Documentação do Oracle Cloud Infrastructure

Gerenciando Compartimentos

Este tópico descreve os conceitos básicos sobre como trabalhar com compartimentos.

Política do Serviço IAM Obrigatória

Se você estiver no grupo Administradores, então terá o acesso necessário para gerenciar compartimentos.

Para obter uma política adicional relacionada ao gerenciamento de compartimentos, consulte Permitir que um administrador de compartimento gerencie o compartimento.

Se você for novo em políticas, consulte Conceitos Básicos de Políticas e Políticas Comuns. Se quiser se aprofundar na gravação de políticas para compartimentos ou outros componentes do serviço IAM, consulte Detalhes do Serviço IAM.

Aplicando Tags em Recursos

Você pode aplicar tags aos seus recursos para ajudá-lo a organizá-los de acordo com as necessidades do seu negócio. Você pode aplicar tags no momento da criação de um recurso ou pode atualizar o recurso posteriormente com as tags desejadas. Para obter informações gerais sobre a aplicação de tags, consulte Tags de Recursos.

Como trabalhar com Compartimentos

Quando começar a trabalhar com o Oracle Cloud Infrastructure pela primeira vez, você precisa pensar cuidadosamente sobre como deseja usar os compartimentos para organizar e isolar os recursos de nuvem. Compartimentos são fundamentais para esse processo. A maioria dos recursos pode ser movida entre os compartimentos. No entanto, é importante pensar no design do seu compartimento na frente da sua organização antes de implementar qualquer coisa. Para obter mais informações, consulte Configurando sua Tenancy.

A Console foi criada para exibir seus recursos por compartimento dentro da região atual. Quando você trabalha com seus recursos na Console, escolha em qual compartimento deseja trabalhar em uma lista da página. Essa lista é filtrada para mostrar somente os compartimentos na tenancy à qual você tem permissão para acessar. Se você for um administrador, terá permissão para exibir todos os compartimentos e trabalhar com recursos de compartimento, mas se for um usuário com acesso limitado, provavelmente não será possível.

Os compartimentos estão presentes em todas as tenancies, em todas as regiões. Quando você cria um compartimento, ele fica disponível em todas as regiões em que sua tenancy está inscrita. Você pode obter uma exibição de região cruzada dos seus recursos em um compartimento específico com o explorador de compartimentos. Consulte Exibindo Todos os Recursos em um Compartimento.

Criando Compartimentos

Ao criar um compartimento, você deve fornecer um nome para ele (máximo de 100 caracteres, incluindo letras, números, pontos, hifens e sublinhados) que seja exclusivo dentro do compartimento pai. Forneça também uma descrição não exclusiva e alterável para o compartimento, de 1 a 400 caracteres. O sistema Oracle também atribuirá ao compartimento um ID exclusivo chamado Oracle Cloud ID. Para obter mais informações, consulte Identificadores de Recursos.

Você pode criar subcompartimentos em compartimentos para criar hierarquias com seis níveis de profundidade.

Figura mostrando a hierarquia de compartimentos com seis níveis de profundidade

Para obter informações sobre o número de compartimentos que você pode ter, consulte Limites do Serviço.

Controle de Acesso dos Compartimentos

Depois de criar um compartimento, você precisa gravar pelo menos uma política  para ele; caso contrário, ninguém poderá acessá-lo (exceto administradores ou usuários com permissões definidas no nível de tenancy). Ao criar um compartimento dentro de outro compartimento, o compartimento herda as permissões de acesso dos compartimentos superiores na hierarquia. Para obter mais informações, consulte Herança de Políticas.

Ao criar uma política de acesso, você precisa especificar a qual compartimento ela será anexada. Isso controla quem poderá modificar ou excluir posteriormente a política. Dependendo de como você projetou sua hierarquia de compartimentos, você pode anexá-la à tenancy, a um pai ou ao próprio compartimento específico. Para obter mais informações, consulte Anexação de Políticas.

Colocando Recursos em um Compartimento

Para colocar um novo recurso em um compartimento, você simplesmente especifica esse compartimento ao criar o recurso (o compartimento é uma das informações necessárias para criar um recurso). Se estiver trabalhando na Console, certifique-se de estar exibindo primeiro o compartimento no qual deseja criar o recurso. Lembre-se de que a maioria dos recursos do serviço IAM reside na tenancy (isso inclui usuários, grupos, compartimentos e qualquer política anexada à tenancy) e não pode ser criada ou gerenciada em um compartimento específico.

Movendo Recursos para Outro Compartimento

A maioria dos recursos pode ser movida após sua criação. Há alguns recursos que você não pode mover de um compartimento para outro.

Alguns recursos têm dependências de recursos anexadas e outros não. Nem todas as dependências anexadas se comportam da mesma forma que quando o recurso pai é movido.

Para alguns recursos, as dependências anexadas são movidas com o recurso pai para o novo compartimento. O recurso pai é movido imediatamente, mas em alguns casos, dependências anexadas se movem de forma assíncrona e não ficam visíveis no novo compartimento até que a movimentação seja concluída.

Para outros recursos, as dependências do recurso associadas não serão movidas para o novo compartimento. Você pode mover esses recursos anexados de forma independente.

Depois de mover o recurso para o novo compartimento, as políticas que controlam o novo compartimento se aplicam imediatamente e afetam o acesso ao recurso. Dependendo da estrutura da sua organização de compartimento, a medição, o faturamento e os alarmes também podem ser afetados.

Consulte a documentação de serviço para obter recursos individuais, a fim de se familiarizar com o comportamento de cada recurso e seus anexos.

Exibindo Recursos em um Compartimento

Não é possível obter uma lista de todos os recursos de um compartimento usando uma chamada de API única. Em vez disso, você pode listar todos os recursos de determinado tipo no compartimento (por exemplo, todas as instâncias, todos os volumes de armazenamento em blocos etc.).

Dica

Na Console, o explorador de compartimentos permite que você obtenha uma lista de recursos em um compartimento, em todas as regiões, com algumas limitações. Para obter mais informações, consulte Exibindo Todos os Recursos em um Compartimento.

Excluindo Compartimentos

Para excluir um compartimento, ele deve estar vazio de todos os recursos. Antes de iniciar a exclusão de um compartimento, certifique-se de que todos os seus recursos foram movidos, excluídos ou encerrados, incluindo todas as políticas anexadas ao compartimento.

Importante

Alguns tipos de recursos não podem ser excluídos, portanto, os compartimentos que contêm esses tipos de recursos não podem ser excluídos. Um tipo de recurso que não pode ser excluído é:

  • Jobs de transferência de dados

A ação de exclusão é assíncrona e inicia uma solicitação de serviço. O estado do compartimento é alterado para Excluindo enquanto a solicitação de serviço está em execução. Normalmente, leva alguns minutos para a conclusão da solicitação de serviço. Enquanto ele estiver no estado Excluindo, não será exibido no seletor de compartimentos. Se a solicitação de serviço falhar, o compartimento não será excluído e retornará ao estado Ativo.

Depois que um compartimento é excluído, seu estado é atualizado para Excluído e uma string aleatória de caracteres é anexada ao seu nome, por exemplo, o CompartmentA pode se tornar CompartmentA.qR5hP2BD. Renomear o compartimento permite que você reutilize o nome original para outro compartimento. O Oracle exibe o compartimento excluído na página Compartimentos do número de dias especificado na definição do Período de Retenção de Auditoria (90-365 dias). O compartimento excluído é removido do selecionador de compartimento. Se qualquer instrução de política fizer referência ao compartimento excluído, o nome na instrução de política será atualizado para o novo nome.

Dicas de resolução de problemas para quando um compartimento não puder ser excluído
Importante

Há um problema conhecido que faz com que os compartimentos excluídos continuem presentes no seu limite do serviço de compartimentos. Consulte Os compartimentos excluídos continuam presentes nos limites do serviço.

Recuperando Compartimentos

Para recuperar um compartimento, primeiro selecione-o na lista da página Compartimento. Talvez você tenha que usar o filtro de estado para ver o compartimento excluído. Lembre-se de que os compartimentos excluídos são renomeados acrescentando uma string aleatória de caracteres ao nome do compartimento original. Por exemplo, o CompartmentA pode se tornar o CompartmentA.qR5hP2BD. O Oracle exibe o compartimento excluído na página Compartimentos do número de dias especificado na definição do Período de Retenção de Auditoria (90-365 dias).

Quando você recupera um compartimento excluído, o nome não é alterado. Por exemplo, se você recuperar um compartimento excluído chamado CompartmentA.qR5hP2BD, o nome permanecerá o mesmo. Como as instruções de política são atualizadas para usar os novos nomes de compartimentos excluídos, todas as instruções de política que mencionaram o compartimento excluído agora fazem referência ao compartimento recuperado.

Adicionando Padrões de Tag de um Compartimento

Padrões de tag permitem que você especifique tags a serem aplicadas automaticamente a todos os recursos, no momento da criação, no compartimento atual. Para obter mais informações, consulte Gerenciando Padrões de Tags.

Movendo um Compartimento para outro Compartimento Pai

Você pode mover um compartimento para outro compartimento pai na mesma tenancy. Quando você move um compartimento, todo o seu conteúdo (subcompartimentos e recursos) é movido com ele. Mover um compartimento tem implicações para o conteúdo. Essas implicações são descritas nas próximas seções. Conheça essas implicações antes de mover um compartimento.

Política do Serviço IAM Obrigatória

Para mover um compartimento, você deve pertencer a um grupo que tenha permissões manage all-resources no compartimento pai compartilhado mais inferior do compartimento atual e no compartimento de destino.

Restrições na Movimentação de Compartimentos

  • Não é possível mover um compartimento para um compartimento de destino com o mesmo nome do compartimento que está sendo movido.

    Por exemplo, considere que o compartimento A e o compartimento B estejam ambos no compartimento raiz. No compartimento A, há um subcompartimento, também chamado compartimento B. Não é possível mover o compartimento B para o compartimento pai B.

    O Compartimento B não pode ser movido para um compartimento pai também chamado Compartimento B

  • Dois compartimentos dentro do mesmo pai não podem ter o mesmo nome. Portanto, não é possível mover um compartimento para um compartimento de destino onde já existe um compartimento com o mesmo nome.

Noções Básicas sobre Implicações de Política ao Mover um Compartimento

Depois de mover um compartimento para um novo compartimento pai, as políticas de acesso do novo pai entram em vigor, e as políticas do pai anterior não se aplicam mais. Antes de mover um compartimento, certifique-se de que:

  • Você está ciente das políticas que controlam o acesso ao compartimento na posição atual.
  • Você está ciente das políticas no novo compartimento pai que terão efeito ao mover o compartimento.

Em alguns casos, ao mover compartimentos aninhados com políticas que especificam a hierarquia, as políticas são atualizadas automaticamente para garantir a consistência.

Exemplos de Política

Grupos com Permissões no Compartimento Atual Perdem Acesso; Grupos com Permissões no Compartimento de Destino Ganham Acesso

A figura a seguir mostra uma hierarquia de compartimentos na qual o compartimento C, um filho de A:B é movido para a hierarquia A:D.

O Compartimento C é movido de A:B para A:D

A tenancy tem as seguintes políticas definidas para os compartimentos B e D:

Policy1: Allow group G1 to manage instance-family in compartment A:B

Policy2: Allow group G2 to manage instance-family in compartment A:D

Tem efeito quando o compartimento C é movido de B para D:

O grupo G1 não pode mais gerenciar famílias de instâncias no compartimento C.

O grupo G2 agora pode gerenciar famílias de instâncias no compartimento C.

Saiba não só quais grupos perdem permissões ao mover um compartimento, mas também quais grupos obterão permissões.

Atualização Automática de Políticas

Ao mover um compartimento, algumas políticas serão atualizadas automaticamente. As políticas que especificam a hierarquia de compartimentos até o compartimento que está sendo movido serão atualizadas automaticamente quando a política for anexada a um antecessor compartilhado do pai atual e do alvo. Considere os seguintes exemplos:

Exemplo 1: Política atualizada automaticamente

A política é atualizada automaticamente quando a política é anexada a um antecessor compartilhado

Neste exemplo, você move o compartimento A de Operações:Teste para Operações:Desenvolvimento. A política que controla o compartimento A é anexada ao pai compartilhado, Operações. Quando o compartimento é movido, a instrução de política é atualizada automaticamente pelo serviço IAM para especificar o novo local do compartimento.

A política

Allow group G1 to manage buckets in compartment Test:A 

é atualizada para

Allow group G1 to manage buckets in compartment Dev:A

Não é necessária intervenção manual para permitir que o grupo G1 continue a acessar o compartimento A em sua localização.

Exemplo 2: Política não atualizada

A política não foi atualizada

Neste exemplo, você move o compartimento A de Operações:Teste para Operações:Desenvolvimento. Porém, a política que controla o compartimento A aqui é anexada diretamente ao compartimento de Teste. Quando o compartimento é movido, a política não é atualizada automaticamente. A política que especifica o compartimento A não é mais válida e deve ser removida manualmente. O grupo G1 não tem mais acesso ao compartimento A em seu novo local em Dev. A menos que outra política existente conceda acesso ao grupo G1, você deverá criar uma nova política para permitir que G1 continue a gerenciar buckets no compartimento A.

Exemplo 3: A política anexada à tenancy foi atualizada

A política é atualizada automaticamente quando a política é anexada a um antecessor compartilhado

Neste exemplo, você move o compartimento A de Operações:Teste para HR:Prod. A política que rege o compartimento A está anexada à tenancy, que é um antecessor compartilhado pelo compartimento pai original e pelo novo compartimento pai. Portanto, quando o compartimento é movido, a instrução da política é atualizada automaticamente pelo serviço IAM para especificar o local do novo compartimento.

A instrução da política:

Allow group G1 to manage buckets in compartment Operations:Test:A 

é atualizada para

Allow group G1 to manage buckets in compartment HR:Prod:A

Não é necessária intervenção manual para permitir que o grupo G1 continue a acessar o compartimento A.

Noções Básicas sobre Implicações da Cota de Compartimento ao Mover um Compartimento

Quando você move um compartimento para outro, as cotas de recursos no compartimento de destino não são verificadas e não são impostas. Portanto, se o compartimento mover os resultados em uma violação de cota no compartimento de destino, a movimentação não será bloqueada. Após a conclusão da movimentação, o compartimento de destino estará em um estado sobrecarregado. Não será possível criar novos recursos que estejam sobrecarregados até que você ajuste as cotas do compartimento de destino ou remova os recursos de acordo com a cota existente. Para obter mais informações sobre o gerenciamento de cotas de compartimento, consulte Cotas de Compartimento.

Noções Básicas sobre Implicações de Tags ao Mover um Compartimento

As tags não são atualizadas automaticamente após uma movimentação de compartimento. Se você implementou uma estratégia de tags com base no compartimento, deverá atualizar as tags nos recursos após a movimentação. Por exemplo, imagine que o CompartmentA tenha um compartimento filho, CompartmentB. O CompartmentA é configurado com padrões de tag para que cada recurso no CompartmentA seja marcado com a TagA. Portanto, o CompartmentB e todos os seus recursos são marcados com a tag padrão, TagA. Quando você mover o CompartmentB para o CompartmentC, ele ainda terá as tags padrão do CompartmentA. Se você tiver configurado tags padrão para o CompartmentC, precisará adicioná-las aos recursos do compartimento movido.

Os padrões de tag não são atualizados depois que um compartimento é movido

Usando a Console

Aviso

Evite inserir informações confidenciais ao designar descrições, tags ou nomes simples aos seus recursos na nuvem por meio da Console, API ou CLI do Oracle Cloud Infrastructure.

Para criar um compartimento
Para atualizar o nome de um compartimento
Para atualizar a descrição de um compartimento
Para exibir o conteúdo de um compartimento
Para mover um compartimento
Para mover um recurso para outro compartimento
Para aplicar tags a um compartimento
Para excluir um compartimento
Para recuperar um compartimento

Usando a API

Para obter informações sobre o uso da API e solicitações de assinatura, consulte APIs REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte Software Development Kits e Interface de Linha de Comandos.

Use estas operações da API para gerenciar compartimentos:

Você só pode recuperar o conteúdo de um compartimento por tipo de recurso. Não há chamada de API que lista todos os recursos do compartimento. Por exemplo, para listar todas as instâncias em um compartimento, chame a operação ListInstances da API de Serviços Principais e especifique o ID do compartimento como um parâmetro de consulta.