Documentação do Oracle Cloud Infrastructure

Gerenciando Políticas

Este tópico descreve como criar, editar e excluir políticas.

Política do Serviço IAM Obrigatória

Se você estiver no grupo Administradores, terá o acesso necessário para gerenciar políticas.

Se você for novo em políticas, consulte Conceitos Básicos de Políticas e Políticas Comuns. Se você quiser se aprofundar na criação de políticas para controlar quem mais pode criar políticas ou gerenciar outros componentes do serviço IAM, consulte Permitir que um administrador de compartimento gerencie o compartimento e também Detalhes do Serviço IAM sem Domínios de Identidade.

Aplicando Tags em Recursos

Aplique tags aos seus recursos para ajudar a organizá-los de acordo com as necessidades da sua empresa. Aplique tags no momento da criação de um recurso ou atualize-o posteriormente com as tags desejadas. Para obter informações gerais sobre a aplicação de tags, consulte Tags de Recursos.

Como trabalhar com Políticas

Caso ainda não tenha feito isso, leia Como as Políticas Funcionam para compreender os conceitos básicos de como as políticas funcionam.

Ao criar uma política, você deve especificar o compartimento onde ela deve ser anexada, que é a tenancy (o compartimento raiz) ou outro compartimento. O local onde ela é anexada controla quem pode modificá-la ou excluí-la posteriormente. Para obter mais informações, consulte Anexação de Políticas. Ao criar a política na Console, você anexa a política a um compartimento criando a política nesse compartimento. Se você estiver usando a API, especifique o identificador do compartimento na solicitação CreatePolicy.

Ao criar uma política, forneça um nome para ela que não possa ser alterado. O nome deve ser exclusivo entre todas as políticas no compartimento em que você o cria. Forneça também uma descrição para a política, que não seja exclusiva e que possa ser alterada. O Oracle também designará à política um ID exclusivo chamado Oracle Cloud ID. Para obter mais informações, consulte Identificadores de Recursos.

Nota

Se você excluir uma política e depois criar uma nova política com o mesmo nome, ela será considerada uma política distinta porque terá outros OCIDs.

Para obter informações sobre como gravar uma política, consulte Como as Políticas Funcionam e Sintaxe da Política. Ao usar a Console para criar políticas, você pode usar o construtor de políticas para ajudar a construir a sintaxe das políticas que deseja adicionar.

Ao criar uma política, fazer alterações em uma política existente ou excluir uma política, suas alterações entram em vigor normalmente em 10 segundos.

Você pode exibir uma lista de suas políticas na Console ou com a API. Na Console, a lista é filtrada automaticamente para mostrar somente as políticas associadas ao compartimento que você está exibindo. Para determinar quais políticas se aplicam a um grupo específico, você deve exibir as instruções individuais dentro de todas as suas políticas. Não há uma maneira de obter automaticamente essas informações na Console ou na API.

Para obter informações sobre o número de políticas que você pode ter, consulte Limites do Serviço.

Criando Instruções de Política com o Criador de Política

O construtor de políticas na Console ajuda você a criar rapidamente políticas comuns sem a necessidade de digitar manualmente as instruções de política. O construtor de políticas sugere automaticamente as permissões que um administrador pode conceder a grupos de usuários ou recursos em sua tenancy, bem como recursos de destino, como instâncias, redes e buckets. A maioria das políticas sugeridas no construtor de políticas também pode ser encontrada em Políticas Comuns, onde você pode ver mais detalhes sobre o acesso fornecido por cada política e os casos de uso de cada uma. Os usuários que não precisam das sugestões oferecidas pelo construtor de políticas ou que têm requisitos de política mais complexos podem ignorar a opção básica do construtor e ir direto para o editor avançado, onde você pode digitar diretamente as instruções de política em uma caixa de texto de formato livre.

Recursos do Construtor de Políticas

O construtor de políticas fornece modelos de política que você pode concluir para criar políticas para sua tenancy. Um modelo de política inclui todas as instruções necessárias para fornecer as permissões para executar uma tarefa ou um conjunto de tarefas relacionadas em um serviço no OCI. Para concluir o modelo, selecione o grupo em um menu de grupos existentes e selecione o local na lista de compartimentos em sua tenancy.

Os modelos de política do construtor de políticas são agrupados por caso de uso, como gerenciamento de rede, gerenciamento de armazenamento e gerenciamento de conta, para facilitar a navegação e a localização do conjunto de permissões de que você precisa.

Por exemplo, suponha que você esteja configurando os administradores de rede para sua tenancy. Conceda a um grupo de usuários as permissões necessárias para trabalhar com todos os recursos no serviço Networking. Para criar essa política no construtor de políticas:

  • Primeiramente, localize a política que você deseja: No menu Casos de Uso da Política, selecione Gerenciamento de Rede. Se você não tiver certeza a qual caso de uso uma política pertence, poderá deixar essa opção definida como Todos para procurar todos os modelos.
  • No menu Modelos de Política Comuns, selecione Permitir que os administradores de rede gerenciem uma rede na nuvem.

    O construtor de políticas exibe as instruções de política que serão criadas. Nesse caso, existe apenas uma instrução:

    Allow {group name} to manage virtual-network-family in {location}
  • Agora, tudo o que você precisa fazer é selecionar o grupo e o local da política: Quando você seleciona um grupo, o {group name} na instrução de política exibida também é atualizado com sua seleção.
  • Por último, selecione o local. Você pode percorrer a hierarquia de compartimentos para localizar e selecionar o compartimento apropriado. Para criar a política na tenancy, escolha o compartimento raiz.

    Esta imagem mostra o construtor de políticas com a política de administradores de rede

Personalizando Políticas

Se você achar que um modelo não atende exatamente às suas necessidades, poderá personalizar as políticas fornecidas adicionando instruções, removendo instruções, adicionando condições ou outras alterações para criar a política necessária. Clique em Personalizar (Avançado) para editar as instruções em uma caixa de texto de formato livre. Ao digitar instruções diretamente na caixa de texto, certifique-se de seguir as regras de Sintaxe de Política.

Exemplos de personalização da política de Administradores de Rede:

  • Você precisa incluir outro grupo, GroupB, nessa política. Para adicionar um grupo:

    Clique em Personalizar (Avançado). Na caixa de texto, digite as alterações na política (seguindo a sintaxe obrigatória). 

    Allow group GroupA, GroupB to manage virtual-network-family in compartment CompartmentA

    Esta imagem mostra a caixa de texto do construtor de políticas avançado com a instrução editada

  • Adicione uma condição à instrução. Por exemplo, você deseja garantir que apenas os usuários que foram verificados por MFA possam gerenciar suas redes. Você pode adicionar essa condição à instrução da seguinte forma:
    Allow group GroupA to manage virtual-network-family in compartment CompartmentA where request.user.mfaTotpVerified='true'

    Esta imagem mostra a caixa de texto do construtor de políticas avançado com a instrução editada

  • Você deseja adicionar outra instrução à política. Por exemplo, você deseja que GroupA tenha permissão para usar instâncias. Para adicionar outra instrução, digite-a na próxima linha:
    Allow group GroupA to manage virtual-network-family in compartment CompartmentA
Allow group GroupA to use instance-family in compartment CompartmentA
  • Esta imagem mostra a caixa de texto do construtor de políticas avançado com a instrução editada

Editando Políticas com o Construtor de Políticas

Depois de criar a política, você poderá digitar qualquer alteração de instrução que precisar fazer diretamente no texto da política. O seletor de modelo só está disponível ao criar uma nova política. O editor permite excluir, adicionar, editar ou alterar a ordem das instruções.

Esta imagem mostra o editor avançado do construtor de políticas com duas instruções

Usando a Console

Para criar uma política

Pré-requisito: O grupo e o compartimento para os quais você está gravando a política já devem existir.

  1. Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Políticas. É exibida uma lista das políticas no compartimento que você está exibindo.
  2. Clique em Criar Política.
  3. Informe o seguinte:
    • Nome: Um nome exclusivo para a política. O nome deve ser exclusivo em todas as políticas em sua tenancy. Não é possível alterar essa opção posteriormente. Evite digitar informações confidenciais.
    • Descrição: Uma descrição amigável. Você poderá alterá-la posteriormente, se desejar.
    • Compartimento: Se você quiser anexar a política a um compartimento diferente daquele que está exibindo, selecione-a na lista. O local onde a política está anexada controla quem pode modificá-la ou excluí-la posteriormente (consulte Anexação de Políticas).
  4. Digite as instruções de política usando o construtor de políticas. Use a opção Básica se quiser escolher entre modelos de política comuns, que você também pode personalizar. Use a opção Personalizar (Avançado) se você já souber criar as instruções necessárias e quiser simplesmente digitá-las em uma caixa de texto.
    Para usar a opção Básica do construtor de políticas:
    1. Selecione no menu Casos de Uso da Política para filtrar a lista de modelos de política. Se você não tiver certeza de qual caso de uso escolher, poderá procurar todos os modelos na lista Modelos de Políticas Comuns.
    2. Selecione o modelo que melhor corresponda aos seus requisitos na lista Modelos de Políticas Comuns.

      O construtor de políticas exibe a descrição da política escolhida e lista as instruções de política que ele inclui.

    3. Selecione o Grupo ao qual essa política se aplica.
    4. Selecione um Local. O local é o compartimento ao qual essa política concede acesso. O compartimento escolhido aqui deve ser o compartimento ao qual você optou por anexar a política na Etapa 3 ou um compartimento na hierarquia desse compartimento.
    5. Se você precisar modificar as instruções de política, clique em Personalizar (Avançado).
    Para usar a opção Personalizar (Avançado):
    1. Clique em Personalizar (Avançado) .
    2. Digite ou edite instruções de política seguindo o formato descrito em Sintaxe de Política, digitando uma instrução por linha.
  5. Para adicionar tags a essa política, clique em Mostrar Opções Avançadas. Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não tiver certeza se deseja aplicar tags, ignore esta opção ou pergunte a um administrador. Você pode aplicar tags posteriormente.
  6. Se quiser criar outra política, selecione Criar Outra Política.
  7. Clique em Criar.

A nova política entrará em vigor normalmente em 10 segundos.

Para obter uma lista das suas políticas

Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Políticas. É exibida uma lista das políticas no compartimento que você está exibindo no momento. Se você quiser exibir as políticas anexadas a outro compartimento, selecione esse compartimento na lista à esquerda. Não é possível obter uma lista única de todas as políticas; elas são sempre exibidas por compartimento.

Para determinar quais políticas se aplicam a um grupo específico, você deve exibir as instruções individuais dentro de todas as suas políticas. Não há uma maneira de obter automaticamente essas informações na Console.

Para atualizar a descrição de uma política existente

Isso só está disponível por meio da API. Uma solução alternativa é criar uma nova política com a nova descrição e excluir a política antiga.

Para atualizar as instruções em uma política existente
  1. Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Políticas. É exibida uma lista das políticas no compartimento que você está exibindo. Se você não vir o que está procurando, verifique se você está exibindo o compartimento correto (selecione na lista à esquerda da página).
  2. Clique na política que deseja atualizar. Os detalhes e instruções da política são exibidos.
  3. Clique em Editar Instruções de Política. Use a opção Básico do construtor de políticas se quiser interagir com as instruções usando controles gráficos. Use a opção Avançado do construtor de políticas para editar as instruções em uma caixa de texto simples.

    Para usar a opção Básico:

    • Para revisar uma instrução, digite as alterações após o formato em Informações Básicas de Política e Sintaxe de Política.
    • Para adicionar uma instrução, clique em +Outra Instrução e digite a instrução após o formato obrigatório.
    • Para excluir uma instrução, clique no X ao lado dela.
    • Para reorganizar a ordem das instruções, use as setas para cima e para baixo a fim de mover as instruções para a ordem correta ou use o controle para arrastar e soltar as instruções para a posição preferencial.
    Para usar a opção Avançado:
  4. Clique em Salvar Alterações quando terminar de editar.

Suas alterações entrarão em vigor normalmente em 10 segundos.

Para excluir uma política
  1. Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Políticas. É exibida uma lista das políticas no compartimento que você está exibindo. Se você não vir o que está procurando, verifique se você está exibindo o compartimento correto (selecione na lista à esquerda da página).
  2. Na política que você deseja excluir, clique em Excluir.
  3. Confirme quando solicitado.

Suas alterações entrarão em vigor normalmente em 10 segundos.

Para aplicar tags a uma política

Para obter instruções, consulte Tags de Recursos.

Usando a API

Para obter informações sobre como usar a API e assinar solicitações, consulte a documentação da API REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte SDKs e a CLI.

Nota

As Atualizações Não São Imediatas em Todas as Regiões

Seus recursos do serviço IAM residem na sua região local. Para impor a política em todas as regiões, o serviço IAM replica seus recursos em cada região. Sempre que você cria ou altera uma política, um usuário ou um grupo, as alterações entram em vigor primeiro na região local e depois são propagadas para suas outras regiões. Pode levar alguns minutos para que as alterações tenham efeito em todas as regiões. Por exemplo, suponha que você tenha um grupo com permissões para iniciar instâncias na tenancy. Se você adicionar o UserA a este grupo, o UserA poderá iniciar instâncias na sua região local em um minuto. No entanto, o UserA não poderá iniciar instâncias em outras regiões até que o processo de replicação seja concluído. Esse processo pode levar alguns minutos. Se o UserA tentar iniciar uma instância antes da conclusão da replicação, será exibido um erro não autorizado.

Use estas operações de API para gerenciar políticas: