in tenancy

allow group <RuleAdmins> to use virtual-network-family in tenancy
allow group <RuleAdmins> to manage function-family in tenancy

allow group <RuleAdmins> to use ons-topic in tenancy

allow group <RuleAdmins> to manage cloudevents-rules in tenancy

Tipo de acesso: Acesso somente para leitura a todo o Cloud Guard. No exemplo de política, o grupo é "CloudGuard_ReadOnly."

allow group CloudGuard_ReadOnly to read cloud-guard-family in tenancy
allow group CloudGuard_ReadOnly to read compartments in tenancy
allow group CloudGuard_ReadOnly to read announcements in tenancy

Tipo de acesso: Acesso somente para leitura a problemas do Cloud Guard. No exemplo de política, o grupo é "CloudGuard_ReadOnlyProblems."

allow group CloudGuard_ReadOnlyProblems to read cloud-guard-family in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-detectors in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-targets in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-resource-types in tenancy
allow group CloudGuard_ReadOnlyProblems to read announcements in tenancy
allow group CloudGuard_ReadOnlyProblems to read compartments in tenancy
allow group CloudGuard_ReadOnlyProblems to read cloud-guard-config in tenancy

Tipo de acesso: Acesso somente para leitura a receitas do detector do Cloud Guard. No exemplo de política, o grupo é "CloudGuard_ReadOnlyDetectors."

allow group CloudGuard_ReadOnlyDetectors to read cloud-guard-detector-recipes in tenancy
allow group CloudGuard_ReadOnlyDetectors to read announcements in tenancy
allow group CloudGuard_ReadOnlyDetectors to read compartments in tenancy
allow group CloudGuard_ReadOnlyDetectors to read cloud-guard-config in tenancy

Tipo de acesso: Acesso somente para leitura ao Cloud Guard em um único compartimento. No exemplo de política, o grupo é "CloudGuard_ReadOnly_SingleCompartment" e o nome do compartimento é "cgDemo_RestrictedAccess."

allow group CloudGuard_ReadOnly_SingleCompartment to read compartments in tenancy where target.compartment.name = 'cgDemo_RestrictedAccess'
allow group CloudGuard_ReadOnly_SingleCompartment to read cloud-guard-family in compartment cgDemo_RestrictedAccess
allow group CloudGuard_ReadOnly_SingleCompartment to read announcements in compartment cgDemo_RestrictedAccess
allow group CloudGuard_ReadOnly_SingleCompartment to read cloud-guard-config in tenancy

Tipo de acesso: Capacidade de permitir que um grupo seja superusuário para todas as operações de Recuperação de Desastres de Pilha Completa.

Allow group DRUberAdmins to manage disaster-recovery-family in tenancy

Tipo de acesso: Capacidade de permitir que um grupo crie grupos de proteção de DR (Recuperação de Desastres), planos de DR e execute Pré-verificações, mas não crie execuções de plano de DR.

Onde criar a política: No compartimento.

Allow group DRMonitors to manage disaster-recovery-protection-groups in compartment ApplicationERP
Allow group DRMonitors to manage disaster-recovery-plans in compartment ApplicationERP
Allow group DRMonitors to manage disaster-recovery-prechecks in compartment ApplicationERP

Tipo de acesso: Capacidade de permitir que um grupo crie grupos de proteção de Recuperação de Desastres (DR) e planos de DR, mas não crie execuções ou Pré-verificações do plano de DR.

Allow group DRConfig to manage disaster-recovery-protection-groups in compartment ApplicationERP
Allow group DRConfig to manage disaster-recovery-plans in compartment ApplicationERP

Tipo de acesso: Outros serviços a serem integrados com o KMS para usar chaves KMS.

Onde criar a política: O método mais fácil é colocar essa política na tenancy. Se você quiser que os administradores do compartimento individual (ABC) tenham controle sobre as instruções de política individuais do compartimento.

Exemplo: Allow service objectstorage-<region> to use keys in compartment ABC where target.key.id = '<key_OCID>'

allow service objectstorage-<region> to use keys in compartment Compartments where target.key.id = ocid1.key.oc1..exampleuniqueID

Tipo de acesso: Capacidade de gerenciar todos os recursos no serviço Bastion em todos os compartimentos. Isso fará sentido se você quiser ter um único conjunto de administradores de segurança para gerenciar todos os bastions e sessões em todos os compartimentos.

Onde criar a política: Na tenancy, para que esse acesso seja facilmente concedido a todos os compartimentos por meio da herança da política. Para reduzir o escopo do acesso apenas aos bastiões e às sessões bastion em um determinado compartimento, especifique esse compartimento em vez da tenancy.

Allow group SecurityAdmins to manage bastion in tenancy
Allow group SecurityAdmins to manage bastion-session in tenancy
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy

Tipo de acesso: Capacidade de gerenciar todas as sessões em todos os bastions e em todos os compartimentos, inclusive criar, conectar e encerrar sessões.

Onde criar a política: Na tenancy, para que esse acesso seja facilmente concedido a todos os compartimentos por meio da herança da política. Para reduzir o escopo do acesso apenas às sessões bastion em um determinado compartimento, especifique esse compartimento em vez da tenancy.

Allow group SecurityAdmins to use bastion in tenancy
Allow group SecurityAdmins to manage bastion-session in tenancy
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy

Tipo de acesso: Capacidade de gerenciar sessões em um bastion em um compartimento específico e somente para sessões que forneçam conectividade com uma instância específica do serviço Compute.

Onde criar a política: Na tenancy, para que esse acesso seja facilmente concedido a todos os compartimentos por meio da herança da política.

Allow group SecurityAdmins to use bastion in compartment ABC
Allow group SecurityAdmins to manage bastion-session in compartment ABC where ALL {target.resource.ocid='<instance_OCID>', target.bastion-session.username='<session_username>'}
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy

Tipo de acesso: Capacidade de configurar o Oracle Cloud Infrastructure Vulnerability Scanning Service para verificar todas as instâncias do serviço Compute em todos os compartimentos e exibir os resultados da verificação. Considere essa política se quiser que um único conjunto de administradores de segurança configure a verificação de vulnerabilidade em todas as instâncias.

Onde criar a política: Na tenancy, que concede acesso a todos os compartimentos por meio da herança de política. Para reduzir o escopo do acesso apenas às instâncias do serviço Compute em um determinado compartimento, especifique esse compartimento em vez da tenancy.

Allow group SecurityAdmins to manage vss-family in tenancy
Allow service vulnerability-scanning-service to manage instances in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy
Allow service vulnerability-scanning-service to read vnics in tenancy
Allow service vulnerability-scanning-service to read vnic-attachments in tenancy

Tipo de acesso: Capacidade de exibir os resultados da verificação das instâncias do serviço Compute em todos os compartimentos para conhecer as vulnerabilidades de segurança. Considere essa política se você tiver uma equipe dedicada responsável por revisar ou auditar a segurança de toda a sua tenancy.

Onde criar a política: Na tenancy, que concede acesso a todos os compartimentos por meio da herança de política. Para reduzir o escopo do acesso apenas aos resultados da verificação em um determinado compartimento, especifique esse compartimento em vez da tenancy.

Allow group SecurityReviewers to read vss-family in tenancy

Tipo de acesso: Capacidade de listar, criar, atualizar e excluir conectores na tenancy. Capacidade de mover conectores para outros compartimentos da tenancy.

Onde criar a política: Na tenancy.

Allow group A-Admins to manage serviceconnectors in tenancy

Consulte também Políticas do Serviço IAM (Protegendo o Connector Hub).

Tipo de acesso: Capacidade de chamar operações de ingestão do Ops Insights apenas no nível da tenancy.

Onde criar a política: Na tenancy.

allow group opsi-users to use opsi-database-insights in tenancy 
where any 
{request.operation='IngestSqlBucket', 
request.operation='IngestSqlText',
request.operation='IngestSqlPlanLines'}

Capacidade de criar, excluir e modificar espaços de trabalho em um compartimento.

allow group <group-name> to manage dis-workspaces in <compartment-name>
allow group <group-name> to manage dis-work-requests in <compartment-name>
allow group <group-name> to manage tag-namespaces in <compartment-name>

Capacidade de criar, excluir e modificar espaços de trabalho em uma rede virtual.

allow service dataintegration to use virtual-network-family in <compartment-name>
allow group <group-name> to manage dis-workspaces in <compartment-name>
allow group <group-name> to manage dis-work-requests in <compartment-name>
allow group <group-name> to use virtual-network-family in <compartment-name>
allow group <group-name> to manage tag-namespaces in <compartment-name>

Capacidade de criar e usar ativos de dados do serviço Object Storage em todos os espaços de trabalho.

allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to use object-family in <compartment-name>

Para conceder acesso a um espaço de trabalho individual, especifique o OCID do espaço de trabalho no qual você deseja permitir o acesso. Por exemplo:

allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}

Capacidade de criar e usar ativos de dados de banco de dados autônomo em todos os espaços de trabalho.

allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to use object-family in <compartment-name>
allow any-group to manage buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.permission='PAR_MANAGE'}

Para conceder acesso a um espaço de trabalho individual, especifique o OCID do espaço de trabalho no qual você deseja permitir o acesso. Por exemplo:

allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-group to manage buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>', request.permission='PAR_MANAGE'}

Capacidade de pesquisar os componentes do serviço Data Integration em um determinado espaço de trabalho.

Essa política deve ser aplicada no nível da tenancy (compartimento raiz).

allow service dataintegration to {TENANCY_INSPECT} in tenancy
allow service dataintegration to {DIS_METADATA_INSPECT} in tenancy

Capacidade de mover espaços de trabalho para um novo compartimento.

allow service dataintegration to inspect compartments in <compartment-name>
allow group <group-name> to manage dis-workspaces in <compartment-name>

Capacidade de publicar as diferentes tarefas de todos os espaços de trabalho no serviço Data Flow do OCI.

allow any-group to manage dataflow-application in <compartment-name> where ALL {request.principal.type='disworkspace'}

Para conceder acesso a um espaço de trabalho individual, especifique o OCID do espaço de trabalho no qual você deseja permitir o acesso. Por exemplo:

allow any-group to manage dataflow-application in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}

Capacidade de usar segredos do OCI Vault em todos os espaços de trabalho.

allow any-group to read secret-bundles in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to read secret-bundles in <compartment-name>

Para conceder acesso a um espaço de trabalho individual, especifique o OCID do espaço de trabalho no qual você deseja permitir o acesso. Por exemplo:

allow any-group to read secret-bundles in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}

Tipo de acesso: Capacidade de gerenciar assinaturas que oferecem anúncios sobre o status operacional dos serviços do Oracle Cloud Infrastructure.

Onde criar a política: O método mais fácil é colocar essa política na tenancy. Por causa do conceito de herança de política, o grupo ao qual você concede acesso pode gerenciar assinaturas de anúncios em qualquer compartimento. Para reduzir o escopo do acesso aos anúncios de um determinado compartimento, especifique o compartimento em vez da tenancy.

Allow group AnnouncementAdmins to manage announcement-subscriptions in tenancy

A política anterior permite que os AnnouncementAdmins exibam uma lista de anúncios resumidos e os detalhes dos anúncios específicos.