Ir para o conteúdo principal

OIDC e Políticas de Acesso

Se você estiver usando controle de acesso baseado em atributos, você conceder a uma entidade OIDC uma política de acesso para dar a ela acesso à sua infraestrutura Equinix . Então, quando sua entidade OIDC realizar uma troca de tokens, forneça o ERN da política de acesso para o parâmetro scope. Se a entidade tiver uma concessão, a troca de tokens emitirá um token de portador.

As permissões necessárias para gerenciar concessões e políticas de acesso são:

  • Controle de acesso baseado em funções - A função IAM Admin.
  • Controle de acesso baseado em atributos - Uma política de acesso contendo: use/listAccessPolicies, use/addGrant, use/listGrants, use/removeGrant.
Disponibilidade limitada

O Controle de Acesso Baseado em Atributos está atualmente disponível em Status de Disponibilidade Limitada (LA). O acesso é restrito a um conjunto controlado de clientes e casos de uso. Os recursos podem estar incompletos, sujeitos a alterações e podem conter defeitos. Aplicam-se medidas de segurança operacionais e limites de capacidade. Ao usar esta API, você reconhece que:

  • Destina-se exclusivamente ao acesso antecipado e à coleta de feedback.
  • A disponibilidade pode ser limitada por região, segmento ou restrições de capacidade.
  • Funcionalidade, desempenho e estabilidade não são garantidos nesta fase.
  • A documentação e os recursos de suporte podem estar em constante evolução.
  • O feedback fornecido durante esta fase servirá de base para melhorias antes da Disponibilidade Geral (GA).

Ver Políticas de Acesso

Para visualizar as políticas de acesso existentes para um projeto, envie uma solicitar GET para o endpoint /v1/projects/{projectId}/accessPolicies. Ao você uma concessão a uma política de acesso, você deve fornecer o ID da política de acesso em sua solicitar.

Exemplo de solicitação cURL:

curl -X GET 'https://access.eqix.equinix.com/v1/projects/{projectId}/accessPolicies' \
-H 'Authorization: Bearer <token>'

Adicionar uma subvenção

Para adicionar uma concessão a uma Política de Acesso, envie uma solicitar POST para o endpoint /v1/projects/{projectId}/accessPolicies/{accessPolicyId}/grants. Especifique:

  • o projeto e o ID da política de acesso no caminho da solicitação.

  • O principal OIDC ao qual você está concedendo acesso no objeto grantee em um dos seguintes formatos:

    • principal:<projectId>:<idp>:<subject> for a user or service.
    • group:<projectId>:<idp>:<groupName> for a group.
    • project:<projectId> for another project to export this access policy to another project.

Exemplo de solicitação cURL:

curl -X POST 'https://access.eqix.equinix.com/v1/projects/{projectId}/accessPolicies/{accessPolicyId}/grants' \
-H 'content-type: application/json' \
-H 'authorization: Bearer <token>' \
-d '{
  "grantee": "principal:<projectId>:<idp>:<subject>"
}'

Lista de Subsídios

Para ver quais entidades OIDC receberam uma política de acesso específica, obtenha a lista de concessões. Envie uma solicitar GET para o endpoint /v1/projects/{projectId}/accessPolicies/{accessPolicyId}/grants.

Exemplo de solicitação cURL:

curl -X GET 'https://access.eqix.equinix.com/v1/projects/{projectId}/accessPolicies/{accessPolicyId}/grants' \
-H 'Authorization: Bearer <token>'

Remover uma concessão

Ao você uma concessão, o principal OIDC perde o acesso às permissões concedidas pela política de acesso . Para remover uma concessão, envie uma solicitar DELETE para o endpoint /v1/projects/{projectId}/accessPolicies/{accessPolicyId}/grants/{grantId}.

Exemplo de solicitação cURL:

curl -X DELETE 'https://access.eqix.equinix.com/v1/projects/{projectId}/accessPolicies/{accessPolicyId}/grants/{grantId}' \
-H 'Authorization: Bearer <token>'
Esta página foi útil?