Gerenciando Grupos

Este tópico descreve os conceitos básicos do trabalho com grupos.

Importante

Caso sua tenancy seja federada com o Oracle Identity Cloud Service, consulte Gerenciando Usuários e Grupos do Oracle Identity Cloud Service na Console do Oracle Cloud Infrastructure para gerenciar grupos.

Política do Serviço IAM Obrigatória

Se você estiver no grupo Administradores, terá o acesso necessário para gerenciar grupos.

Se você for novo em políticas, consulte Conceitos Básicos de Políticas e Políticas Comuns. Se quiser mais detalhes sobre como criar políticas para grupos ou outros componentes do serviço IAM, consulte Detalhes do Serviço IAM sem Domínios de Identidade.

Aplicando Tags em Recursos

Aplique tags aos seus recursos para ajudar a organizá-los de acordo com as necessidades da sua empresa. Aplique tags no momento da criação de um recurso ou atualize-o posteriormente com as tags desejadas. Para obter informações gerais sobre a aplicação de tags, consulte Tags de Recursos.

Como Trabalhar com Grupos

Ao criar um grupo, você deve fornecer um nome exclusivo e inalterável para o grupo. O nome deve ser exclusivo em todos os grupos em sua tenancy. Você também deve fornecer ao grupo uma descrição (embora possa ser uma string vazia), que é uma descrição não exclusiva e que pode ser alterada para o grupo. O sistema Oracle também designará ao grupo um ID exclusivo chamado OCID (Oracle Cloud ID). Para obter mais informações, consulte Identificadores de Recursos.

Nota

Se você excluir um grupo e depois criar um novo grupo com o mesmo nome, eles serão considerados grupos distintos porque terão outros OCIDs.

Um grupo não tem permissões até que você grave pelo menos uma política que dê a esse grupo permissão para a tenancy ou o compartimento. Ao gravar a política, você pode especificar o grupo usando o nome exclusivo ou o OCID do grupo. De acordo com a observação anterior, mesmo que você especifique o nome do grupo na política, o serviço IAM usa internamente o OCID para determinar o grupo. Para obter informações sobre como gravar políticas, consulte Gerenciando Políticas.

Você pode excluir um grupo, mas somente se o grupo estiver vazio.

Para obter informações sobre o número de grupos que você pode ter, consulte Limites do Serviço.

Se você estiver federando com um provedor de identidades, criará mapeamentos entre os grupos do provedor de identidades e seus grupos do serviço IAM. Para obter mais informações, consulte Federando com Provedores de Identidades.

Usando a Console

Para criar um grupo

Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Grupos. Uma lista dos grupos em sua tenancy será exibida.
Clique em Criar Grupo.
Informe o seguinte:
- Nome: Um nome exclusivo para o grupo. O nome deve ser exclusivo em todos os grupos da sua tenancy. Não é possível alterar essa opção posteriormente. O nome deve ter de 1 a 100 caracteres e pode incluir os seguintes caracteres: letras minúsculas a-z, letras maiúsculas A-Z, 0-9 e o ponto (.), traço (-) e sublinhado (_). Espaços não são permitidos. Evite digitar informações confidenciais.
- Descrição: Uma descrição amigável. Você poderá alterá-la posteriormente, se desejar.
- Tags: Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não tiver certeza se deseja aplicar tags, ignore esta opção ou pergunte a um administrador. Você pode aplicar tags posteriormente.
Clique em Criar Grupo.

Em seguida, você pode adicionar usuários ao grupo ou gravar uma política para o grupo. Consulte Para criar uma política.

Para adicionar um usuário a um grupo

Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Grupos. Uma lista dos grupos em sua tenancy será exibida.
Localize o grupo na lista.
Clique no grupo. Os detalhes são exibidos
Clique em Adicionar Usuário ao Grupo.
Selecione o usuário na lista drop-down e clique em Adicionar Usuário.

Para remover um usuário de um grupo

Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Grupos. Uma lista dos grupos em sua tenancy será exibida.
Localize o grupo na lista.
Clique no grupo para exibir seus detalhes. Uma lista de usuários do grupo é exibida.
Localize o usuário na lista.
Localize o usuário que deseja remover e clique em Remover.
Confirme quando solicitado.

Para excluir um grupo

Pré-requisito: Para excluir um grupo, ele não pode ter qualquer usuário.

Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Grupos. Uma lista dos grupos em sua tenancy será exibida.
Localize o grupo na lista.
Localize o grupo que você deseja excluir e clique em Excluir.
Confirme quando solicitado.

Para atualizar a descrição de um grupo

Isso só está disponível por meio da API. Se você não tiver acesso à API e precisar atualizar a descrição de um grupo, entre em contato com o Suporte Técnico da Oracle.

Para aplicar tags a um grupo

Para obter instruções, consulte Tags de Recursos.

Usando a API

Para obter informações sobre como usar a API e assinar solicitações, consulte a documentação da API REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte SDKs e a CLI.

Nota

As Atualizações Não São Imediatas em Todas as Regiões

Seus recursos do serviço IAM residem na sua região local. Para impor a política em todas as regiões, o serviço IAM replica seus recursos em cada região. Sempre que você cria ou altera uma política, um usuário ou um grupo, as alterações entram em vigor primeiro na região local e depois são propagadas para suas outras regiões. Pode levar alguns minutos para que as alterações tenham efeito em todas as regiões. Por exemplo, suponha que você tenha um grupo com permissões para iniciar instâncias na tenancy. Se você adicionar o UserA a este grupo, o UserA poderá iniciar instâncias na sua região local em um minuto. No entanto, o UserA não poderá iniciar instâncias em outras regiões até que o processo de replicação seja concluído. Esse processo pode levar alguns minutos. Se o UserA tentar iniciar uma instância antes da conclusão da replicação, será exibido um erro não autorizado.

Use estas operações de API para gerenciar grupos:

CreateGroup
ListGroups
GetGroup
UpdateGroup: Você só pode atualizar a descrição do grupo.
DeleteGroup
ListUserGroupMemberships: Use para obter uma lista dos usuários que estão em um grupo ou em quais grupos um usuário está.
AddUserToGroup: Esta operação resulta em um objeto UserGroupMembership com seu próprio OCID.
GetUserGroupMembership
RemoveUserFromGroup: Esta operação exclui um objeto UserGroupMembership.

Para operações de API relacionadas a mapeamentos de grupo para provedores de identidades, consulte Federando com Provedores de Identidades.