Visão Geral do Identity and Access Management

O serviço IAM usa os componentes descritos nesta seção. Para entender melhor como os componentes se encaixam, consulte Exemplo de Cenário.

RECURSO

Os objetos de nuvem que os funcionários da sua empresa criam e usam ao interagir com o Oracle Cloud Infrastructure. Por exemplo: instâncias de computação, volumes de armazenamento em blocos, redes virtuais na nuvem (VCNs), sub-redes, tabelas de roteamento etc.

USUÁRIO

Um funcionário individual ou sistema que precisa gerenciar ou usar os recursos do Oracle Cloud Infrastructure da sua empresa. Os usuários podem precisar iniciar instâncias, gerenciar discos remotos, trabalhar com sua rede virtual na nuvem etc. Os usuários finais do seu aplicativo não são normalmente usuários do serviço IAM. Os usuários têm uma ou mais credenciais do serviço IAM (consulte Credenciais do Usuário).

GRUPO

Um conjunto de usuários que precisam do mesmo tipo de acesso a um conjunto específico de recursos ou compartimento.

GRUPO DINÂMICO

Um tipo especial de grupo que contém recursos (como instâncias do serviço Compute) que correspondem às regras definidas por você (portanto, a associação pode ser alterada dinamicamente à medida que os recursos correspondentes são criados ou excluídos). Essas instâncias atuam como atores "principais" e podem fazer chamadas de API para serviços de acordo com as políticas gravadas para o grupo dinâmico.

ORIGEM DE REDE

Um grupo de endereços IP com permissão para acessar recursos em sua tenancy. Os endereços IP podem ser endereços IP públicos ou endereços IP de uma VCN em sua tenancy. Depois de criar a origem da rede, você usa a política para restringir o acesso apenas às solicitações originadas dos IPs na origem da rede.

COMPARTIMENTO

Um conjunto de recursos relacionados. Os compartimentos são um componente fundamental do Oracle Cloud Infrastructure para organizar e isolar seus recursos na nuvem. Use-os para separar claramente recursos para fins de medição de uso e faturamento, acesso (pelo uso das políticas) e isolamento (separando os recursos de um projeto ou unidade de negócios de outro). Uma abordagem comum é criar um compartimento para cada parte principal da sua organização. Para obter mais informações, consulte Conheça as Melhores Práticas para Configurar a Sua Tenancy.

TENANCY

O compartimento raiz que contém todos os recursos do Oracle Cloud Infrastructure da organização. O sistema Oracle cria automaticamente a tenancy de sua empresa para você. Diretamente na tenancy estão suas entidades do serviço IAM (usuários, grupos, compartimentos e algumas políticas; você também pode colocar políticas em compartimentos dentro da tenancy). Você coloca os outros tipos de recursos de nuvem (por exemplo, instâncias, redes virtuais, volumes de armazenamento em blocos etc.) nos compartimentos que você cria.

POLÍTICA

Um documento que especifica quem pode acessar quais recursos e como. O acesso é concedido no nível de grupo e compartimento, o que significa que você pode gravar uma política que dá a um grupo um tipo específico de acesso em um compartimento específico ou à própria tenancy. Se você conceder a um grupo acesso à tenancy, o grupo obterá automaticamente o mesmo tipo de acesso a todos os compartimentos na tenancy. Para obter mais informações, consulte Exemplo de Cenário e Como as Políticas Funcionam. A palavra "política" é usada pelas pessoas de maneiras distintas: para se referir a uma instrução individual escrita na linguagem da política; para se referir a um conjunto de instruções em um único documento chamado de "política" (que tem um OCID (Oracle Cloud ID) designado a ele); e para indicar o conjunto completo das políticas que sua organização usa para controlar o acesso aos recursos.

Quando você aplica uma política, pode haver um ligeiro atraso antes de a política ser efetiva.

REGIÃO HOME

A região na qual residem os recursos do serviço IAM. Todos os recursos do serviço IAM são globais e estão disponíveis em todas as regiões, mas o conjunto mestre de definições reside em uma única região, a região local. Você deverá fazer alterações nos recursos do serviço IAM na sua região local. As alterações serão propagadas automaticamente para todas as regiões. Para obter mais informações, consulte Gerenciando Regiões.

FEDERAÇÃO

Uma relação na qual um administrador configura entre um provedor de identidades e um provedor de serviços. Quando você federa o Oracle Cloud Infrastructure com um provedor de identidades, você gerencia usuários e grupos no provedor de identidades. Você gerencia a autorização no serviço IAM do Oracle Cloud Infrastructure. As instâncias do Oracle Cloud Infrastructure são federadas com o Oracle Identity Cloud Service por padrão.

Você pode gravar políticas para controlar o acesso a todos os serviços no Oracle Cloud Infrastructure.

Quando sua empresa se conecta a uma conta da Oracle e ao Domínio de Identidade, a Oracle configura um administrador padrão para a conta. Essa pessoa será o primeiro usuário do serviço IAM de sua empresa e será responsável pela configuração inicial dos administradores adicionais. Sua tenancy vem com um grupo chamado Administradores, e o administrador padrão pertence automaticamente a esse grupo. Não é possível excluir este grupo, e sempre deve haver pelo menos um usuário.

Sua tenancy também tem automaticamente uma política que oferece ao grupo Administradores acesso a todas as operações da API do Oracle Cloud Infrastructure e a todos os recursos de nuvem em sua tenancy. Não é possível alterar nem excluir esta política. Qualquer outro usuário que você colocar no grupo Administradores terá acesso total a todos os serviços. Isso significa que ele pode criar e gerenciar recursos do serviço IAM, como grupos, políticas e compartimentos. E ele pode criar e gerenciar os recursos da nuvem, como VCNs (redes virtuais na nuvem), instâncias, volumes de armazenamento em blocos e qualquer outro novo tipo de recurso do Oracle Cloud Infrastructure que fique disponível no futuro.

A meta deste cenário é mostrar como os componentes específicos do serviço IAM trabalham juntos e recursos básicos de políticas.

Neste cenário, a Acme Company tem duas equipes que utilizarão os recursos do Oracle Cloud Infrastructure para a infraestrutura: Projeto A e Projeto B. Na realidade, sua empresa pode ter muito mais.

A Acme Company planeja usar uma rede virtual na nuvem (VCN) para ambas as equipes e deseja que um administrador de rede gerencie a VCN.

A Acme Company também deseja que a equipe do Projeto A e a equipe do Projeto B tenham cada uma seu próprio conjunto de instâncias e volumes de armazenamento em blocos. A equipe do Projeto A e as equipes do Projeto B não devem poder usar as instâncias uma da outra. Essas duas equipes também não devem ter permissão para alterar nada sobre a configuração da VCN feita pelo administrador da rede. A Acme Company deseja que cada equipe tenha administradores para os recursos da equipe. Os administradores da equipe do Projeto A podem decidir quem pode usar os recursos da nuvem do Projeto A e como. Idem para a equipe do Projeto B.

A Acme Company começa a utilizar o Oracle Cloud Infrastructure

A Acme Company se registra para usar o Oracle Cloud Infrastructure e informa à Oracle que uma funcionária chamada Wenpei será a administradora padrão. Em resposta, a Oracle:

• Cria uma tenancy para a Acme Company (veja o diagrama a seguir).
• Cria uma conta de usuário do serviço IAM para a Wenpei na tenancy.
• Cria o grupo Administradores na tenancy e coloca a Wenpei nesse grupo.
• Cria uma política na tenancy da Acme Company que dá ao grupo Administradores acesso para gerenciar todos os recursos na tenancy. Aqui está a política:

Allow group Administrators to manage all-resources in tenancy

O Administrador Padrão Cria Alguns Grupos e Outro Administrador

Em seguida, Wenpei cria vários grupos e usuários (consulte o diagrama a seguir). Ela:

• Cria grupos chamados NetworkAdmins, A-Admins e B-Admins (esses dois últimos são para o Projeto A e o Projeto B dentro da empresa)
• Cria um usuário chamado Alex e o coloca no grupo Administradores.
• Deixa os novos grupos vazios.

Para saber como criar grupos, consulte Como Trabalhar com Grupos. Para saber como criar usuários e colocá-los em grupos, consulte Como trabalhar com Usuários.

O Administrador Padrão Cria Alguns Compartimentos e Políticas

Em seguida, Wenpei cria os compartimentos para agrupar recursos (consulte o diagrama a seguir). Ela:

• Cria um compartimento chamado Redes para controlar o acesso à VCN, às sub-redes, à VPN Site a Site VPN e a outros componentes da Acme Company no serviço Networking.
• Cria um compartimento chamado Projeto-A para organizar recursos de nuvem da equipe do Projeto A e controlar o acesso a eles.
• Cria um compartimento chamado Projeto-B para organizar recursos da nuvem da equipe do Projeto B e controlar o acesso a eles.

Para saber como gerenciar compartimentos, consulte Como Trabalhar com Compartimentos.

Em seguida, Wenpei cria uma política para fornecer aos administradores de cada compartimento seu nível de acesso necessário. Ela acrescenta a política à tenancy, o que significa que somente usuários com acesso para gerenciar políticas na tenancy poderão atualizar ou excluir a política posteriormente. Neste cenário, é somente o grupo Administradores. A política inclui várias instruções que:

• Dão ao grupo NetworkAdmins acesso para gerenciar redes e instâncias (para que possam testar a rede facilmente) no compartimento Redes
• Dão aos grupos A-Admins e B-Admins acesso para usar as redes do compartimento Redes (para que possam criar instâncias na rede).
• Dão ao grupo A-Admins acesso para gerenciar todos os recursos no compartimento Projeto-A.
• Dão ao grupo Administradores-B acesso para gerenciar todos os recursos no compartimento Projeto-B.

Veja como é a política (observe que ela tem várias instruções):

Allow group NetworkAdmins to manage virtual-network-family in compartment Networks
Allow group NetworkAdmins to manage instance-family in compartment Networks

Allow group A-Admins,B-Admins to use virtual-network-family in compartment Networks

Allow group A-Admins to manage all-resources in compartment Project-A

Allow group B-Admins to manage all-resources in compartment Project-B

Observe a diferença nos verbos (manage, use), bem como nos recursos (virtual-network-family, instance-family, all-resources). Para obter mais informações sobre eles, consulte Verbos e Tipos de Recursos. Para saber como criar políticas, consulte Para criar uma política.

Importante:

Os A-Admins e B-Admins podem usar a família de redes virtuais (virtual-network-family) no compartimento Redes. Porém, eles não podem criar instâncias nesse compartimento. Eles só podem criar instâncias no compartimento Projeto-A ou Projeto-B. Lembre-se de que um compartimento é um agrupamento lógico, e não físico, para que os recursos que compõem ou residem na mesma VCN possam pertencer a outros compartimentos.

A Acme Company deseja permitir que os administradores dos compartimentos Projeto-A e Projeto-B decidam quais usuários podem usar os recursos nesses compartimentos. Dessa forma, Wenpei cria mais dois grupos: Usuários-A e Usuários-B. Em seguida, ela adiciona mais seis instruções que concedem aos administradores de compartimentos o acesso necessário para adicionar e remover usuários desses grupos:

Allow group A-Admins to use users in tenancy where target.group.name='A-Users'
Allow group A-Admins to use groups in tenancy where target.group.name='A-Users'

Allow group B-Admins to use users in tenancy where target.group.name='B-Users'
Allow group B-Admins to use groups in tenancy where target.group.name='B-Users'

Allow group A-Admins,B-Admins to inspect users in tenancy
Allow group A-Admins,B-Admins to inspect groups in tenancy

Observe que essa política não permite que os administradores do projeto criem novos usuários ou gerenciem credenciais para os usuários. Ela permite decidir quais usuários existentes podem estar nos grupos Usuários-A e Usuários-B. As duas últimas instruções são necessárias para que A-Admins e B-Admins listem todos os usuários e grupos e confirmem quais usuários estão em quais grupos.

Item

Descrição

Políticas anexadas à tenancy: Allow group Administrators to manage all-resources in tenancy Allow group NetworkAdmins to manage virtual-network-family in compartment Networks Allow group NetworkAdmins to manage instance-family in compartment Networks Allow group A-Admins, B-Admins to use virtual-network-family in compartment Networks Allow group A-Admins to manage all-resources in compartment Project-A Allow group B-Admins to manage all-resources in compartment Project-B Allow group A-Admins to use users in tenancy where target.group.name='A-Users' Allow group A-Admins to use groups in tenancy where target.group.name='A-Users' Allow group B-Admins to use users in tenancy where target.group.name='B-Users' Allow group B-Admins to use groups in tenancy where target.group.name='B-Users' Allow group A-Admins, B-Admins to inspect users in tenancy Allow group A-Admins, B-Admins to inspect groups in tenancy

Um Administrador Cria Novos Usuários

Nesse ponto, Alex está no grupo Administradores e agora tem acesso para criar novos usuários. Portanto, ele provisiona os usuários chamados Leslie, Jorge e Cheri e os coloca nos grupos NetworkAdmins, A-Admins e B-Admins, respectivamente. Alex também cria outros usuários que serão por fim colocados nos grupos Usuários-A e Usuários-B pelos administradores do Projeto A e do Projeto B.

Item

Descrição

Políticas anexadas à tenancy: Allow group Administrators to manage all-resources in tenancy Allow group NetworkAdmins to manage virtual-network-family in compartment Networks Allow group NetworkAdmins to manage instance-family in compartment Networks Allow group A-Admins, B-Admins to use virtual-network-family in compartment Networks Allow group A-Admins to manage all-resources in compartment Project-A Allow group B-Admins to manage all-resources in compartment Project-B Allow group A-Admins to use users in tenancy where target.group.name='A-Users' Allow group A-Admins to use groups in tenancy where target.group.name='A-Users' Allow group B-Admins to use users in tenancy where target.group.name='B-Users' Allow group B-Admins to use groups in tenancy where target.group.name='B-Users' Allow group A-Admins, B-Admins to inspect users in tenancy Allow group A-Admins, B-Admins to inspect groups in tenancy

Os Administradores de Compartimento configuram seus Compartimentos

Jorge e Cheri agora precisam configurar seus respectivos compartimentos. Cada administrador precisa fazer o seguinte:

• Iniciar instâncias em seu próprio compartimento
• Colocar usuários no seu grupo de "usuários" (por exemplo, Usuários-A)
• Decidir o tipo de acesso para dar a esses usuários e anexar adequadamente uma política ao compartimento deles

Jorge e Cheri iniciam instâncias na sub-rede na VCN, nos compartimentos de suas respectivas equipes. Eles criam e anexam volumes em blocos às instâncias. Somente os administradores do compartimento podem iniciar/encerrar instâncias ou anexar/desanexar volumes em blocos nos compartimentos de suas respectivas equipes.

Importante

Topologia de Rede e Acesso ao Compartimento São Conceitos Distintos

É importante entender a diferença entre a topologia de rede da VCN e o controle de acesso que os compartimentos fornecem. A instância que Jorge iniciou reside na VCN do ponto de vista da topologia de rede. Porém, do ponto de vista de acesso, ela está no compartimento Projeto-A, não no compartimento Redes onde a VCN está. Leslie (a administradora de Redes) não pode encerrar ou reinicializar as instâncias de Jorge nem iniciar novas no compartimento Projeto-A. Mas Leslie controla a rede das instâncias, portanto ela controla qual tráfego será roteado para elas. Se Jorge tivesse especificado o compartimento Redes em vez do compartimento Projeto-A ao iniciar suas instâncias, sua solicitação teria sido negada. A história é semelhante para Cheri e o compartimento Projeto-B.

Mas também é importante observar que Wenpei e Alex no grupo Administradores têm acesso aos recursos nos compartimentos, porque eles têm acesso para gerenciar todos os tipos de recursos na tenancy. Os compartimentos herdam todas as políticas anexadas ao compartimento pai (a tenancy), de modo que o acesso de Administradores também se aplica a todos os compartimentos na tenancy.

Em seguida, o Jorge coloca vários usuários criados por Alex no grupo Usuários-A. Cheri faz o mesmo para o grupo Usuários-B.

Em seguida, Jorge grava uma política que dá aos usuários o nível de acesso necessário no compartimento do Projeto-A.

Allow group A-Users to use instance-family in compartment Project-A
Allow group A-Users to use volume-family in compartment Project-A
Allow group A-Users to inspect virtual-network-family in compartment Networks

Isso permite que eles usem instâncias existentes (com volumes em blocos anexados) que os administradores de compartimentos já iniciaram no compartimento e interrompam/iniciem/reinicializem essas instâncias. Não permite que os Usuários-A criem/excluam ou anexem/desanexem qualquer volume. Para permitir essa capacidade, a política precisaria incluir manage volume-family.

Jorge anexa essa política ao compartimento do Projeto-A. Qualquer pessoa com a capacidade de gerenciar políticas no compartimento agora pode modificar ou excluir esta política. No momento, isto é apenas o grupo A-Admins (e o grupo Administradores, que pode fazer qualquer coisa em toda a tenancy).

Cheri cria e anexa sua própria política ao compartimento do Projeto-B, semelhante à política do Jorge:

Allow group B-Users to use instance-family in compartment Project-B
Allow group B-Users to use volume-family in compartment Project-B
Allow group B-Users to inspect virtual-network-family in compartment Networks

Agora os Usuários-A e Usuários-B podem trabalhar com as instâncias existentes e os volumes anexados nos compartimentos do Projeto-A e Projeto-B, respectivamente. Veja como fica o layout:

Item	Descrição
	Políticas anexadas à tenancy: Allow group Administrators to manage all-resources in tenancy Allow group NetworkAdmins to manage virtual-network-family in compartment Networks Allow group NetworkAdmins to manage instance-family in compartment Networks Allow group A-Admins, B-Admins to use virtual-network-family in compartment Networks Allow group A-Admins to manage all-resources in compartment Project-A Allow group B-Admins to manage all-resources in compartment Project-B Allow group A-Admins to use users in tenancy where target.group.name='A-Users' Allow group A-Admins to use groups in tenancy where target.group.name='A-Users' Allow group B-Admins to use users in tenancy where target.group.name='B-Users' Allow group B-Admins to use groups in tenancy where target.group.name='B-Users' Allow group A-Admins, B-Admins to inspect users in tenancy Allow group A-Admins, B-Admins to inspect groups in tenancy
	Política anexada e gerenciada por Jorge: Allow group A-Users to use instance-family in compartment Project-A Allow group A-Users to use volume-family in compartment Project-A Allow group A-Users to use virtual-network-family in compartment Project-A
	Política anexada e gerenciada por Cheri: Allow group B-Users to use instance-family in compartment Project-B Allow group B-Users to use volume-family in compartment Project-B Allow group B-Users to use virtual-network-family in compartment Project-B

Para obter mais informações sobre recursos básicos e avançados de políticas, consulte Como as Políticas Funcionam. Para obter exemplos de outras políticas típicas que sua organização pode usar, consulte Políticas Comuns.

Na Console, você exibe seus recursos de nuvem por compartimento. Isso significa que depois de acessar a Console, você escolherá em qual compartimento trabalhar (há uma lista dos compartimentos aos quais você tem acesso no lado esquerdo da página). Observe que os compartimentos podem estar aninhados dentro de outros compartimentos. A página será atualizada para mostrar os recursos desse compartimento que estão dentro da região atual. Se não houver nenhum, ou se você não tiver acesso ao recurso nesse compartimento, verá uma mensagem.

Esta experiência é específica quando você está exibindo as listas de usuários, grupos, grupos dinâmicos e provedores de federação. Elas residem na própria tenancy (o compartimento raiz), não em um compartimento individual.

Como no caso de políticas, elas podem residir na tenancy ou em um compartimento, dependendo de onde a política esteja anexada. O local em que está anexada controla quem tem acesso para modificá-la ou excluí-la. Para obter mais informações, consulte Anexação de Políticas.

O Oracle Cloud Infrastructure usa os conceitos de regiões e domínios de disponibilidade (consulte Regiões e Domínios de Disponibilidade). Alguns recursos estão disponíveis regionalmente, enquanto outros estão disponíveis apenas em um determinado domínio de disponibilidade. Os recursos do serviço IAM (usuários, grupos, grupos dinâmicos, compartimentos, namespaces de tag, provedores de federação e políticas) são globais e estão disponíveis em todas as regiões. Consulte Gerenciando Regiões.

Você pode criar a automação com base nas alterações de estado de seus recursos do Oracle Cloud Infrastructure usando tipos de evento, regras e ações. Para obter mais informações, consulte Visão geral do serviço Events.

Os seguintes recursos do serviço IAM emitem eventos: 

• Políticas de Autenticação
• Credenciais
• Grupos dinâmicos
• Grupos
• Provedores de Identidade
• Dispositivos TOTP de Autenticação Multifator
• Políticas
• Usuários

A maioria dos tipos de recursos do Oracle Cloud Infrastructure tem um identificador exclusivo designado pelo sistema Oracle chamado OCID (Oracle Cloud ID). Para obter informações sobre o formato OCID e outras maneiras de identificar seus recursos, consulte Identificadores de Recursos.

Para obter informações gerais sobre o uso da API, consulte REST APIs.

Para obter uma lista de limites aplicáveis e instruções para solicitação de um aumento de limite, consulte Limites do Serviço. Para definir limites específicos de compartimentos em um recurso ou família de recursos, os administradores podem usar cotas de compartimentos.