Oracle Cloud Infrastructure - Dokumentation

Mit NFS-Exporten und -Exportoptionen arbeiten

Sie lernen die grundlegenden Features von NFS-Exporten und Exportoptionen kennen und erfahren, wie Sie die Sicherheit verbessern und den Clientzugriff auf File Storage-Dateisysteme kontrollieren.

Überblick

Zur Beschränkung des VCN-Zugriffs können Sie mit den NFS-Exportoptionen den Zugriff präziser steuern als mit reinen Sicherheitslistenregeln. Sie können die NFS-Exportoptionen verwenden, um Zugriffsebenen für IP-Adressen oder CIDR-Blöcke anzugeben, die über Exporte in einem Mountziel Verbindungen mit Dateisystemen herstellen. Der Zugriff lässt sich so einschränken, dass das Dateisystem jedes Clients für den anderen nicht zugänglich und nicht sichtbar ist. So verbessern Sie die Sicherheitskontrollen in mehrmandantenfähigen Umgebungen.

Mit den Zugriffskontrollen der NFS-Exportoptionen können Sie die Fähigkeit der Clients einschränken, eine Verbindung mit dem Dateisystem herzustellen und Daten anzuzeigen oder zu schreiben. Beispiel: Wenn Sie zulassen möchten, dass Clients Ressourcen in Ihrem Dateisystem konsumieren, jedoch nicht aktualisieren, können Sie den Zugriff auf "Schreibgeschützt" setzen. Sie können auch den Root-Zugriff des Clients auf Dateisysteme reduzieren und bestimmte Benutzer-IDs (UIDs) und Gruppen-IDs (GIDs) einer anonymen UID/GID Ihrer Wahl zuordnen. Weitere Informationen dazu, wie NFS-Exportoptionen mit anderen Sicherheitslayer zusammenarbeiten, finden Sie unter Informationen zur File Storage-Sicherheit.

Tipp

Sehen Sie sich ein Video zum Arbeiten mit NFS-Exportoptionen in File Storage an.

Exporte

Exporte steuern, wie NFS-Clients auf Dateisysteme zugreifen, wenn sie sich mit einem Mountziel verbinden. Dateisysteme werden über Mountziele exportiert (zur Verfügung gestellt). Jedes Mountziel verwaltet ein Exportset, das mindestens einen Export enthält. Ein Dateisystem kann über ein oder mehrere Mountziele exportiert werden. Ein Dateisystem muss mindestens einen Export in einem Mountziel aufweisen, damit Instanzen das Dateisystem mounten können. Die von einem Export verwendeten Informationen umfassen die Dateisystem-OCID, Mountziel-OCID, Exportset-OCID sowie den Exportpfad und Clientexportoptionen. In der Regel wird ein Export in einem Mountziel erstellt, wenn das Dateisystem erstellt wird. Danach können Sie zusätzliche Exporte für ein Dateisystem in einem beliebigen Mountziel erstellen, das sich in derselben Availability-Domain wie das Dateisystem befindet.

Sie können die folgenden Exportverwaltungsaufgaben ausführen:

NFS-Exportoptionen

Bei den NFS-Exportoptionen handelt es sich um eine Gruppe von Parametern innerhalb des Exports, die die Zugriffsebene angeben, die NFS-Clients erteilt wird, wenn sie sich mit einem Mountziel verbinden. Ein Eintrag für NFS-Exportoptionen innerhalb eines Exports definiert den Zugriff für eine einzelne IP-Adresse oder einen CIDR-Blockbereich. Pro Export sind bis zu 100 Optionen möglich.

Jede separate Client-IP-Adresse oder jeder separate CIDR-Block, für den Sie den Zugriff definieren möchten, erfordert einen separaten Eintrag für Exportoptionen im Export. Beispiel: Um Optionen für die NFS-Client-IP-Adressen 10.0.0.6, 10.0.08 und 10.0.0.10 festzulegen, müssen Sie drei separate Einträge erstellen, einen für jede IP-Adresse.

File Storage Service berücksichtigt die aufgeführte Reihenfolge jedes Exportoptionseintrags für den Export. Während einer NFS-Anforderung durch einen Client wendet File Storage Service die erste Gruppe von Optionen an, die mit der IP-Adresse der Clientquelle übereinstimmen. Nur die erste Gruppe wird angewendet. Alle übrigen werden ignoriert.

Beispiel: Die beiden folgenden Exportoptionseinträge legen den Zugriff für einen Export fest:

Eintrag 1: Quelle: 10.0.0.0/16, Zugriff: Schreibgeschützt

Eintrag 2: Quelle: 10.0.0.8, Zugriff: Lesen/Schreiben

In diesem Fall haben Clients, die über die IP-Adresse 10.0.0.8 mit dem Export verbunden werden, Lesezugriff. Die IP-Adresse der Anforderungsquelle ist in dem im ersten Eintrag angegebenen CIDR-Block enthalten, und File Storage wendet die Optionen in der ersten Übereinstimmung an.

Wichtig

Dateisysteme können einem oder mehreren Exporten zugeordnet werden, die in einem oder mehreren Mountzielen enthalten sind. Wenn die IP-Adresse der Clientquelle mit keinem Eintrag in der Liste für einen einzelnen Export übereinstimmt, ist dieser Export für den Client nicht sichtbar. Auf das Dateisystem kann jedoch über andere Exporte auf demselben oder anderen Mountzielen zugegriffen werden. Um den Clientzugriff auf ein Dateisystem vollständig zu verweigern, stellen Sie sicher, dass die IP-Adresse oder der CIDR-Block der Clientquelle in keinen Export für ein mit dem Dateisystem verknüpftes Mountziel eingeschlossen ist.

Die folgenden Optionen können festgelegt werden, um den Exportzugriff zu steuern:

  • Quelle: Die IP-Adresse oder der CIDR-Block eines NFS-Clients, der eine Verbindung herstellt.

  • Ports: Mit dieser Einstellung wird festgelegt, ob die in der Quelle angegebenen NFS-Clients Verbindungen von einem privilegierten Quellport aus herstellen müssen. Privilegierte Ports sind beliebige Ports einschließlich 1-1023. Auf UNIX-ähnlichen Systemen kann nur der Root-Benutzer privilegierte Ports öffnen. Wenn Sie diesen Wert auf Berechtigt setzen, sind Anforderungen von nicht privilegierten Ports nicht zulässig. Der Standardwert für diese Einstellung variiert, je nachdem, wie der Export erstellt wird.

    Wenn Sie einen Export in der Konsole mit der Standardauswahl erstellen, wird Ports auf Beliebig gesetzt, es sei denn, Sie wählen Sichere Exportoptionen verwenden aus.

    Beim Erstellen eines Exports mit der API oder CLI ohne explizites ClientOption-Array wird das Attribut requirePrivilegedSourcePort der Clientoption auf false gesetzt. Wenn Sie ein ClientOption-Array explizit erstellen, wird das Attribut requirePrivilegedSourcePort standardmäßig auf true gesetzt.

Wichtig

Wenn Ports auf Berechtigt gesetzt ist, müssen Sie auch die folgenden zusätzlichen Konfigurationsschritte ausführen:

  1. Wenn Sie das Dateisystem von einem UNIX-ähnlichen System mounten, fügen Sie dem Mount-Befehl die Option resvport hinzu. Beispiel: 

    sudo mount -o resvport 10.x.x.x:/fs-export-path /mnt/yourmountpoint

    Weitere Informationen finden Sie unter Dateisysteme von UNIX-Instanzen mounten.

  2. Stellen Sie beim Mounten des Dateisystems von einem Windows-System aus sicher, dass der Registry-Schlüsselwert UseReserverdPorts auf 1 gesetzt ist.

    Weitere Informationen finden Sie unter Dateisysteme von Windows-Instanzen aus mounten.

  • Zugriff: Diese Einstellung gibt den NFS-Clientzugriff für die Quelle an.
    • Lesen/Schreiben ist der Standardwert.
    • Schreibgeschützt.
  • Anonymer Zugriff: Diese Einstellung gibt an, ob der anonyme Zugriff für die Kerberos-Authentifizierung aktiviert werden soll, wenn das Mountziel keinen Benutzer auf dem LDAP-Server finden kann. Wenn Anonymer Zugriff Nicht zulässig ist und der Benutzer nicht im LDAP-Verzeichnis gefunden wird oder der Lookup-Versuch einen LDAP-Fehler zurückgibt, verläuft der Vorgang nicht erfolgreich. Wenn Anonymer Zugriff Zulässig ist und der Benutzer nicht im LDAP-Verzeichnis gefunden wird, verwendet der Vorgang die Werte Squash-UID und Squash-GID des Exports. Weitere Informationen finden Sie unter Kerberos-Authentifizierung verwenden.
    Hinweis

    Wenn der Export keine Kerberos-Authentifizierung verwendet, wählen Sie Nicht zulässig aus.
  • Zulässige Authentifizierungsoptionen: Diese Einstellung gibt die für den NFS-Client zulässigen Authentifizierungsmethoden an.
    • SYS: NFS v3 UNIX-Authentifizierung. Wenn Sie beim Erstellen der Exportoption keinen zulässigen Authentifizierungswert angeben, wird der Standardwert SYS verwendet.
    • KRB5: NFS v3 Kerberos-Authentifizierung.
    • KRB5I: NFS v3 Kerberos-Authentifizierung und Datenintegrität.
    • KRB5P: NFS v3 Kerberos-Authentifizierung, Datenintegrität und Datenschutz (Verschlüsselung während der Übertragung).

    Sie können mehrere Authentifizierungsmethoden auswählen. Beispiel: Wenn Sie Zulässige Authentifizierungsoptionen auf KRB5 und KRB5I setzen, würden grundlegende Kerberos und Kerberos mit Datenintegrität zugelassen, die SYS-Authentifizierung und KRB5P jedoch nicht zulässig.

    Achtung

    Eine leere Auswahl unter Zulässige Authentifizierungsoptionen entfernt alle Authentifizierungstypen und kann zu einem Zugriffsverlust führen. Clients, die SYS-Authentifizierung erfordern, verlieren den Zugriff, wenn die SYS-Option nicht vorhanden ist.
    Wichtig

    Die Mountbefehle, die Sie zum Mounten des Dateisystems verwenden, unterscheiden sich je nachdem, welche Authentifizierungsmethoden in den Exportoptionen zulässig sind. Wenn NFS-Clients eine Verbindung über ein für Kerberos aktiviertes Mountziel herstellen, muss der Mountbefehl die Option sec enthalten. Beispiel: 

    sudo mount -o sec=krb5 10.x.x.x:/fs-export-path /mnt/yourmountpoint
    sudo mount -o sec=krb5i 10.x.x.x:/fs-export-path /mnt/yourmountpoint
    sudo mount -o sec=krb5p 10.x.x.x:/fs-export-path /mnt/yourmountpoint

    Bei NFS-Clients, die bei demselben Export eine Verbindung mit AUTH_SYS herstellen, enthält der Mountbefehl sec=sys. Beispiel:

    sudo mount -o sec=sys 10.x.x.x:/fs-export-path /mnt/yourmountpoint

    Wenn der Export AUTH_SYS allein verwendet, ist die Option sec optional. Von der Konsole bereitgestellte Befehle mounten basieren auf den ausgewählten Exportoptionen.

    Hinweis

    Wenn ein NFS-Client einen Export mit mehreren Authentifizierungstypen verwendet und ein Dateisystem ohne Angabe von sec=<auth_type> gemountet wird, muss der Client automatisch den stärksten vom Export unterstützten Authentifizierungstyp auswählen.
  • Squash: Diese Einstellung bestimmt, ob die Benutzer-ID (UID) und Gruppen-ID (GID) der Quellclients, die auf das Dateisystem zugreifen, der Squash-UID und Squash-GID neu zugeordnet werden.
    • Kein Wert: Es werden keine Benutzer neu zugeordnet. Dies ist das Standardverhalten.
    • Root: Nur die Kombination aus Root-Benutzer-UID/-GID 0/0 wird neu zugeordnet.
    • Alle: Alle Benutzer und Gruppen werden neu zugeordnet.
  • Squash-UID: Diese Einstellung wird zusammen mit den Optionen Squash und Anonymer Zugriff verwendet. Wenn Sie Benutzer neu zuordnen, können Sie diese Einstellung verwenden, um den Standardwert von 65534 in eine andere Benutzer-ID zu ändern.
  • Squash-GID: Diese Einstellung wird zusammen mit den Optionen Squash und Anonymer Zugriff verwendet. Wenn Sie Gruppen neu zuordnen, können Sie diese Einstellung verwenden, um den Standardwert von 65534 in eine andere Gruppen-ID zu ändern.

Typische Szenarios für die Zugriffskontrolle

Wenn Sie ein Dateisystem erstellen und exportieren, werden die NFS-Exportoptionen für dieses Dateisystem auf die folgenden Standardwerte gesetzt, die allen NFS-Clientquellverbindungen vollständigen Zugriff gewähren. Diese Standardwerte müssen geändert werden, wenn Sie den Zugriff einschränken möchten:

  • Quelle: 0.0.0.0/0 (Alle)
  • Privilegierter Quellport erforderlich: Beliebig
  • Zulässige Authentifizierungsoptionen: SYS
  • Zugriff: Lesen/Schreiben
  • Squash: Kein Wert

Hostbasierten Zugriff kontrollieren

Stellen Sie eine verwaltete gehostete Umgebung für zwei Clients bereit. Die Clients teilen sich ein Mountziel. Jeder Client verfügt jedoch über ein eigenes Dateisystem und kann nicht auf die Daten des anderen Clients zugreifen. Beispiel:

  • Client A, der CIDR-Block 10.0.0.0/24 zugewiesen ist, benötigt Lese-/Schreibzugriff auf Dateisystem A, jedoch nicht auf Dateisystem B.
  • Client B, der CIDR-Block 10.1.1.0/24 zugewiesen ist, benötigt Lese-/Schreibzugriff auf Dateisystem B, jedoch nicht auf Dateisystem A.
  • Client C, der CIDR-Block 10.2.2.0/24 zugewiesen ist, hat keinerlei Zugriff auf Dateisystem A oder Dateisystem B.
  • Beide Dateisysteme (A und B) sind einem einzelnen Mountziel (MT1) zugeordnet. Jedes Dateisystem verfügt über einen Export, der sich im Exportset von MT1 befindet.

Da Client A und Client B von verschiedenen CIDR-Blöcken aus auf das Mountziel zugreifen, können Sie die Clientoptionen für beide Dateisystemexporte so festlegen, dass der Zugriff auf nur einen einzelnen CIDR-Block möglich ist. Client C wird der Zugriff verweigert, indem weder seine IP-Adresse noch sein CIDR-Block in die NFS-Exportoptionen für den Export eines der Dateisysteme aufgenommen wird.

  • Legen Sie die Exportoptionen für Dateisystem A so fest, dass nur Client A, der CIDR-Block 10.0.0.0/24 zugewiesen ist, Lese- und Schreibzugriff erhält. Client B und Client C sind in diesem CIDR-Block nicht enthalten und können nicht auf das Dateisystem zugreifen.

    Exportoptionen für Dateisystem A:

    • Quelle: 10.0.0.0/24
    • Ports: Privilegiert
    • Zugriff: Lesen/Schreiben
    • Squash: Kein Wert

    Legen Sie die Exportoptionen für Dateisystem B so fest, dass nur Client B, der CIDR-Block 10.1.1.0/24 zugewiesen ist, Lese- und Schreibzugriff erhält. Client A und Client C sind in diesem CIDR-Block nicht enthalten und können nicht auf das Dateisystem zugreifen.

    Exportoptionen für Dateisystem B:

    • Quelle: 10.1.1.0/24
    • Ports: Privilegiert
    • Zugriff: Lesen/Schreiben
    • Squash: Kein Wert

  • Legen Sie die Exportoptionen für Dateisystem A fest, um Read_Write nur Client A zuzulassen, der CIDR-Block 10.0.0.0/24 zugewiesen ist. Client B und Client C sind in diesem CIDR-Block nicht enthalten und können nicht auf das Dateisystem zugreifen. 

    oci fs export update --export-id <file_system_A_export_ID> --export-options '[{"source":"10.0.0.0/24","require-privileged-source-port":"true","access":"READ_WRITE","identity-squash":"NONE","anonymous-uid":"65534","anonymous-gid":"65534"}]'

    Legen Sie die Exportoptionen für Dateisystem B so fest, dass Read_Write nur auf Client B zugreifen kann, der CIDR-Block 10.1.1.0/24 zugewiesen ist. Client A und Client C sind in diesem CIDR-Block nicht enthalten und können nicht auf das Dateisystem zugreifen. 

    oci fs export update --export-id <file_system_B_export_ID> --export-options '[{"source":"10.1.1.0/24 ","require-privileged-source-port":"true","access":"READ_WRITE","identity-squash":"NONE","anonymous-uid":"65534","anonymous-gid":"65534"}]'

    Eine vollständige Liste der Parameter und Werte für CLI-Befehle finden Sie in der CLI-Befehlsreferenz.

  • Legen Sie die Exportoptionen für Dateisystem A fest, um nur Client A, der CIDR-Block 10.0.0.0/24 zugewiesen ist, READ_WRITE-Zugriff zuzulassen. Client B und Client C sind in diesem CIDR-Block nicht enthalten und können nicht auf das Dateisystem zugreifen. 

    PUT/<Current_API_Version>/exports/<File_System_A_export_OCID>
Host: filestorage.us-phoenix-1.oraclecloud.com
<authorization and other headers>
{
    "exportOptions": [
        {
          "source": "10.0.0.0/24",
          "requirePrivilegedSourcePort": true,
          "access": "READ_WRITE",
          "identitySquash": "NONE",
          "anonymousUid": 65534,
          "anonymousGid": 65534
        }
    ]
}

    Legen Sie die Exportoptionen für Dateisystem B fest, um nur Client B, der CIDR-Block 10.1.1.0/24 zugewiesen ist, READ_WRITE-Zugriff zuzulassen. Client A und Client C sind in diesem CIDR-Block nicht enthalten und können nicht auf das Dateisystem zugreifen. 

    PUT/<Current_API_Version>/exports/<File_System_B_export_OCID>
Host: filestorage.us-phoenix-1.oraclecloud.com
<authorization and other headers>
{
    "exportOptions": [
        {
          "source": "10.1.1.0/24",
          "requirePrivilegedSourcePort": true,
          "access": "READ_WRITE",
          "identitySquash": "NONE",
          "anonymousUid": 65534,
          "anonymousGid": 65534
        }
    ]
}

Fähigkeit zum Schreiben von Daten einschränken

Stellen Sie Kunden Daten zur Verfügung, ohne ihnen das Aktualisieren der Daten zu ermöglichen.

Beispiel: Sie möchten Ressourcen in Dateisystem A veröffentlichen, die von einer Anwendung konsumiert, aber nicht geändert werden sollen. Die Anwendung stellt über die IP-Adresse 10.0.0.8 eine Verbindung her.

  • Setzen Sie die Quell-IP-Adresse 10.0.0.8 im Export für Dateisystem A auf "Schreibgeschützt": Exportoptionen für Dateisystem A:

    • Quelle: 10.0.0.8
    • Ports: Privilegiert
    • Zugriff: Schreibgeschützt
    • Squash: Kein Wert

  • Setzen Sie die Quell-IP-Adresse 10.0.0.8 im Export für Dateisystem A auf READ_ONLY:

    oci fs export update --export-id <File_System_A_export_OCID> --export-options '[{"source":"10.0.0.8","require-privileged-source-port":"true","access":"READ_ONLY","identitysquash":"NONE","anonymousuid":"65534","anonymousgid":"65534"}]'

  • Setzen Sie die Quell-IP-Adresse 10.0.0.8 im Export für Dateisystem A auf READ_ONLY:

    PUT/<Current_API_Version>/exports/<File_System_A_export_OCID>
Host: filestorage.us-phoenix-1.oraclecloud.com
<authorization and other headers>
{
    "exportOptions": [
        {
          "source": "10.0.0.8",
          "requirePrivilegedSourcePort": true,
          "access": "READ_ONLY",
          "identitySquash": "NONE",
          "anonymousUid": 65534,
          "anonymousGid": 65534
        }
    ]
}

Dateisystemsicherheit verbessern

Sie möchten die Sicherheit verbessern, indem Sie die Berechtigungen des Root-Benutzers beim Herstellen einer Verbindung mit Dateisystem A einschränken. Verwenden Sie Identity-Squash, um Root-Benutzer UID/GID 65534 neu zuzuordnen. In Unix-ähnlichen Systemen ist diese Kombination aus UID/GID für "nobody" reserviert, ein Benutzer ohne Systemberechtigungen.

  • Exportoptionen für Dateisystem A:

    • Quelle: 0.0.0.0
    • Ports: Privilegiert
    • Zugriff: Lesen/Schreiben
    • Squash: Root
    • BENUTZER: 65534
    • GID: 65534
  • oci fs export update --export-id <File_System_A_export_OCID> --export-options '[{"source":"0.0.0.0/0","require-privileged-source-port":"true","access":"READ_WRITE","identitysquash":"ROOT","anonymousuid":"65534","anonymousgid":"65534"}]'

    Eine vollständige Liste der Parameter und Werte für CLI-Befehle finden Sie in der CLI-Befehlsreferenz.

  • PUT/<Current_API_Version>/exports/<File_System_A_export_OCID>
Host: filestorage.us-phoenix-1.oraclecloud.com
<authorization and other headers>
{
    "exportOptions": [
        {
          "source": "0.0.0.0/0",
          "requirePrivilegedSourcePort": true,
          "access": "READ_WRITE",
          "identitySquash": "ROOT",
          "anonymousUid": 65534,
          "anonymousGid": 65534
        }
    ]
}
    Tipp

    Wenn ein Dateisystem für keinen Client sichtbar sein soll, können Sie alle Eigenschaften im exportOptions-Array auf leere Werte setzen. Beispiel: 

    {
   "exportOptions": [
     {
      "source":"",
      "requirePrivilegedSourcePort":"",
      "access": "",
      "identitySquash":""}        
]

Kerberos für die Authentifizierung verwenden

Um die Sicherheit zu erhöhen, benötigen Sie eine Kerberos-Authentifizierung mit Datenintegrität und Datenschutz (Verschlüsselung während der Übertragung), wenn Sie eine Verbindung zu Dateisystem A über den CIDR-Block 10.0.0.0/24 herstellen. Mit Anonymer Zugriff können Sie Benutzer, die nicht mit dem LDAP-Lookup gefunden wurden, zum Fortfahren mit der angegebenen UID und GID und ohne sekundäre Gruppen zusammenfassen.

Kerberos-Authentifizierung aktivieren für Dateisystem A, und legen Sie dann die Exportoptionen fest.

  • Exportoptionen für Dateisystem A:

    • Quelle: 10.0.0.0/24
    • Ports: Beliebige
    • Zugriff: Lesen/Schreiben
    • Squash: Kein Wert
    • Anonymer Zugriff: True
    • Zulässige Authentifizierungsoptionen: KRB5P
    • Squash-UID: 65534
    • Squash-GID: 65534
    Hinweis

    Für den Export muss auch LDAP für Gruppenliste verwenden aktiviert sein.
  • oci fs export update --export-id <File_System_A_export_OCID> --export-options '[{"source":"10.0.0.0/24","require-privileged-source-port":"false","access":"READ_WRITE","allowedAuth":"KRB5P","isAnonymousAccessAllowed":"true","identitysquash":"NONE","anonymousuid":"65534","anonymousgid":"65534"}]'
    Hinweis

    Für den Export muss auch --is-idmap-groups-for-sys-auth auf true gesetzt sein.

    Eine vollständige Liste der Parameter und Werte für CLI-Befehle finden Sie in der CLI-Befehlsreferenz.

  • PUT/<Current_API_Version>/exports/<File_System_A_export_OCID>
Host: filestorage.us-phoenix-1.oraclecloud.com
<authorization and other headers>
{
    "exportOptions": [
        {
          "source": "10.0.0.0/24",
          "requirePrivilegedSourcePort": false,
          "access": "READ_WRITE",
          "allowedAuth": "KRB5P",
          "isAnonymousAccessAllowed": true,
          "identitySquash": "NONE",
          "anonymousUid": 65534,
          "anonymousGid": 65534
        }
    ]
}
    Hinweis

    Für den Export muss auch isIdmapGroupsForSysAuth auf true gesetzt sein.

Erforderliche IAM-Policy

Um Oracle Cloud Infrastructure verwenden zu können, muss ein Administrator Mitglied einer Gruppe sein, der von einem Mandantenadministrator Sicherheitszugriff in einer Policy erteilt wurde. Dieser Zugriff ist unabhängig davon erforderlich, ob Sie die Konsole oder die REST-API mit einem SDK, einer CLI oder einem anderen Tool verwenden. Wenn Sie eine Nachricht erhalten, dass Sie keine Berechtigung haben oder nicht autorisiert sind, fragen Sie den Mandantenadministrator, welcher Zugriffstyp Ihnen erteilt wurde und in welchem Compartment Ihr Zugriff funktioniert.

Für Administratoren: Mit der Policy in Erstellen, Verwalten und Löschen von Dateisystemen durch Benutzer zulassen können Benutzer NFS-Exportoptionen verwalten.

Wenn Sie mit Policys nicht vertraut sind, finden Sie weitere Informationen unter Identitätsdomains verwalten und Allgemeine Policys.