Conceitos Básicos de Políticas
Se você ainda não conhece as políticas do Oracle Cloud Infrastructure Identity and Access Management (IAM), este tópico fornecerá orientação sobre como proceder.
Se Estiver Realizando uma Prova de Conceito
Se você estiver experimentando o Oracle Cloud Infrastructure ou realizando um projeto de prova de conceito com recursos de infraestrutura, talvez precise de apenas alguns administradores com acesso total a tudo. Nesse caso, você pode simplesmente criar novos usuários necessários e adicioná-los ao grupo Administradores. Os usuários poderão fazer qualquer coisa com qualquer tipo de recurso. E você pode criar todos os seus recursos diretamente na tenancy (o compartimento raiz). Você não precisa criar compartimentos ainda, ou qualquer outra política além da Política de Administração de Tenants, que vem automaticamente com sua tenancy e não pode ser alterada.
Não se esqueça de adicionar seus novos usuários ao grupo Administradores; é fácil esquecer isso após criá-los.
Se Você já Tiver Passado da Fase da Prova de Conceito
Se já tiver realizado a fase de prova de conceito e quiser restringir o acesso aos seus recursos, primeiro:
- Familiarize-se com os componentes básicos do serviço IAM e entre no cenário de exemplo: Visão Geral do Identity and Access Management
- Pense em como organizar seus recursos em compartimentos: Conheça as Melhores Práticas para Configurar a Sua Tenancy
- Saiba mais sobre os conceitos básicos sobre como as políticas funcionam: Como as Políticas Funcionam
- Veja algumas políticas típicas: Políticas Comuns
- Leia as Perguntas Frequentes abaixo
Perguntas Frequentes sobre Política
Todos eles, incluindo o próprio serviço IAM. Você pode encontrar detalhes específicos para gravar políticas para cada serviço na Referência de Política.
Sim. Todos os usuários podem fazer essas coisas automaticamente sem uma política explícita:
- Alterar ou redefinir sua própria senha da Console.
- Gerencie suas próprias chaves de assinatura de API e outras credenciais.
Você pode colocar todos os seus recursos em um compartimento único e usar políticas para controlar o acesso, mas perderia os benefícios de medir o uso e faturamento por compartimento, da administração de política simples no nível do compartimento e da clara separação de recursos entre projetos ou unidades de negócios.
Sim. No entanto, algumas coisas a saber primeiro:
- As empresas normalmente têm vários usuários que precisam de permissões semelhantes; dessa forma, as políticas devem fornecer acesso a grupos de usuários, e não a usuários individuais. Um usuário recebe acesso estando presente no grupo.
- As políticas devem permitir acesso; não há "negação" explícita ao gravar uma política.
Se você precisar conceder acesso a um usuário específico, poderá adicionar uma condição à política que especifica o OCID do usuário em uma variável. Esta construção restringe o acesso concedido na política apenas ao usuário especificado na condição. Por exemplo:
allow any-group to read object-family in compartment ObjectStorage where request.user.id ='ocid1.user.oc1..<user_OCID>'Para obter informações sobre o uso de condições e variáveis em políticas, consulte Condições.
Se precisar restringir o acesso de um usuário específico, você poderá:
- Remover o usuário do grupo de interesse específico
- Excluir o usuário inteiramente do serviço IAM (você terá que remover o usuário de todos os grupos primeiro)
Verifique primeiro se o usuário não está em algum grupo. Só então você poderá excluir o usuário.
Você precisa examinar as instruções individuais em todas as suas políticas para ver quais instruções se aplicam a qual grupo. No momento, não há uma maneira fácil de obter essas informações.
Você precisa examinar as instruções individuais em todas as políticas na tenancy para ver se alguma se aplica ao compartimento em particular. Você também precisa verificar qualquer política no próprio compartimento. As políticas em qualquer um dos compartimentos irmãos não podem se referir ao compartimento de interesse, portanto você não precisa verificar essas políticas.