Detalhes do Serviço IAM com Domínios de Identidades
Este tópico inclui detalhes de criação de políticas para controlar o acesso ao serviço IAM (para tenancies que têm domínios de identidade).
Tipos de Recursos
authentication-policies
compartments
credentials
domains
dynamic-groups
groups
iamworkrequest
identity-providers
network-sources
policies
tag-defaults
tag-namespaces
tenancies
users
workrequest
Variáveis Suportadas
O serviço IAM suporta todas as variáveis gerais (consulte Variáveis Gerais para Todas as Solicitações), além de outras listadas aqui:
Operações para Este Tipo de Recurso... | Podem Usar Essas Variáveis... | Tipo de variável | Comentários |
---|---|---|---|
users
|
target.user.id
|
Entidade (OCID) | Não disponível para uso com CreateUser ou ListUsers. |
target.user.name
|
String | Não disponível para uso com ListUsers. | |
target.resource.domain.id |
Entidade (OCID) | ||
target.resource.domain.name |
String | ||
groups
|
target.group.id
|
Entidade (OCID) | Não disponível para uso com CreateGroup ou ListGroups. |
target.group.name
|
String | Não disponível para uso com ListGroups. | |
target.group.member
|
Booleano |
Verdadeiro se request.user for membro de target.group. Falso se o serviço estiver criando o target.group. Não disponível para uso com ListGroups. |
|
target.resource.domain.id |
Entidade (OCID) | ||
target.resource.domain.name |
String | ||
dynamic-groups
|
target.dynamicgroup.id
|
Entidade (OCID) | Não disponível para uso com CreateDynamicGroup ou ListDynamicGroups. |
target.dynamicgroup.name |
String | Não disponível para uso com CreateDynamicGroup ou ListDynamicGroups. | |
target.resource.domain.id |
Entidade (OCID) | ||
target.resource.domain.name |
String | ||
policies
|
target.policy.id
|
Entidade (OCID) | Não disponível para uso com CreatePolicy ou ListPolicies. |
target.policy.name
|
String | Não disponível para uso com ListPolicies. | |
target.policy.autoupdate |
Booleano | Não disponível para uso com ListPolicies. | |
compartments
|
target.compartment.id
|
Entidade (OCID) |
Esta é uma variável universal disponível para ser usada com qualquer solicitação entre todos os serviços (consulte Variáveis Gerais para Todas as Solicitações), exceto por não estar disponível para uso com ListCompartments. Para CreateCompartment, este será o valor do compartimento pai (por exemplo, o compartimento raiz). |
target.compartment.name
|
String | Esta é uma variável universal disponível para ser usada com qualquer solicitação entre todos os serviços (consulte Variáveis Gerais para Todas as Solicitações), exceto por não estar disponível para uso com ListCompartments. |
|
credentials |
target.credential.type |
String | Por exemplo, "smtp", "switft", "secretkey". |
target.user.id |
Entidade (OCID) | ||
target.user.name |
String | ||
target.resource.domain.id |
Entidade (OCID) | ||
target.resource.domain.name |
String | ||
domain
|
target.domain.id
|
Entidade (OCID) | Não disponível para uso com CreateDomain ou ListDomains. |
target.domain.name
|
String | Não disponível para uso com ListDomains. | |
tag-namespace
|
target.tag-namespace.id
|
Entidade (OCID) |
Essa variável só é suportada em instruções que concedem permissões para o tipo de recurso |
target.tag-namespace.name
|
String | Não disponível para uso com ListTagNamespaces. |
Detalhes para Combinações de Verbos + Tipo de Recurso
As tabelas a seguir mostram as permissões e operações de API abrangidas por cada verbo. O nível de acesso é cumulativo à medida que você vai de inspect
> read
> use
> manage
. Um sinal de mais (+) em uma célula da tabela indica o acesso incremental comparado à célula diretamente acima dela, enquanto "sem extra" indica acesso incremental.
Por exemplo, o verbo read
para compartimentos não abrange permissões extras ou operações de API em comparação com o verbo inspect
. O verbo use
inclui as mesmas que o verbo read
, além da permissão COMPARTMENT_UPDATE e a operação UpdateCompartment
API. O verbo manage
inclui as mesmas permissões e operações de API que o verbo use
, além da permissão COMPARTMENT_CREATE e duas operações de API: CreateCompartment
e DeleteCompartment
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | AUTHENTICATION_POLICY_INSPECT |
|
none |
read | sem extra |
sem extra |
none |
use | sem extra |
sem extra |
none |
manage | USE + AUTHENTICATION_POLICY_UPDATE |
USE +
|
none |
Para mover um compartimento (ou seja, usar a operação MoveCompartment
), você deve pertencer a um grupo que tenha permissões manage all-resources
no compartimento pai compartilhado mais inferior do compartimento atual e do compartimento de destino.
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | COMPARTMENT_INSPECT |
|
none |
read | sem extra |
sem extra |
none |
use | READ + COMPARTMENT_UPDATE |
READ +
|
none |
manage | USE + COMPARTMENT_CREATE COMPARTMENT_DELETE COMPARTMENT_RECOVER |
USE +
|
none |
O tipo de recurso credentials
refere-se apenas às credenciais SMTP. As permissões para trabalhar com outras credenciais que podem ser adicionadas a um usuário (como tokens de autenticação, chaves de API e chaves secretas do cliente) estão incluídas nas permissões de recurso users
.
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | CREDENTIAL_INSPECT |
ListSmtpCredentials
|
none |
read | sem extra |
sem extra |
none |
use | sem extra |
sem extra |
none |
manage | USE + CREDENTIAL_ADD CREDENTIAL_UPDATE CREDENTIAL_REMOVE |
USE +
|
none |
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect |
DOMAIN_INSPECT |
|
none |
read |
INSPECT + DOMAIN_READ DOMAIN_LICENSETYPE_READ |
|
none |
use |
READ + DOMAIN_UPDATE IAM_WORKREQUEST_READ |
READ +
|
none |
manage |
USE + DOMAIN_CREATE DOMAIN_DELETE DOMAIN_MOVE DOMAIN_REPLICATE DOMAIN_ACTIVATE DOMAIN_DEACTIVATE |
USE +
|
none |
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | DYNAMIC_GROUP_INSPECT |
|
Sem extra |
read | sem extra |
sem extra |
sem extra |
use | READ + DYNAMIC_GROUP_UPDATE |
READ +
|
Sem extra |
manage | USE + DYNAMIC_GROUP_CREATE DYNAMIC_GROUP_DELETE |
USE +
|
sem extra |
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | GROUP_INSPECT |
|
|
read | sem extra |
sem extra |
sem extra |
use | READ + GROUP_UPDATE |
READ +
|
READ +
|
manage | USE + GROUP_CREATE GROUP_DELETE |
USE +
|
sem extra |
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | IDENTITY_PROVIDER_INSPECT |
|
ListIdpGroupMappings , GetIdpGroupMapping (ambos também precisam de inspect groups )
|
read | sem extra |
sem extra |
sem extra |
use | sem extra |
sem extra |
sem extra |
manage | USE + IDENTITY_PROVIDER_UPDATE IDENTITY_PROVIDER_CREATE IDENTITY_PROVIDER_DELETE |
USE +
|
USE +
|
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | NETWORK_SOURCE_INSPECT |
|
Sem extra |
read | sem extra |
sem extra |
sem extra |
use | READ + NETWORK_SOURCE_UPDATE |
READ +
|
Sem extra |
manage | USE + NETWORK_SOURCE_CREATE NETWORK_SOURCE_DELETE |
USE +
|
sem extra |
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | POLICY_READ |
|
none |
read | sem extra |
sem extra |
none |
use | sem extra |
sem extra Observação: A capacidade de atualizar políticas está disponível somente com |
none |
manage | USE + POLICY_UPDATE POLICY_CREATE POLICY_DELETE |
USE +
|
none |
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | TAG_NAMESPACE_INSPECT |
|
none |
read | sem extra |
sem extra |
none |
use | READ + TAG_NAMESPACE_USE Observação: Para aplicar, atualizar ou remover tags definidas de um recurso, um usuário deve receber permissões para o recurso e permissões para usar o namespace da tag. |
READ +
|
none |
manage | USE + TAG_NAMESPACE_UPDATE TAG_NAMESPACE_CREATE TAG_NAMESPACE_MOVE TAG_NAMESPACE_DELETE |
USE +
|
none |
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect |
TAG_DEFAULT_INSPECT TAG_NAMESPACE_READ (Use as duas permissões) |
|
none |
read | sem extra |
sem extra |
none |
use | sem extra |
sem extra |
none |
manage | INSPECT + TAG_DEFAULT_CREATE TAG_DEFAULT_UPDATE TAG_DEFAULT_DELETE |
USE +
|
none |
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | TENANCY_INSPECT |
|
none |
read | sem extra |
sem extra |
none |
use | READ + TENANCY_UPDATE |
sem extra |
none |
manage | USE + TENANCY_UPDATE |
USE +
|
none |
Observe que para trabalhar com as credenciais SMTP de um usuário, você deve ter permissões para o tipo de recurso credentials
.
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | USER_INSPECT |
|
GetUserGroupMembership (também precisa de inspect groups )
|
read | INSPECT + USER_READ |
INSPECT +
|
sem extra |
use | READ + USER_UPDATE |
READ +
|
READ +
|
manage | USE + USER_CREATE USER_DELETE USER_UNBLOCK USER_APIKEY_ADD USER_APIKEY_REMOVE USER_UIPASS_SET USER_UIPASS_RESET USER_SWIFTPASS_SET USER_SWIFTPASS_RESET USER_SWIFTPASS_REMOVE USER_AUTHTOKEN_SET USER_AUTHTOKEN_RESET USER_AUTHTOKEN_REMOVE USER_OAUTH2_CLIENT_CRED_CREATE USER_OAUTH2_CLIENT_CRED_UPDATE USER_OAUTH2_CLIENT_CRED_REMOVE USER_SECRETKEY_ADD USER_SECRETKEY_UPDATE USER_SECRETKEY_REMOVE USER_SUPPORT_ACCOUNT_LINK USER_SUPPORT_ACCOUNT_UNLINK USER_TOTPDEVICE_ADD USER_TOTPDEVICE_REMOVE USER_TOTPDEVICE_UPDATE |
USE +
|
sem extra |
Permissões Exigidas para Cada Operação de API
A tabela a seguir lista as operações de API em uma ordem lógica, agrupadas por tipo de recurso.
Para obter informações sobre permissões, consulte Permissões.
Operação da API | Permissões Necessárias para Usar a Operação |
---|---|
ListRegions
|
TENANCY_INSPECT |
ListRegionSubscriptions
|
TENANCY_INSPECT |
CreateRegionSubscription
|
TENANCY_UPDATE |
GetTenancy
|
TENANCY_INSPECT |
ListDomains |
DOMAIN_INSPECT |
GetDomain |
DOMAIN_READ |
CreateDomain |
DOMAIN_CREATE |
ActivateDomain |
DOMAIN_ACTIVATE |
UpdateDomain |
DOMAIN_UPDATE |
ReplicateDomainRegion |
DOMAIN_REPLICATE |
ChangeDomainCompartment |
DOMAIN_MOVE |
GetDomainLicenseTypes |
DOMAIN_LICENSETYPE_READ |
ChangeSku |
DOMAIN_MOVE |
DeactivateDomain |
DOMAIN_DEACTIVATE |
DeleteDomain |
DOMAIN_DELETE |
GetAuthenticationPolicy
|
AUTHENTICATION_POLICY_INSPECT |
UpdateAuthenticationPolicy
|
AUTHENTICATION_POLICY_UPDATE |
ListAvailabilityDomains
|
COMPARTMENT_INSPECT |
ListFaultDomains
|
COMPARTMENT_INSPECT |
ListCompartments
|
COMPARTMENT_INSPECT |
GetCompartment
|
COMPARTMENT_INSPECT |
UpdateCompartment
|
COMPARTMENT_UPDATE |
CreateCompartment
|
COMPARTMENT_CREATE |
RecoverCompartment
|
COMPARTMENT_RECOVER |
DeleteCompartment
|
COMPARTMENT_DELETE |
MoveCompartment
|
Não há uma permissão única associada à operação MoveCompartment . Esta operação requer permissões manage all-resources no compartimento pai compartilhado mais inferior do compartimento atual e no compartimento de destino. |
GetWorkRequest
|
COMPARTMENT_READ |
ListUsers
|
USER_INSPECT |
GetUser
|
USER_INSPECT |
UpdateUser
|
USER_UPDATE |
UpdateUserState
|
USER_UPDATE e USER_UNBLOCK |
CreateUser
|
USER_CREATE |
DeleteUser
|
USER_DELETE |
CreateOrResetUIPassword
|
USER_UPDATE e USER_UIPASS_RESET |
ListApiKeys
|
USER_READ |
UploadApiKey
|
USER_UPDATE e USER_APIKEY_ADD |
DeleteApiKey
|
USER_UPDATE e USER_APIKEY_REMOVE |
ListAuthTokens
|
USER_READ |
UpdateAuthToken
|
USER_UPDATE e USER_AUTHTOKEN_RESET |
CreateAuthToken
|
USER_UPDATE e USER_AUTHTOKEN_SET |
DeleteAuthToken
|
USER_UPDATE e USER_AUTHTOKEN_REMOVE |
ListSwiftPasswords
|
USER_READ |
UpdateSwiftPassword
|
USER_UPDATE e USER_SWIFTPASS_RESET |
CreateSwiftPassword
|
USER_UPDATE e USER_SWIFTPASS_SET |
DeleteSwiftPassword
|
USER_UPDATE e USER_SWIFTPASS_REMOVE |
ListCustomerSecretKeys
|
USER_READ |
CreateSecretKey
|
USER_UPDATE e USER_SECRETKEY_ADD |
UpdateCustomerSecretKey
|
USER_UPDATE e USER_SECRETKEY_UPDATE |
DeleteCustomerSecretKey
|
USER_UPDATE e USER_SECRETKEY_REMOVE |
CreateOAuthClientCredential |
USER_UPDATE e USER_OAUTH2_CLIENT_CRED_CREATE |
UpdateOAuthClientCredential |
USER_UPDATE e USER_OAUTH2_CLIENT_CRED_UPDATE |
ListOAuthClientCredentials |
USER_READ |
DeleteOAuthClientCredential |
USER_UPDATE e USER_OAUTH2_CLIENT_CRED_REMOVE |
LinkSupportAccount |
USER_SUPPORT_ACCOUNT_LINK |
UnlinkSupportAccount |
USER_SUPPORT_ACCOUNT_UNLINK |
CreateSmtpCredential |
CREDENTIAL_ADD |
ListSmtpCredentials |
CREDENTIAL_INSPECT |
UpdateSmtpCredential |
CREDENTIAL_UPDATE |
DeleteSmtpCredential |
CREDENTIAL_REMOVE |
ListUserGroupMemberships
|
GROUP_INSPECT e USER_INSPECT |
GetUserGroupMembership
|
USER_INSPECT e GROUP_INSPECT |
AddUserToGroup
|
GROUP_UPDATE e USER_UPDATE |
RemoveUserFromGroup
|
GROUP_UPDATE e USER_UPDATE |
ListGroups
|
GROUP_INSPECT |
GetGroup
|
GROUP_INSPECT |
UpdateGroup
|
GROUP_UPDATE |
CreateGroup
|
GROUP_CREATE |
DeleteGroup
|
GROUP_DELETE |
ListDynamicGroups
|
DYNAMIC_GROUP_INSPECT |
GetDynamicGroup
|
DYNAMIC_GROUP_INSPECT |
UpdateDynamicGroup
|
DYNAMIC_GROUP_UPDATE |
CreateDynamicGroup
|
DYNAMIC_GROUP_CREATE |
DeleteDynamicGroup
|
DYNAMIC_GROUP_DELETE |
GetNetworkSource
|
NETWORK_SOURCE_INSPECT |
ListNetworkSources
|
NETWORK_SOURCE_INSPECT |
CreateNetworkSource
|
NETWORK_SOURCE_CREATE |
UpdateNetworkSource
|
NETWORK_SOURCE_UPDATE |
DeleteNetworkSource
|
NETWORK_SOURCE_DELETE |
ListPolicies
|
POLICY_READ |
GetPolicy
|
POLICY_READ |
UpdatePolicy
|
POLICY_UPDATE |
CreatePolicy
|
POLICY_CREATE |
DeletePolicy
|
POLICY_DELETE |
ListIdentityProviders
|
IDENTITY_PROVIDER_INSPECT |
GetIdentityProvider
|
IDENTITY_PROVIDER_INSPECT |
UpdateIdentityProvider
|
IDENTITY_PROVIDER_UPDATE |
CreateIdentityProvider
|
IDENTITY_PROVIDER_CREATE |
DeleteIdentityProvider
|
IDENTITY_PROVIDER_DELETE |
ListIdpGroupMappings
|
IDENTITY_PROVIDER_INSPECT e GROUP_INSPECT |
GetIdpGroupMapping
|
IDENTITY_PROVIDER_INSPECT e GROUP_INSPECT |
AddIdpGroupMapping
|
IDENTITY_PROVIDER_UPDATE e GROUP_UPDATE |
DeleteIdpGroupMapping
|
IDENTITY_PROVIDER_UPDATE e GROUP_UPDATE |
ListIamWorkRequests |
IAM_WORKREQUEST_INSPECT |
GetIamWorkRequest |
IAM_WORKREQUEST_READ |
ListWorkRequestErrors |
IAM_WORKREQUEST_INSPECT |
ListIamWorkRequestLogs |
IAM_WORKREQUEST_INSPECT |
ListTagNamespaces
|
TAG_NAMESPACE_INSPECT |
ListTaggingWorkRequest
|
TAG_NAMESPACE_INSPECT |
ListTaggingWorkRequestErrors
|
TAG_NAMESPACE_INSPECT |
ListTaggingWorkRequestLogs
|
TAG_NAMESPACE_INSPECT |
GetTaggingWorkRequest
|
TAG_NAMESPACE_INSPECT |
GetTagNamespace
|
TAG_NAMESPACE_INSPECT |
CreateTagNamespace
|
TAG_NAMESPACE_CREATE |
UpdateTagNamespace
|
TAG_NAMESPACE_UPDATE |
ChangeTagNamespaceCompartment
|
TAG_NAMESPACE_MOVE |
CascadeDeleteTagNamespace
|
TAG_NAMESPACE_DELETE |
DeleteTagNamespace
|
TAG_NAMESPACE_DELETE |
ListTags
|
TAG_NAMESPACE_INSPECT |
BulkEditTags
|
TAG_NAMESPACE_INSPECT |
ListCostTrackingTags
|
TAG_NAMESPACE_INSPECT |
GetTag
|
TAG_NAMESPACE_INSPECT |
CreateTag
|
TAG_NAMESPACE_USE |
UpdateTag
|
TAG_NAMESPACE_USE |
DeleteTag
|
TAG_NAMESPACE_DELETE |
BulkDeleteTags
|
TAG_NAMESPACE_DELETE |
ListTagDefaults
|
TAG_DEFAULT_INSPECT |
GetTagDefault
|
TAG_DEFAULT_INSPECT |
CreateTagDefault
|
TAG_DEFAULT_MANAGE |
UpdateTagDefault
|
TAG_DEFAULT_MANAGE |
DeleteTagDefault
|
TAG_DEFAULT_MANAGE |