Detalhes do Serviço IAM sem Domínios de Identidade
Este tópico abrange detalhes de gravação de políticas para controlar o acesso ao serviço IAM.
Tipos de Recursos
authentication
authentication-policies
compartments
credentials
domain
dynamic-groups
groups
group-memberships
iamworkrequest
identity-providers
network-sources
oauth2-clients
policies
regions
service-principal
tag-defaults
tag-namespaces
tagRules
tasdomain
tagNamespaces
tenancies
users
x
workrequest
Variáveis Suportadas
O serviço IAM suporta todas as variáveis gerais (consulte Variáveis Gerais para Todas as Solicitações), além de outras listadas aqui:
Operações para Este Tipo de Recurso... | Podem Usar Essas Variáveis... | Tipo de variável | Comentários |
---|---|---|---|
users
|
target.user.id
|
Entidade (OCID) | Não disponível para uso com o CreateUser. |
target.user.name
|
String | ||
groups
|
target.group.id
|
Entidade (OCID) | Não disponível para uso com o CreateGroup. |
target.group.name
|
String | ||
target.group.member
|
Booleano | Verdadeiro se request.user for membro de target.group. | |
policies
|
target.policy.id
|
Entidade (OCID) | Não disponível para uso com o CreatePolicy. |
target.policy.name
|
String | ||
compartments
|
target.compartment.id
|
Entidade (OCID) |
Para o CreateCompartment, este será o valor do compartimento pai (por exemplo, o compartimento raiz). Esta é uma variável universal disponível para ser usada com qualquer solicitação de todos os serviços (consulte Variáveis Gerais para Todas as Solicitações). |
target.compartment.name
|
String | ||
tag-namespace
|
target.tag-namespace.id
|
Entidade (OCID) |
Essa variável só é suportada em instruções que concedem permissões para o tipo de recurso |
target.tag-namespace.name
|
String |
Detalhes para Combinações de Verbos + Tipo de Recurso
As tabelas a seguir mostram as permissões e operações de API abrangidas por cada verbo. O nível de acesso é cumulativo à medida que você vai de inspect
> read
> use
> manage
. Um sinal de mais (+) em uma célula da tabela indica o acesso incremental comparado à célula diretamente acima dela, enquanto "sem extra" indica acesso incremental.
Por exemplo, o verbo read
para compartimentos não abrange permissões extras ou operações de API em comparação com o verbo inspect
. O verbo use
inclui as mesmas que o verbo read
, além da permissão COMPARTMENT_UPDATE e a operação UpdateCompartment
API. O verbo manage
inclui as mesmas permissões e operações de API que o verbo use
, além da permissão COMPARTMENT_CREATE e duas operações de API: CreateCompartment
e DeleteCompartment
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | AUTHENTICATION_POLICY_INSPECT |
|
none |
read | sem extra |
sem extra |
none |
use | sem extra |
sem extra |
none |
manage | USE + AUTHENTICATION_POLICY_UPDATE |
USE +
|
none |
Para mover um compartimento (ou seja, usar a operação MoveCompartment
), você deve pertencer a um grupo que tenha permissões manage all-resources
no compartimento pai compartilhado mais inferior do compartimento atual e do compartimento de destino.
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | COMPARTMENT_INSPECT |
|
none |
read | sem extra |
sem extra |
none |
use | READ + COMPARTMENT_UPDATE |
READ +
|
none |
manage | USE + COMPARTMENT_CREATE COMPARTMENT_DELETE COMPARTMENT_RECOVER |
USE +
|
none |
O tipo de recurso credentials
refere-se apenas às credenciais SMTP. As permissões para trabalhar com outras credenciais que podem ser adicionadas a um usuário (como tokens de autenticação, chaves de API e chaves secretas do cliente) estão incluídas nas permissões de recurso users
.
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | CREDENTIAL_INSPECT |
ListSmtpCredentials
|
none |
read | sem extra |
sem extra |
none |
use | sem extra |
sem extra |
none |
manage | USE + CREDENTIAL_ADD CREDENTIAL_UPDATE CREDENTIAL_REMOVE |
USE +
|
none |
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | DYNAMIC_GROUP_INSPECT |
|
Sem extra |
read | sem extra |
sem extra |
sem extra |
use | READ + DYNAMIC_GROUP_UPDATE |
READ +
|
Sem extra |
manage | USE + DYNAMIC_GROUP_CREATE DYNAMIC_GROUP_DELETE |
USE +
|
sem extra |
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | GROUP_INSPECT |
|
|
read | sem extra |
sem extra |
sem extra |
use | READ + GROUP_UPDATE |
READ +
|
READ +
|
manage | USE + GROUP_CREATE GROUP_DELETE |
USE +
|
sem extra |
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | IDENTITY_PROVIDER_INSPECT |
|
ListIdpGroupMappings , GetIdpGroupMapping (ambos também precisam de inspect groups )
|
read | sem extra |
sem extra |
sem extra |
use | sem extra |
sem extra |
sem extra |
manage | USE + IDENTITY_PROVIDER_UPDATE IDENTITY_PROVIDER_CREATE IDENTITY_PROVIDER_DELETE |
USE +
|
USE +
|
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | NETWORK_SOURCE_INSPECT |
|
Sem extra |
read | sem extra |
sem extra |
sem extra |
use | READ + NETWORK_SOURCE_UPDATE |
READ +
|
Sem extra |
manage | USE + NETWORK_SOURCE_CREATE NETWORK_SOURCE_DELETE |
USE +
|
sem extra |
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | POLICY_READ |
|
none |
read | sem extra |
sem extra |
none |
use | sem extra |
sem extra Observação: A capacidade de atualizar políticas está disponível somente com |
none |
manage | USE + POLICY_UPDATE POLICY_CREATE POLICY_DELETE |
USE +
|
none |
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | TAG_NAMESPACE_INSPECT |
|
none |
read | sem extra |
sem extra |
none |
use | READ + TAG_NAMESPACE_USE Observação: Para aplicar, atualizar ou remover tags definidas de um recurso, um usuário deve receber permissões para o recurso e permissões para usar o namespace da tag. |
READ +
|
none |
manage | USE + TAG_NAMESPACE_UPDATE TAG_NAMESPACE_CREATE TAG_NAMESPACE_MOVE TAG_NAMESPACE_DELETE |
USE +
|
none |
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | TAG_DEFAULT_INSPECT TAG_NAMESPACE_READ (Use as duas permissões) |
|
none |
read | sem extra |
sem extra |
none |
use | sem extra |
sem extra |
none |
manage | INSPECT + TAG_DEFAULT_CREATE TAG_DEFAULT_UPDATE TAG_DEFAULT_DELETE |
USE +
|
none |
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | TENANCY_INSPECT |
|
none |
read | sem extra |
sem extra |
none |
use | READ + TENANCY_UPDATE |
sem extra |
none |
manage | USE + TENANCY_UPDATE |
USE +
|
none |
Observe que para trabalhar com as credenciais SMTP de um usuário, você deve ter permissões para o tipo de recurso credentials
.
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | USER_INSPECT |
|
GetUserGroupMembership (também precisa de inspect groups )
|
read | INSPECT + USER_READ |
INSPECT +
|
sem extra |
use | READ + USER_UPDATE |
READ +
|
READ +
|
manage | USE + USER_CREATE USER_DELETE USER_UNBLOCK USER_APIKEY_ADD USER_APIKEY_REMOVE USER_UIPASS_SET USER_UIPASS_RESET USER_SWIFTPASS_SET USER_SWIFTPASS_RESET USER_SWIFTPASS_REMOVE USER_AUTHTOKEN_SET USER_AUTHTOKEN_RESET USER_AUTHTOKEN_REMOVE USER_OAUTH2_CLIENT_CRED_CREATE USER_OAUTH2_CLIENT_CRED_UPDATE USER_OAUTH2_CLIENT_CRED_REMOVE USER_SECRETKEY_ADD USER_SECRETKEY_UPDATE USER_SECRETKEY_REMOVE USER_SUPPORT_ACCOUNT_LINK USER_SUPPORT_ACCOUNT_UNLINK USER_TOTPDEVICE_ADD USER_TOTPDEVICE_REMOVE USER_TOTPDEVICE_UPDATE |
USE +
|
sem extra |
Permissões Exigidas para Cada Operação de API
A tabela a seguir lista as operações de API em uma ordem lógica, agrupadas por tipo de recurso.
Para obter informações sobre permissões, consulte Permissões.
Operação da API | Permissões Necessárias para Usar a Operação |
---|---|
ListRegions
|
TENANCY_INSPECT |
ListRegionSubscriptions
|
TENANCY_INSPECT |
CreateRegionSubscription
|
TENANCY_UPDATE |
GetTenancy
|
TENANCY_INSPECT |
GetAuthenticationPolicy
|
AUTHENTICATION_POLICY_INSPECT |
UpdateAuthenticationPolicy
|
AUTHENTICATION_POLICY_UPDATE |
ListAvailabilityDomains
|
COMPARTMENT_INSPECT |
ListFaultDomains
|
COMPARTMENT_INSPECT |
ListCompartments
|
COMPARTMENT_INSPECT |
GetCompartment
|
COMPARTMENT_INSPECT |
UpdateCompartment
|
COMPARTMENT_UPDATE |
CreateCompartment
|
COMPARTMENT_CREATE |
RecoverCompartment
|
COMPARTMENT_RECOVER |
DeleteCompartment
|
COMPARTMENT_DELETE |
MoveCompartment
|
Não há uma permissão única associada à operação MoveCompartment . Esta operação requer permissões manage all-resources no compartimento pai compartilhado mais inferior do compartimento atual e no compartimento de destino. |
GetWorkRequest
|
COMPARTMENT_READ |
ListUsers
|
USER_INSPECT |
GetUser
|
USER_INSPECT |
UpdateUser
|
USER_UPDATE |
UpdateUserState
|
USER_UPDATE e USER_UNBLOCK |
CreateUser
|
USER_CREATE |
DeleteUser
|
USER_DELETE |
CreateOrResetUIPassword
|
USER_UPDATE e USER_UIPASS_RESET |
ListApiKeys
|
USER_READ |
UploadApiKey
|
USER_UPDATE e USER_APIKEY_ADD |
DeleteApiKey
|
USER_UPDATE e USER_APIKEY_REMOVE |
ListAuthTokens
|
USER_READ |
UpdateAuthToken
|
USER_UPDATE e USER_AUTHTOKEN_RESET |
CreateAuthToken
|
USER_UPDATE e USER_AUTHTOKEN_SET |
DeleteAuthToken
|
USER_UPDATE e USER_AUTHTOKEN_REMOVE |
ListSwiftPasswords
|
USER_READ |
UpdateSwiftPassword
|
USER_UPDATE e USER_SWIFTPASS_RESET |
CreateSwiftPassword
|
USER_UPDATE e USER_SWIFTPASS_SET |
DeleteSwiftPassword
|
USER_UPDATE e USER_SWIFTPASS_REMOVE |
ListCustomerSecretKeys
|
USER_READ |
CreateSecretKey
|
USER_UPDATE e USER_SECRETKEY_ADD |
UpdateCustomerSecretKey
|
USER_UPDATE e USER_SECRETKEY_UPDATE |
DeleteCustomerSecretKey
|
USER_UPDATE e USER_SECRETKEY_REMOVE |
CreateOAuthClientCredential |
USER_UPDATE e USER_OAUTH2_CLIENT_CRED_CREATE |
UpdateOAuthClientCredential |
USER_UPDATE e USER_OAUTH2_CLIENT_CRED_UPDATE |
ListOAuthClientCredentials |
USER_READ |
DeleteOAuthClientCredential |
USER_UPDATE e USER_OAUTH2_CLIENT_CRED_REMOVE |
LinkSupportAccount |
USER_SUPPORT_ACCOUNT_LINK |
UnlinkSupportAccount |
USER_SUPPORT_ACCOUNT_UNLINK |
CreateSmtpCredential |
CREDENTIAL_ADD |
ListSmtpCredentials |
CREDENTIAL_INSPECT |
UpdateSmtpCredential |
CREDENTIAL_UPDATE |
DeleteSmtpCredential |
CREDENTIAL_REMOVE |
ListUserGroupMemberships
|
GROUP_INSPECT e USER_INSPECT |
GetUserGroupMembership
|
USER_INSPECT e GROUP_INSPECT |
AddUserToGroup
|
GROUP_UPDATE e USER_UPDATE |
RemoveUserFromGroup
|
GROUP_UPDATE e USER_UPDATE |
ListGroups
|
GROUP_INSPECT |
GetGroup
|
GROUP_INSPECT |
UpdateGroup
|
GROUP_UPDATE |
CreateGroup
|
GROUP_CREATE |
DeleteGroup
|
GROUP_DELETE |
ListDynamicGroups
|
DYNAMIC_GROUP_INSPECT |
GetDynamicGroup
|
DYNAMIC_GROUP_INSPECT |
UpdateDynamicGroup
|
DYNAMIC_GROUP_UPDATE |
CreateDynamicGroup
|
DYNAMIC_GROUP_CREATE |
DeleteDynamicGroup
|
DYNAMIC_GROUP_DELETE |
GetNetworkSource
|
NETWORK_SOURCE_INSPECT |
ListNetworkSources
|
NETWORK_SOURCE_INSPECT |
CreateNetworkSource
|
NETWORK_SOURCE_CREATE |
UpdateNetworkSource
|
NETWORK_SOURCE_UPDATE |
DeleteNetworkSource
|
NETWORK_SOURCE_DELETE |
ListPolicies
|
POLICY_READ |
GetPolicy
|
POLICY_READ |
UpdatePolicy
|
POLICY_UPDATE |
CreatePolicy
|
POLICY_CREATE |
DeletePolicy
|
POLICY_DELETE |
ListIdentityProviders
|
IDENTITY_PROVIDER_INSPECT |
GetIdentityProvider
|
IDENTITY_PROVIDER_INSPECT |
UpdateIdentityProvider
|
IDENTITY_PROVIDER_UPDATE |
CreateIdentityProvider
|
IDENTITY_PROVIDER_CREATE |
DeleteIdentityProvider
|
IDENTITY_PROVIDER_DELETE |
ListIdpGroupMappings
|
IDENTITY_PROVIDER_INSPECT e GROUP_INSPECT |
GetIdpGroupMapping
|
IDENTITY_PROVIDER_INSPECT e GROUP_INSPECT |
AddIdpGroupMapping
|
IDENTITY_PROVIDER_UPDATE e GROUP_UPDATE |
DeleteIdpGroupMapping
|
IDENTITY_PROVIDER_UPDATE e GROUP_UPDATE |
ListTagNamespaces
|
TAG_NAMESPACE_INSPECT |
ListTaggingWorkRequest
|
TAG_NAMESPACE_INSPECT |
ListTaggingWorkRequestErrors
|
TAG_NAMESPACE_INSPECT |
ListTaggingWorkRequestLogs
|
TAG_NAMESPACE_INSPECT |
GetTaggingWorkRequest
|
TAG_NAMESPACE_INSPECT |
GetTagNamespace
|
TAG_NAMESPACE_INSPECT |
CreateTagNamespace
|
TAG_NAMESPACE_CREATE |
UpdateTagNamespace
|
TAG_NAMESPACE_UPDATE |
ChangeTagNamespaceCompartment
|
TAG_NAMESPACE_MOVE |
CascadeDeleteTagNamespace
|
TAG_NAMESPACE_DELETE |
DeleteTagNamespace
|
TAG_NAMESPACE_DELETE |
ListTags
|
TAG_NAMESPACE_INSPECT |
BulkEditTags
|
TAG_NAMESPACE_INSPECT |
ListCostTrackingTags
|
TAG_NAMESPACE_INSPECT |
GetTag
|
TAG_NAMESPACE_INSPECT |
CreateTag
|
TAG_NAMESPACE_USE |
UpdateTag
|
TAG_NAMESPACE_USE |
DeleteTag
|
TAG_NAMESPACE_DELETE |
BulkDeleteTags
|
TAG_NAMESPACE_DELETE |
ListTagDefaults
|
TAG_DEFAULT_INSPECT |
GetTagDefault
|
TAG_DEFAULT_INSPECT |
CreateTagDefault
|
TAG_DEFAULT_MANAGE |
UpdateTagDefault
|
TAG_DEFAULT_MANAGE |
DeleteTagDefault
|
TAG_DEFAULT_MANAGE |