Documentação do Oracle Cloud Infrastructure

Criando Instruções de Política com o Criador de Política

Trabalhar com o Policy Builder.

O construtor de políticas na Console ajuda você a criar rapidamente políticas comuns sem a necessidade de digitar manualmente as instruções de política. O construtor de políticas sugere automaticamente as permissões que um administrador pode conceder a grupos de usuários ou recursos em sua tenancy, bem como recursos de destino, como instâncias, redes e buckets. A maioria das políticas sugeridas no construtor de políticas também pode ser encontrada em Políticas Comuns, onde você pode ver mais detalhes sobre o acesso fornecido por cada política e os casos de uso de cada uma. Os usuários que não precisam das sugestões oferecidas pelo construtor de políticas ou que têm requisitos de política mais complexos podem ignorar a opção básica do construtor e ir direto para o editor avançado, onde você pode digitar diretamente as instruções de política em uma caixa de texto de formato livre.

Recursos do Construtor de Políticas

O construtor de políticas fornece modelos de política que você pode concluir para criar políticas para sua tenancy. Um modelo de política inclui todas as instruções necessárias para fornecer as permissões para executar uma tarefa ou um conjunto de tarefas relacionadas em um serviço no OCI. Para concluir o modelo, selecione o grupo em um menu de grupos existentes na tenancy e selecione o local em uma lista de compartimentos na tenancy.

Os modelos de política do construtor de políticas são agrupados por caso de uso, como gerenciamento de rede, gerenciamento de armazenamento e gerenciamento de conta, para facilitar a navegação e a localização do conjunto de permissões de que você precisa.

Por exemplo, suponha que você esteja configurando os administradores de rede para sua tenancy. Conceda a um grupo de usuários as permissões necessárias para trabalhar com todos os recursos no serviço Networking. Para criar essa política no construtor de políticas:

  • Primeiro, encontre a política que deseja: No menu Casos de uso de política, selecione Gerenciamento de Rede. Se você não tiver certeza do caso de uso ao qual uma política pertence, poderá deixar essa opção definida como Todos para procurar todos os modelos.
  • No menu Modelos de política comum, selecione Permitir que os administradores de rede gerenciem uma rede na nuvem.

    O construtor de políticas exibe as instruções de política que serão criadas. Nesse caso, existe apenas uma instrução:

    Allow {group name} to manage virtual-network-family in {location}
  • Agora, tudo o que você precisa fazer é selecionar o domínio de identidades e o grupo da política: Quando você seleciona um grupo, o {group name} na instrução de política exibida também é atualizado com sua seleção.
  • Por último, selecione o local. Você pode percorrer a hierarquia de compartimentos para localizar e selecionar o compartimento apropriado. Para criar a política na tenancy, escolha o compartimento raiz.

Personalizando Políticas

Se você achar que um modelo não atende exatamente às suas necessidades, poderá personalizar as políticas fornecidas adicionando instruções, removendo instruções, adicionando condições ou outras alterações para criar a política necessária. Clique em Mostrar editor manual para editar as instruções em uma caixa de texto de formato livre. Ao digitar instruções diretamente na caixa de texto, certifique-se de seguir as regras de Sintaxe de Política.

Exemplos de personalização da política de Administradores de Rede:

  • Inclua outro grupo (do domínio de identidades padrão), GroupB, para essa política. Para adicionar um grupo:

    Clique em Mostrar editor manual. Na caixa de texto, digite as alterações na política (seguindo a sintaxe obrigatória). 

    Allow group 'Default'/'GroupA', 'Default'/'GroupB' to manage virtual-network-family in compartment CompartmentA

    Esta imagem mostra a caixa de texto do construtor de políticas avançado com a instrução editada

    Observação

    Se você incluir apenas o nome do grupo sem um domínio de identidades, o construtor de políticas assumirá que o grupo está no domínio de identidades padrão.
  • Adicione uma condição à instrução. Por exemplo, você deseja garantir que apenas os usuários que foram verificados por MFA possam gerenciar suas redes. Você pode adicionar essa condição à instrução da seguinte forma:
    Allow group GroupA to manage virtual-network-family in compartment CompartmentA where request.user.mfaTotpVerified='true'
  • Você deseja adicionar outra instrução à política. Por exemplo, você deseja que GroupA tenha permissão para usar instâncias. Para adicionar outra instrução, digite-a na próxima linha:
    Allow group GroupA to manage virtual-network-family in compartment CompartmentA
Allow group GroupA to use instance-family in compartment CompartmentA

Editando Políticas com o Construtor de Políticas

Depois de criar a política, você poderá digitar qualquer alteração de instrução que precisar fazer diretamente no texto da política. O seletor de modelo só está disponível ao criar uma nova política. O editor permite excluir, adicionar, editar ou alterar a ordem das instruções.