Documentação do Oracle Cloud Infrastructure

Controle de Acesso

Este tópico fornece informações básicas sobre o uso de compartimentos  e políticas do IAM para controlar o acesso à sua rede na nuvem.

Compartimentos e a Sua Rede na Nuvem

Sempre que criar um recurso de nuvem como uma rede virtual na nuvem (VCN) ou uma instância de computação, você deverá especificar em qual compartimento do IAM deseja incluir o recurso. Compartimento é uma coleção de recursos relacionados que só podem ser acessados por determinados grupos que receberam permissão de um administrador da sua organização. O administrador cria os compartimentos e as políticas correspondentes do IAM para controlar quais usuários da sua organização têm acesso a quais compartimentos. Basicamente, a meta é garantir que cada pessoa possa acessar apenas os recursos que ela precisa.

Se a sua empresa começar a experimentar o Oracle Cloud Infrastructure, apenas algumas pessoas precisarão criar e gerenciar a VCN e seus componentes, iniciar instâncias na VCN e anexar volumes de armazenamento em blocos a essas instâncias. Essas poucas pessoas precisam acessar todos esses recursos, que, por sua vez, podem permanecer no mesmo compartimento.

Em um ambiente de produção empresarial com uma VCN, a sua empresa pode usar vários compartimentos para facilitar ainda mais o controle do acesso a determinados tipos de recursos. Por exemplo, o seu administrador poderia criar Compartment_A para a sua VCN e para outros componentes da rede. O administrador poderia criar Compartment_B para todas as instâncias de computação e volumes de armazenamento em blocos usados pela organização de RH e poderia criar Compartment_C para todas as instâncias e volumes de armazenamento em blocos usados pela organização de Marketing. Em seguida, o administrador criaria políticas do IAM para conceder aos usuários somente o nível de acesso de que eles precisam em cada compartimento. Por exemplo, o administrador da instância de RH não teria direito a modificar a rede na nuvem existente. Dessa forma, ele teria permissões totais para Compartment_B, mas teria acesso limitado a Compartment_A (apenas o necessário para iniciar instâncias na rede). Se ele tentasse modificar outros recursos em Compartment_A, a solicitação seria negada.

Recursos de rede, como VCNs, sub-redes, tabelas de roteamento, listas de segurança, gateways de serviço, gateways NAT, bem como conexões VPN e FastConnect, podem ser movidos de um compartimento para outro. Quando você move um recurso para um novo compartimento, as políticas inerentes são aplicadas imediatamente.

Para obter mais informações sobre compartimentos e como controlar o acesso aos seus recursos de nuvem, consulte Conheça as Melhores Práticas para Configurar a Sua Tenancy e Visão Geral do Identity and Access Management.

Políticas do IAM para Redes

A abordagem mais simples para conceder acesso a uma Rede é a política listada em Permitir que os administradores da rede gerenciem uma rede na nuvem. Essa abordagem inclui a rede na nuvem e todos os outros componentes da Rede (sub-redes, listas de segurança, tabelas de roteamento, gateways etc.). Para também oferecer aos administradores de rede a capacidade de iniciar instâncias (para testar a conectividade da rede), consulte Permitir que os usuários iniciem instâncias de computação.

Caso tenha pouca experiência com políticas, consulte Introdução a Políticas e Políticas Comuns.

Para obter material de referência ao escrever políticas mais detalhadas para Redes, consulte Detalhes dos Serviços Principais.

Tipos de Recursos Individuais

Se desejar, você poderá escrever políticas que se concentrem em tipos de recursos individuais (por exemplo, apenas listas de segurança) em vez de abranger o tipo de recurso virtual-network-family, que é mais amplo. O tipo de recurso instance-family também inclui várias permissões para VNICs, que residem em uma sub-rede, mas são anexadas a uma instância. Para obter mais informações, consulte Detalhes das Combinações de Verbo + Tipo de Recurso e VNICs (Virtual Network Interface Cards).

Há um tipo de recurso chamado local-peering-gateways que está incluído no tipo de recurso virtual-network-family e que abrange dois outros tipos de recursos relacionados ao pareamento local de VCNs (dentro da região):

  • local-peering-from
  • local-peering-to

O tipo de recurso local-peering-gateways abrange todas as permissões relacionadas aos LPGs (local peering gateways). Os tipos de recurso local-peering-from e local-peering-to têm o objetivo de conceder permissão para conectar dois LPGs e definir um relacionamento de pareamento em uma única região. Para obter mais informações, consulte Pareamento Local usando um LPG (VCNs na Mesma Tenancy) ou Pareamento Local usando um LPG (VCNs em Tenancies Diferentes).

Paralelamente, há um tipo de recurso chamado remote-peering-connections que está incluído no tipo de recurso virtual-network-family e que abrange dois outros tipos de recursos relacionados ao pareamento remoto de VCNs (entre regiões):

  • remote-peering-from
  • remote-peering-to

O tipo de recurso remote-peering-connections abrange todas as permissões relacionadas às RPCs (Remote Peering Connections). Os tipos de recurso remote-peering-from e remote-peering-to têm o objetivo de conceder permissão para conectar de dois RPCs e definir um relacionamento de pareamento entre regiões. Para obter mais informações, consulte Peering Remoto com um DRG Legado e Peering Remoto com um DRG Atualizado.

Nuances dos Diferentes Verbos

Se desejar, você poderá escrever políticas que limitam o nível de acesso usando diferentes verbos de política (manage versus use e assim por diante). Se fizer isso, você deverá compreender algumas nuances sobre os verbos de política para Redes.

Lembre-se de que o verbo inspect não só retorna informações gerais sobre os componentes da rede na nuvem (por exemplo, o nome e o OCID de uma lista de segurança ou de uma tabela de roteamento). O verbo também inclui o conteúdo do componente (por exemplo, as regras propriamente ditas contidas na lista de segurança, as rotas na tabela de roteamento etc.).

Além disso, os seguintes tipos de habilidades estão disponíveis apenas com o verbo manage e não com o verbo use:

  • Atualizar (ativar/desativar) internet-gateways
  • Atualizar security-lists
  • Atualizar route-tables
  • Atualizar dhcp-options
  • Anexar um gateway de roteamento dinâmico (DRG) a uma rede virtual na nuvem (VCN)
  • Criar uma conexão IPSec entre um DRG e o CPE (Customer-Premises Equipment)
  • Parear VCNs
Importante

Cada VCN tem vários componentes que afetam diretamente o comportamento da rede (tabelas de roteamento, listas de segurança, opções de DHCP, Gateway de Internet etc.). Ao criar um desses componentes, você estabelece um relacionamento entre esse componente e a VCN. Isso significa que você deve ter permissão em uma política para criar o componente e gerenciar a VCN propriamente dita. No entanto, a capacidade de atualizar esse componente (para alterar as regras de roteamento, as regras de lista de segurança etc.) NÃO requer permissão para gerenciar a própria VCN, mesmo que a alteração desse componente possa afetar diretamente o comportamento da rede. Essa discrepância foi elaborada para oferecer a você a flexibilidade de conceder menos privilégios aos usuários. Portanto, não é necessário conceder acesso excessivo à VCN somente porque o usuário precisa gerenciar outros componentes da rede. Lembre-se de que ao conceder a alguém a capacidade de atualizar determinado tipo de componente, você está implicitamente confiando o controle do comportamento da rede a essa pessoa.

Para obter mais informações sobre verbos de políticas, consulte Informações Básicas sobre Política.

Políticas de Pareamento

Para políticas usadas na conexão de um DRG com VCNs e DRGs em outras regiões e tenancies, consulte Políticas do Serviço IAM para Roteamento entre VCNs.