Zusätzliche IAM-Policy, wenn sich ein Cluster und ein Tag-Namespace in verschiedenen Compartments befinden

Informieren Sie sich über eine zusätzliche IAM-Policy, die Sie erstellen müssen, wenn Sie definierte Tags aus einem Tag-Namespace, der zu einem Compartment gehört, auf clusterbezogene Ressourcen anwenden möchten, die zu einem anderen Compartment gehören, wenn Sie die Kubernetes Engine (OKE) verwenden.

Um definierte Tags aus einem Tag-Namespace, der zu einem Compartment gehört, auf clusterbezogene Ressourcen anzuwenden, die zu einem anderen Compartment gehören, müssen Sie eine Policy-Anweisung wie die Folgende in eine IAM-Policy aufnehmen:

Allow any-user to use tag-namespace in tenancy where all {request.principal.type = 'cluster'}

Wenn Sie diese Policy-Anweisung als zu permissiv erachten, können Sie die Berechtigungen einschränken, um explizit das Compartment anzugeben, zu dem der Tag-Namespace gehört, und/oder das Cluster explizit anzugeben, das zu einem anderen Compartment gehört. Beispiel:

Allow any-user to use tag-namespace in compartment <compartment-ocid> where all { request.principal.id = '<cluster-ocid>' }