Gerenciando Compartimentos

Ao criar um compartimento, você deve fornecer um nome para ele (máximo de 100 caracteres, incluindo letras, números, pontos, hifens e sublinhados) que seja exclusivo dentro do compartimento pai. Forneça também uma descrição não exclusiva e alterável para o compartimento, de 1 a 400 caracteres. O sistema Oracle também atribuirá ao compartimento um ID exclusivo chamado Oracle Cloud ID. Para obter mais informações, consulte Identificadores de Recursos.

Você pode criar subcompartimentos em compartimentos para criar hierarquias com seis níveis de profundidade.

Para obter informações sobre o número de compartimentos que você pode ter, consulte Limites do Serviço.

Depois de criar um compartimento, você precisa gravar pelo menos uma política  para ele; caso contrário, ninguém poderá acessá-lo (exceto administradores ou usuários com permissões definidas no nível de tenancy). Ao criar um compartimento dentro de outro compartimento, o compartimento herda as permissões de acesso dos compartimentos superiores na hierarquia. Para obter mais informações, consulte Herança de Políticas.

Ao criar uma política de acesso, você precisa especificar a qual compartimento ela será anexada. Isso controla quem poderá modificar ou excluir posteriormente a política. Dependendo de como você projetou sua hierarquia de compartimentos, você pode anexá-la à tenancy, a um pai ou ao próprio compartimento específico. Para obter mais informações, consulte Anexação de Políticas.

Para colocar um novo recurso em um compartimento, você simplesmente especifica esse compartimento ao criar o recurso (o compartimento é uma das informações necessárias para criar um recurso). Se estiver trabalhando na Console, certifique-se de estar exibindo primeiro o compartimento no qual deseja criar o recurso. Lembre-se de que a maioria dos recursos do serviço IAM reside na tenancy (isso inclui usuários, grupos, compartimentos e qualquer política anexada à tenancy) e não pode ser criada ou gerenciada em um compartimento específico.

A maioria dos recursos pode ser movida após sua criação. Há alguns recursos que você não pode mover de um compartimento para outro. Além disso, não é possível mover determinados recursos de uma zona de segurança para um compartimento que não esteja na mesma zona de segurança, porque ele pode ser menos seguro. Para obter detalhes sobre restrições de recursos em zonas de segurança, consulte Restringir Movimentação de Recursos.

Alguns recursos têm dependências de recursos anexadas e outros não. Nem todas as dependências anexadas se comportam da mesma forma que quando o recurso pai é movido.

Para alguns recursos, as dependências anexadas são movidas com o recurso pai para o novo compartimento. O recurso pai é movido imediatamente, mas em alguns casos, dependências anexadas se movem de forma assíncrona e não ficam visíveis no novo compartimento até que a movimentação seja concluída.

Para outros recursos, as dependências do recurso associadas não serão movidas para o novo compartimento. Você pode mover esses recursos anexados de forma independente.

Depois de mover o recurso para o novo compartimento, as políticas que controlam o novo compartimento se aplicam imediatamente e afetam o acesso ao recurso. Dependendo da estrutura da sua organização de compartimento, a medição, o faturamento e os alarmes também podem ser afetados.

Consulte a documentação de serviço para obter recursos individuais, a fim de se familiarizar com o comportamento de cada recurso e seus anexos.

Não é possível obter uma lista de todos os recursos de um compartimento usando uma chamada de API única. Em vez disso, você pode listar todos os recursos de determinado tipo no compartimento (por exemplo, todas as instâncias, todos os volumes de armazenamento em blocos etc.).

Para excluir um compartimento, ele deve estar vazio de todos os recursos. Antes de iniciar a exclusão de um compartimento, certifique-se de que todos os seus recursos foram movidos, excluídos ou encerrados, incluindo todas as políticas anexadas ao compartimento.

A ação de exclusão é assíncrona e inicia uma solicitação de serviço. O estado do compartimento é alterado para Excluindo enquanto a solicitação de serviço está em execução. Normalmente, leva alguns minutos para a conclusão da solicitação de serviço. Enquanto ele estiver no estado Excluindo, não será exibido no seletor de compartimentos. Se a solicitação de serviço falhar, o compartimento não será excluído e retornará ao estado Ativo.

Depois que um compartimento é excluído, seu estado é atualizado para Excluído e uma string aleatória de caracteres é anexada ao seu nome, por exemplo, o CompartmentA pode se tornar CompartmentA.qR5hP2BD. Renomear o compartimento permite que você reutilize o nome original para outro compartimento. A Oracle exibe o compartimento excluído na página Compartimentos por 90 dias. O compartimento excluído é removido do selecionador de compartimento. Se qualquer instrução de política fizer referência ao compartimento excluído, o nome na instrução de política será atualizado para o novo nome.

Para recuperar um compartimento, primeiro selecione-o na lista da página Compartimento. Talvez você tenha que usar o filtro de estado para ver o compartimento excluído. Lembre-se de que os compartimentos excluídos são renomeados acrescentando uma string aleatória de caracteres ao nome do compartimento original. Por exemplo, o CompartmentA pode se tornar CompartmentA.qR5hP2BD. A Oracle exibe o compartimento excluído na página Compartimentos por 90 dias.

Quando você recupera um compartimento excluído, o nome não é alterado. Por exemplo, se você recuperar um compartimento excluído chamado CompartmentA.qR5hP2BD, o nome permanecerá o mesmo. Como as instruções de política são atualizadas para usar os novos nomes de compartimentos excluídos, todas as instruções de política que fizeram referência ao compartimento excluído agora fazem referência ao compartimento recuperado.

Padrões de tag permitem que você especifique tags a serem aplicadas automaticamente a todos os recursos, no momento da criação, no compartimento atual. Para obter mais informações, consulte Gerenciando Padrões de Tags.

Para mover um compartimento, você deve pertencer a um grupo que tenha permissões manage all-resources no compartimento pai compartilhado mais inferior do compartimento atual e no compartimento de destino.

• Não será possível mover um compartimento se a origem ou o destino fizer parte de uma zona de segurança. Você deve usar a console Zonas de Segurança para gerenciar compartimentos em uma zona de segurança.

• Não é possível mover um compartimento para um compartimento de destino com o mesmo nome do compartimento que está sendo movido.

  Por exemplo, considere que o compartimento A e o compartimento B estejam ambos no compartimento raiz. No compartimento A, há um subcompartimento, também chamado compartimento B. Não é possível mover o compartimento B para o compartimento pai B.

  

• Dois compartimentos dentro do mesmo pai não podem ter o mesmo nome. Portanto, não é possível mover um compartimento para um compartimento de destino onde já existe um compartimento com o mesmo nome.

Depois de mover um compartimento para um novo compartimento pai, as políticas de acesso do novo pai entram em vigor, e as políticas do pai anterior não se aplicam mais. Antes de mover um compartimento, certifique-se de que:

• Você está ciente das políticas que controlam o acesso ao compartimento na posição atual.
• Você está ciente das políticas no novo compartimento pai que terão efeito ao mover o compartimento.

Em alguns casos, ao mover compartimentos aninhados com políticas que especificam a hierarquia, as políticas são atualizadas automaticamente para garantir a consistência.

A figura a seguir mostra uma hierarquia de compartimentos na qual o compartimento C, um filho de A:B é movido para a hierarquia A:D.

A tenancy tem as seguintes políticas definidas para os compartimentos B e D:

Policy1: Allow group G1 to manage instance-family in compartment A:B

Policy2: Allow group G2 to manage instance-family in compartment A:D

Tem efeito quando o compartimento C é movido de B para D:

O grupo G1 não pode mais gerenciar famílias de instâncias no compartimento C.

O grupo G2 agora pode gerenciar famílias de instâncias no compartimento C.

Saiba não só quais grupos perdem permissões ao mover um compartimento, mas também quais grupos obterão permissões.

Ao mover um compartimento, algumas políticas serão atualizadas automaticamente. As políticas que especificam a hierarquia de compartimentos até o compartimento que está sendo movido serão atualizadas automaticamente quando a política for anexada a um antecessor compartilhado do pai atual e do alvo. Considere os seguintes exemplos:

Exemplo 1: Política atualizada automaticamente

Neste exemplo, você move o compartimento A de Operações:Teste para Operações:Desenvolvimento. A política que controla o compartimento A é anexada ao pai compartilhado, Operações. Quando o compartimento é movido, a instrução de política é atualizada automaticamente pelo serviço IAM para especificar o novo local do compartimento.

A política

Allow group G1 to manage buckets in compartment Test:A 

é atualizada para

Allow group G1 to manage buckets in compartment Dev:A

Não é necessária intervenção manual para permitir que o grupo G1 continue a acessar o compartimento A em sua localização.

Exemplo 2: Política não atualizada

Neste exemplo, você move o compartimento A de Operações:Teste para Operações:Desenvolvimento. Porém, a política que controla o compartimento A aqui é anexada diretamente ao compartimento de Teste. Quando o compartimento é movido, a política não é atualizada automaticamente. A política que especifica o compartimento A não é mais válida e deve ser removida manualmente. O grupo G1 não tem mais acesso ao compartimento A em seu novo local em Dev. A menos que outra política existente conceda acesso ao grupo G1, você deverá criar uma nova política para permitir que G1 continue a gerenciar buckets no compartimento A.

Exemplo 3: A política anexada à tenancy foi atualizada

Neste exemplo, você move o compartimento A de Operações:Teste para HR:Prod. A política que rege o compartimento A está anexada à tenancy, que é um antecessor compartilhado pelo compartimento pai original e pelo novo compartimento pai. Portanto, quando o compartimento é movido, a instrução da política é atualizada automaticamente pelo serviço IAM para especificar o local do novo compartimento.

A instrução da política:

Allow group G1 to manage buckets in compartment Operations:Test:A 

é atualizada para

Allow group G1 to manage buckets in compartment HR:Prod:A

Não é necessária intervenção manual para permitir que o grupo G1 continue a acessar o compartimento A.

Quando você move um compartimento para outro, as cotas de recursos no compartimento de destino não são verificadas e não são impostas. Portanto, se o compartimento mover os resultados em uma violação de cota no compartimento de destino, a movimentação não será bloqueada. Após a conclusão da movimentação, o compartimento de destino estará em um estado sobrecarregado. Não será possível criar novos recursos que estejam sobrecarregados até que você ajuste as cotas do compartimento de destino ou remova os recursos de acordo com a cota existente. Para obter mais informações sobre o gerenciamento de cotas de compartimento, consulte Visão Geral de Cotas de Compartimento.

As tags não são atualizadas automaticamente após uma movimentação de compartimento. Se você implementou uma estratégia de tags com base no compartimento, deverá atualizar as tags nos recursos após a movimentação. Por exemplo, imagine que o CompartmentA tenha um compartimento filho, CompartmentB. O CompartmentA é configurado com padrões de tag para que cada recurso no CompartmentA seja marcado com a TagA. Portanto, o CompartmentB e todos os seus recursos são marcados com a tag padrão, TagA. Quando você mover o CompartmentB para o CompartmentC, ele ainda terá as tags padrão do CompartmentA. Se você tiver configurado tags padrão para o CompartmentC, precisará adicioná-las aos recursos do compartimento movido.