Политики сервиса

Для управления доступом к ресурсам в рамках вашей аренды используются политики авторизации. Например, можно создать политику, которая разрешает пользователям создавать экземпляры Oracle Content Management и управлять ими.

Политики создаются с помощью консоли инфраструктуры. См. Управление методиками.

К политикам сервиса для Oracle Content Management относится указанная ниже информация.

Типы ресурсов для Oracle Content Management

В этой таблице перечислены типы ресурсов для Oracle Content Management.

Тип ресурса	Описание
oce-instance	Один экземпляр Oracle Content Management.
oce-instances	Выберите один или несколько экземпляров Oracle Content Management.
oce-workrequest	Единый рабочий запрос для Oracle Content Management. Каждая операция, выполняющаяся в экземпляре Oracle Content Management, создает рабочий запрос. Например, такие операции, как "создать", "обновить", "прекратить" и т. д.
oce-workrequests	Один или несколько рабочих запросов для Oracle Content Management.

Поддерживаемые переменные

Значения этих переменных предоставляются Oracle Content Management. Кроме того, поддерживаются другие общие переменные. См. Общие переменные для всех запросов.

В этой таблице перечислены поддерживаемые переменные для Oracle Content Management.

Переменная	Тип	Описание	Пример значения
target.compartment.id	объект	OCID основного ресурса для запроса.	target.compartment.id = 'ocid1.compartment.oc1..<уникальный_идентификатор>'
request.operation	строка	Идентификатор операции (например, 'GetUser') для запроса.	request.operation = 'ocid1.compartment.oc1..<уникальный_идентификатор>'
target.resource.kind	строка	Имя типа ресурса основного ресурса для запроса.	target.resource.kind = 'ocid1.contentexperiencecloudservice.oc1..<уникальный_идентификатор>'

Сведения о комбинациях "операция — тип ресурса"

Oracle Cloud Infrastructure предлагает стандартный набор операций для определения разрешений для ресурсов Oracle Cloud Infrastructure (Inspect, Read, Use, Manage). В этих таблицах перечислены разрешения Oracle Content Management, связанные с каждым глаголом. Уровень доступа повышается по мере перехода от INSPECT к READ, затем к USE и к MANAGE.

INSPECT

Тип ресурса	Разрешения INSPECT
oce-instance oce-instances	OCE_INSTANCE_INSPECT
oce-workrequest oce-workrequests	OCE_INSTANCE_WORKREQUEST_INSPECT
oce-instance-family	OCE_INSTANCE_INSPECT OCE_INSTANCE_WORKREQUEST_INSPECT

READ

Тип ресурса	Разрешения READ
oce-instance oce-instances	OCE_INSTANCE_INSPECT OCE_INSTANCE_READ
oce-workrequest oce-workrequests	OCE_INSTANCE_WORKREQUEST_INSPECT OCE_INSTANCE_WORKREQUEST_READ
oce-instance-family	OCE_INSTANCE_INSPECT OCE_INSTANCE_READ OCE_INSTANCE_WORKREQUEST_INSPECT OCE_INSTANCE_WORKREQUEST_READ

USE

Тип ресурса	Разрешения USE
oce-instance oce-instances	OCE_INSTANCE_INSPECT OCE_INSTANCE_READ OCE_INSTANCE_UPDATE
oce-workrequest oce-workrequests	OCE_INSTANCE_WORKREQUEST_INSPECT OCE_INSTANCE_WORKREQUEST_READ
oce-instance-family	OCE_INSTANCE_INSPECT OCE_INSTANCE_READ OCE_INSTANCE_UPDATE OCE_INSTANCE_WORKREQUEST_INSPECT OCE_INSTANCE_WORKREQUEST_READ

MANAGE

Тип ресурса	Разрешения MANAGE
oce-instance oce-instances	OCE_INSTANCE_INSPECT OCE_INSTANCE_READ OCE_INSTANCE_CREATE OCE_INSTANCE_UPDATE OCE_INSTANCE_DELETE
oce-workrequest oce-workrequests	OCE_INSTANCE_WORKREQUEST_INSPECT OCE_INSTANCE_WORKREQUEST_READ
oce-instance-family	OCE_INSTANCE_INSPECT OCE_INSTANCE_READ OCE_INSTANCE_CREATE OCE_INSTANCE_UPDATE OCE_INSTANCE_DELETE OCE_INSTANCE_WORKREQUEST_INSPECT OCE_INSTANCE_WORKREQUEST_READ

Разрешения, необходимые для каждой операции API

В приведенной ниже таблице показаны операции API, доступные для Oracle Content Management, сгруппированные по типам ресурсов.

Операция API REST	Команда интерфейса командной строки	Разрешение, требуемое для использования операции
ListOceInstances	oce-instance list	OCE_INSTANCE_INSPECT
GetOceInstance	oce-instance get	OCE_INSTANCE_READ
CreateOceInstance	oce-instance create	OCE_INSTANCE_CREATE
DeleteOceInstance	oce-instance delete	OCE_INSTANCE_DELETE
UpdateOceInstance	oce-instance update	OCE_INSTANCE_UPDATE
ChangeOceInstanceCompartment	oce-instance change-compartment	OCE_INSTANCE_UPDATE
ListWorkRequests	work-request list	OCE_INSTANCE_WORKREQUEST_INSPECT
GetWorkRequest	work-request get	OCE_INSTANCE_WORKREQUEST_READ
ListWorkRequestErrors	work-request-error list	OCE_INSTANCE_WORKREQUEST_INSPECT
ListWorkRequestLogs	work-request-log list	OCE_INSTANCE_WORKREQUEST_INSPECT

Примеры утверждений политики для управления экземплярами Oracle Content Management

Ниже приведены типичные инструкции политики, которые можно использовать для авторизации доступа к экземплярам Oracle Content Management.

При создании политики для аренды пользователи получают доступ ко всем пространствам посредством наследования политики. Кроме того, можно ограничить доступ к отдельным экземплярам или пространствам Oracle Content Management.

Разрешить пользователям группы администраторов полностью управлять любым экземпляром Oracle Content Management

# Full admin permissions (CRUD)
allow group Administrators to manage oce-instances in tenancy
allow group Administrators to manage oce-workrequests in tenancy

# Full admin permissions (CRUD) using family
allow group Administrators to manage oce-instance-family in tenancy

Разрешить пользователям в группе group1 проверять любой экземпляр Oracle Content Management и связанные с ним рабочие запросы

# Inspect permissions (list oce instances and work requests) using metaverbs:
allow group group1 to inspect oce-instances in tenancy
allow group group1 to inspect oce-workrequests in tenancy

# Inspect permissions (list oce instances and work requests) using permission names:
allow group group1 to {OCE_INSTANCE_INSPECT} in tenancy
allow group group1 to {OCE_INSTANCE_WORKREQUEST_INSPECT} in tenancy

Разрешить пользователям в группе group2 читать сведения о любом экземпляре Oracle Content Management и связанных с ним рабочих запросах

# Read permissions (read complete oce instance and work request metadata) using metaverbs:
allow group group2 to read oce-instances in tenancy
allow group group2 to read oce-workrequests in tenancy

# Read permissions (read complete oce instance and work request metadata) using permission names:
allow group group2 to {OCE_INSTANCE_INSPECT, OCE_INSTANCE_READ} in tenancy
allow group group2 to {OCE_INSTANCE_WORKREQUEST_INSPECT, OCE_INSTANCE_WORKREQUEST_READ} in tenancy

Разрешить пользователям в группе group3 читать все экземпляры Oracle Content Management и читать связанные с ними рабочие запросы

# Use permissions (read on oce instance, read on work request) using metaverbs:
allow group group3 to use oce-instances in tenancy
allow group group3 to read oce-workrequests in tenancy

# Use permissions (read on oce instance, read on work request) using permission names:
allow group group3 to {OCE_INSTANCE_INSPECT, OCE_INSTANCE_READ, OCE_INSTANCE_UPDATE} in tenancy
allow group group3 to {OCE_INSTANCE_WORKREQUEST_INSPECT, OCE_INSTANCE_WORKREQUEST_READ} in tenancy

Разрешить пользователям группы group4 управлять любым экземпляром Oracle Content Management и связанными с ним рабочими запросами

# Manage permissions (use/delete on oce instance, read/cancel on work request) using metaverbs:
allow group group4 to manage oce-instances in tenancy
allow group group4 to manage oce-workrequests in tenancy

# Manage permissions (use/delete on oce instance, read/cancel on work request) using permission names:
allow group group4 to {OCE_INSTANCE_INSPECT, OCE_INSTANCE_READ, OCE_INSTANCE_UPDATE,OCE_INSTANCE_CREATE, OCE_INSTANCE_DELETE} in tenancy
allow group group4 to {OCE_INSTANCE_WORKREQUEST_INSPECT, OCE_INSTANCE_WORKREQUEST_READ} in tenancy