Allgemeine Policys
Dieser Abschnitt enthält einige allgemeine Policys, die Sie in Ihrem Unternehmen verwenden können.
Die Gruppen- und Compartment-Namen in diesen Policys sind Beispiele. Ersetzen Sie sie durch Ihre eigenen Namen.
Zugriffstyp: Bietet die Möglichkeit, Benutzer und deren Zugangsdaten zu erstellen, zu aktualisieren und zu löschen. Umfasst nicht die Fähigkeit, Benutzer zu Gruppen hinzuzufügen.
Wo wird die Policy erstellt: Im Mandanten, da sich Benutzer im Mandanten befinden.
Allow group HelpDesk to manage users in tenancy
Zugriffstyp: Bietet die Möglichkeit, die Ressourcen in allen Compartments aufzulisten. Beachten Sie dabei Folgendes:
- Der Vorgang zum Auflisten von IAM-Policys umfasst die Inhalte der Policys selbst.
- Die Auflistungsvorgänge für Networking-Ressourcentypen geben alle Informationen zurück (z.B. die Inhalte der Sicherheitslisten und Routentabellen).
- Der Vorgang zum Auflisten von Instanzen erfordert das Verb
read
anstelle voninspect
. Die Inhalte umfassen die vom Benutzer bereitgestellten Metadaten. -
Der Vorgang zum Anzeigen von Audit-Serviceereignissen erfordert das Verb
read
anstelle voninspect
.
Wo wird die Policy erstellt: Im Mandanten. Dank des Konzepts der Policy-Vererbung können Auditoren dann den Mandanten sowie alle zugehörigen Compartments prüfen. Benötigen die Auditoren keinen Zugriff auf den gesamten Mandanten, können Sie ihren Zugriff auch auf bestimmte Compartments einschränken.
Allow group Auditors to inspect all-resources in tenancy
Allow group Auditors to read instances in tenancy
Allow group Auditors to read audit-events in tenancy
-
Geschützte Datenbanken
-
Recovery-Servicesubnetze
- Schutz-Policys
Diese Policy ist anwendbar, wenn Sie zulassen möchten, dass eine einzelne Gruppe von Recovery Service-Administratoren alle Recovery Service-Ressourcen in allen Compartments verwaltet.
Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Vererbung erteilt wird. Um den Zugriff auf Recovery Service-Ressourcen in einem bestimmten Compartment einzuschränken, geben Sie das erforderliche Compartment anstelle des Mandanten an.
Allow group RecoveryServiceGroup to manage recovery-service-family in tenancy
Zugriffstyp: Bietet die Möglichkeit, Schutz-Policys in allen Compartments zu verwalten.
Diese Policy ist anwendbar, wenn Sie zulassen möchten, dass eine einzelne Gruppe von Complianceadministratoren Schutz-Policys in allen Compartments verwaltet.
Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Vererbung erteilt wird. Um den Umfang des Zugriffs auf Schutz-Policys in einem bestimmten Compartment einzuschränken, geben Sie das erforderliche Compartment anstelle des Mandanten an.
Allow group ComplianceGroup to manage recovery-service-policy in tenancy
Zugriffstyp: Bietet die Möglichkeit, alle Komponenten in Networking zu verwalten. Dazu gehören Cloud-Netzwerke, Subnetze, Gateways, Virtual Circuits, Sicherheitslisten, Routentabellen usw. Wenn die Netzwerkadministratoren Instanzen zum Testen der Netzwerkkonnektivität starten müssen, finden Sie weitere Informationen hierzu unter Starten von Compute-Instanzen durch Benutzer zulassen.
Wo wird die Policy erstellt: Im Mandanten. Dank des Konzepts der Policy-Vererbung kann die Gruppe "NetworkAdmins" dann ein Cloud-Netzwerk in einem beliebigen Compartment verwalten. Um den Geltungsbereich des Zugriffs auf ein bestimmtes Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.
Allow group NetworkAdmins to manage virtual-network-family in tenancy
Policys, die beim Verbinden eines DRG mit VCNs und DRGs in anderen Regionen und Mandanten verwendet werden, finden Sie unter IAM-Policys für das Routing zwischen VCNs.
Zugriffstyp: Bietet die Möglichkeit, alle Komponenten in Load Balancer zu verwalten. Wenn die Gruppe Instanzen starten muss, finden Sie weitere Informationen hierzu unter Starten von Compute-Instanzen durch Benutzer zulassen.
Wo wird die Policy erstellt: Im Mandanten. Dank des Konzepts der Policy-Vererbung kann die Gruppe "NetworkAdmins" dann Load Balancer in einem beliebigen Compartment verwalten. Um den Geltungsbereich des Zugriffs auf ein bestimmtes Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.
Allow group NetworkAdmins to manage load-balancers in tenancy
Wenn die Gruppe Load Balancer und Network Load Balancer verwalten möchte, sind zusätzliche Policys zur Verwendung der verknüpften Netzwerkressourcen erforderlich:
Allow group NetworkAdmins to manage load-balancers in tenancy
Allow group NetworkAdmins to use virtual-network-family in tenancy
Allow group NetworkAdmins to manage instances in tenancy
Wenn eine bestimmte Gruppe vorhandene Load Balancer aktualisieren (z.B. das Backend-Set ändern), sie jedoch nicht erstellen oder löschen muss, verwenden Sie diese Anweisung:
Allow group LBUsers to use load-balancers in tenancy
Zugriffstyp: Bietet die Möglichkeit, alle Aktionen in Bezug auf Instanzen auszuführen, die im Cloud-Netzwerk und in den Subnetzen in Compartment "XYZ" gestartet wurden. Dazu gehört auch das Zuordnen bzw. das Aufheben dieser Zuordnung von in Compartment "ABC" bereits vorhandenen Volumes. Mit der ersten Anweisung kann die Gruppe außerdem Instanzimages in Compartment "ABC" erstellen und verwalten. Wenn die Gruppe keine Volumes anhängen oder trennen muss, können Sie die Anweisung volume-family
löschen.
Wo wird die Policy erstellt: Am einfachsten ist es, diese Policy im Mandanten zu erstellen. Wenn die Administratoren der einzelnen Compartments ("ABC" und "XYZ") die jeweiligen Policy-Anweisungen ihrer Compartments selbst kontrollieren sollen, finden Sie weitere Informationen hierzu unter Policy-Zuordnung.
Allow group InstanceLaunchers to manage instance-family in compartment ABC
Allow group InstanceLaunchers to read app-catalog-listing in tenancy
Allow group InstanceLaunchers to use volume-family in compartment ABC
Allow group InstanceLaunchers to use virtual-network-family in compartment XYZ
Informationen dazu, wie Benutzer neue Cloud-Netzwerke und Subnetze erstellen können, finden Sie unter Verwalten eines Cloud-Netzwerks durch Netzwerkadministratoren zulassen.
Damit Benutzer vor dem Erstellen einer Instanz bestimmen können, ob Kapazität für eine bestimmte Ausprägung verfügbar ist, fügen Sie der Policy die folgende Anweisung hinzu:
Allow group InstanceLaunchers to manage compute-capacity-reports in tenancy
Zugriffstyp: Bietet die Möglichkeit, Instanzen im Cloud-Netzwerk und in Subnetzen in Compartment XYZ mit nur dem angegebenen benutzerdefinierten Image zu starten. Die Policy umfasst auch die Möglichkeit, vorhandene Volumes, die bereits in Compartment ABC vorhanden sind, anzuhängen/zu trennen. Wenn die Gruppe keine Volumes anhängen bzw. treffen muss, können Sie die Anweisung volume-family
löschen.
Um mehrere benutzerdefinierte Images anzugeben, können Sie Bedingungen verwenden.
Wo wird die Policy erstellt: Am einfachsten ist es, diese Policy im Mandanten zu erstellen. Wenn die Administratoren der einzelnen Compartments ("ABC" und "XYZ") die jeweiligen Policy-Anweisungen ihrer Compartments selbst kontrollieren sollen, finden Sie weitere Informationen hierzu unter Policy-Zuordnung.
Allow group ImageUsers to inspect instance-images in compartment ABC
Allow group ImageUsers to {INSTANCE_IMAGE_READ} in compartment ABC where target.image.id='<image_OCID>'
Allow group ImageUsers to manage instances in compartment ABC
Allow group ImageUsers to read app-catalog-listing in tenancy
Allow group ImageUsers to use volume-family in compartment ABC
Allow group ImageUsers to use virtual-network-family in compartment XYZ
Zugriffstyp: Bietet die Möglichkeit, alle Aktionen in Bezug auf benutzerdefinierte Images und Compute-Instanzen auszuführen. Umfasst auch die Möglichkeit, alle Aktionen mit Object Storage-Buckets, -Objekten und -Namespaces in Compartment Y auszuführen (zum Erstellen von Images aus Objekten und Erstellen von vorab authentifizierten Anforderungen an Images), alle vorhandenen Volumes in Compartment X anzuhängen/zu trennen und Instanzen im Cloud-Netzwerk und in den Subnetzen in Compartment Z zu starten (zum Erstellen neuer Instanzen, auf denen ein Image basieren soll). Wenn die Gruppe keine Volumes anhängen bzw. treffen muss, können Sie die Anweisung volume-family
löschen.
Wo wird die Policy erstellt: Am einfachsten ist es, diese Policy im Mandanten zu erstellen. Wenn die Administratoren der einzelnen Compartments (X, Y und Z) die jeweiligen Policy-Anweisungen ihrer Compartments selbst kontrollieren sollen, finden Sie weitere Informationen hierzu unter Policy-Zuordnung.
Allow group ImageAdmins to manage instances in compartment X
Allow group ImageAdmins to manage instance-images in compartment X
Allow group ImageAdmins to read app-catalog-listing in tenancy
Allow group ImageAdmins to manage object-family in compartment Y
Allow group ImageAdmins to use volume-family in compartment X
Allow group ImageAdmins to use virtual-network-family in compartment Z
Zugriffstyp: Bietet die Möglichkeit, alle Aktionen in Bezug auf Instanzkonfigurationen, Instanzpools und Clusternetzwerke in allen Compartments auszuführen.
Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Vererbung erteilt wird. Um den Geltungsbereich des Zugriffs nur auf die Instanzkonfigurationen, Instanzpools und Clusternetzwerke in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.
Allow group InstancePoolAdmins to manage compute-management-family in tenancy
Wenn eine Gruppe Instanzkonfigurationen mit vorhandenen Instanzen als Vorlage erstellen muss und dazu die API, SDKs oder Befehlszeilenschnittstelle (CLI) verwendet, fügen Sie die folgenden Anweisungen zur Policy hinzu:
Allow group InstancePoolAdmins to read instance-family in tenancy
Allow group InstancePoolAdmins to inspect volumes in tenancy
Wenn eine bestimmte Gruppe die Instanzen in vorhandenen Instanzpools starten, stoppen oder zurücksetzen, aber keine Instanzpools erstellen oder löschen muss, verwenden Sie diese Anweisung:
Allow group InstancePoolUsers to use instance-pools in tenancy
Wenn vom Instanzpool verwendete Ressourcen Standardtags enthalten, fügen Sie der Policy die folgende Anweisung hinzu, um der Gruppe die Berechtigung für den Tag-Namespace Oracle-Tags
zu erteilen:
Allow group InstancePoolUsers to use tag-namespaces in tenancy where target.tag-namespace.name = 'oracle-tags'
Wenn die vom Instanzpool verwendete Instanzkonfiguration Instanzen in einer Kapazitätsreservierung startet, fügen Sie die folgende Anweisung zur Policy hinzu:
Allow service compute_management to use compute-capacity-reservations in tenancy
Wenn das Boot-Volume, das in der Instanzkonfiguration zum Erstellen eines Instanzpools verwendet wird, mit einem KMS-Schlüssel verschlüsselt ist, fügen Sie der Policy die folgende Anweisung hinzu:
allow service compute, blockstorage, compute_management to use key-family in compartment <compartment_id/<tenant_id>>
Zugriffstyp: Bietet die Möglichkeit, Autoscaling-Konfigurationen zu erstellen, zu aktualisieren und zu löschen.
Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Vererbung erteilt wird. Um den Geltungsbereich des Zugriffs nur auf die Autoscaling-Konfigurationen in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.
Allow group AutoscalingAdmins to manage auto-scaling-configurations in tenancy
Allow group AutoscalingAdmins to manage instance-pools in tenancy
Zugriffstyp: Bietet die Möglichkeit, Abonnements für Images im Partnerimagekatalog aufzulisten und zu erstellen. Beinhaltet nicht das Erstellen von Instanzen mit Images aus dem Partnerimagekatalog (siehe Starten von Compute-Instanzen durch Benutzer zulassen).
Wo wird die Policy erstellt: Im Mandanten. Um den Geltungsbereich des Zugriffs nur auf das Erstellen von Abonnements in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten in der dritten Anweisung an.
Allow group CatalogSubscribers to inspect app-catalog-listing in tenancy
Allow group CatalogSubscribers to read app-catalog-listing in tenancy
Allow group CatalogSubscribers to manage app-catalog-listing in tenancy
Zugriffstyp: Bietet die Möglichkeit, Instanzkonsolenverbindungen zu erstellen.
Wo wird die Policy erstellt: Im Mandanten.
Allow group <group_name> to manage instance-console-connection in tenancy
Allow group <group_name> to read instance in tenancy
Zugriffstyp: Bietet die Möglichkeit, dedizierte Hosts für virtuelle Maschinen zu erstellen, zu aktualisieren und zu löschen sowie Instanzen auf dedizierten Hosts für virtuelle Maschinen zu starten.
Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Vererbung erteilt wird. Um den Geltungsbereich des Zugriffs nur auf die dedizierten Hosts für virtuelle Maschinen und Instanzen in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.
Allow group DedicatedVMHostAdmins to manage dedicated-vm-hosts in tenancy
Allow group DedicatedVMHostAdmins to manage instances in tenancy
Zugriffstyp: Bietet die Möglichkeit, Instanzen auf dedizierten Hosts für virtuelle Maschinen zu starten.
Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Vererbung erteilt wird. Um den Geltungsbereich des Zugriffs nur auf die dedizierten Hosts für virtuelle Maschinen und Instanzen in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.
Allow group DedicatedVMHostAdmins to use dedicated-vm-hosts in tenancy
Allow group DedicatedVMHostAdmins to manage instances in tenancy
Zugriffstyp: Bietet die Möglichkeit, alle Aktionen in Bezug auf Blockspeicher-Volumes, Volume-Backups und Volume-Gruppen in allen Compartments auszuführen, beinhaltet aber nicht das regionsübergreifende Kopieren von Volume-Backups. Dies ist sinnvoll, wenn eine einzelne Gruppe von Volume-Administratoren alle Volumes, Volume-Backups und Volume-Gruppen in allen Compartments verwalten soll. Die zweite Anweisung ist erforderlich, um die Volumes Instanzen zuzuordnen bzw. die Zuordnung aufzuheben.
Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Vererbung erteilt wird. Um den Geltungsbereich des Zugriffs nur auf die Volumes/Backups und Instanzen in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.
Allow group VolumeAdmins to manage volume-family in tenancy
Allow group VolumeAdmins to use instance-family in tenancy
Wenn die Gruppe auch Volume-Backups und Boot-Volume-Backups regionsübergreifend kopieren muss, fügen Sie der Policy die folgenden Anweisungen hinzu:
Allow group VolumeAdmins to use volume-backups in tenancy where request.permission='VOLUME_BACKUP_COPY'
Allow group VolumeAdmins to use boot-volume-backups in tenancy where request.permission='BOOT_VOLUME_BACKUP_COPY'
Zugriffstyp: Bietet die Möglichkeit, alle Aktionen in Bezug auf Volume-Backups auszuführen, beinhaltet aber nicht das Erstellen und Verwalten der Volumes selbst. Dies ist sinnvoll, wenn eine einzelne Gruppe von Volume-Backupadministratoren alle Volume-Backups in allen Compartments verwalten soll. Die erste Anweisung erteilt den erforderlichen Zugriff auf das zu sichernde Volume. Die zweite Anweisung ermöglicht das Erstellen des Backups sowie das Löschen von Backups. Die dritte Anweisung ermöglicht das Erstellen und Verwalten benutzerdefinierter Backup-Policys. Die vierte Anweisung ermöglicht das Zuweisen und Aufheben der Zuweisung von Backup-Policys.
Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Vererbung erteilt wird. Um den Geltungsbereich des Zugriffs nur auf die Volumes und Backups in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.
Allow group VolumeBackupAdmins to use volumes in tenancy
Allow group VolumeBackupAdmins to manage volume-backups in tenancy
Allow group VolumeBackupAdmins to manage backup-policies in tenancy
Allow group VolumeBackupAdmins to manage backup-policy-assignments in tenancy
Wenn die Gruppe die Konsole verwendet, bietet die folgende Policy eine bessere Benutzererfahrung:
Allow group VolumeBackupAdmins to use volumes in tenancy
Allow group VolumeBackupAdmins to manage volume-backups in tenancy
Allow group VolumeBackupAdmins to inspect volume-attachments in tenancy
Allow group VolumeBackupAdmins to inspect instances in tenancy
Allow group VolumeBackupAdmins to manage backup-policies in tenancy
Allow group VolumeBackupAdmins to manage backup-policy-assignments in tenancy
Die letzten beiden Anweisungen sind zum Verwalten von Volume-Backups nicht erforderlich. Allerdings können damit alle Informationen zu einem bestimmten Volume und den verfügbaren Backup-Policys in der Konsole angezeigt werden.
Zugriffstyp: Bietet die Möglichkeit, alle Aktionen in Bezug auf Boot-Volume-Backups auszuführen, beinhaltet aber nicht das Erstellen und Verwalten der Boot-Volumes selbst. Dies ist sinnvoll, wenn eine einzelne Gruppe von Boot-Volume-Backupadministratoren alle Boot-Volume-Backups in allen Compartments verwalten soll. Die erste Anweisung erteilt den erforderlichen Zugriff auf das zu sichernde Boot-Volume. Die zweite Anweisung ermöglicht das Erstellen des Backups sowie das Löschen von Backups. Die dritte Anweisung ermöglicht das Erstellen und Verwalten benutzerdefinierter Backup-Policys. Die vierte Anweisung ermöglicht das Zuweisen und Aufheben der Zuweisung von Backup-Policys.
Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Vererbung erteilt wird. Um den Geltungsbereich des Zugriffs nur auf die Boot-Volumes und Backups in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.
Allow group BootVolumeBackupAdmins to use volumes in tenancy
Allow group BootVolumeBackupAdmins to manage boot-volume-backups in tenancy
Allow group BootVolumeBackupAdmins to manage backup-policies in tenancy
Allow group BootVolumeBackupAdmins to manage backup-policy-assignments in tenancy
Wenn die Gruppe die Konsole verwendet, bietet die folgende Policy eine bessere Benutzererfahrung:
Allow group BootVolumeBackupAdmins to use volumes in tenancy
Allow group BootVolumeBackupAdmins to manage boot-volume-backups in tenancy
Allow group BootVolumeBackupAdmins to inspect instances in tenancy
Allow group BootVolumeBackupAdmins to manage backup-policies in tenancy
Allow group BootVolumeBackupAdmins to manage backup-policy-assignments in tenancy
Die letzten beiden Anweisungen sind zum Verwalten von Volume-Backups nicht erforderlich. Allerdings können damit alle Informationen zu einem bestimmten Boot-Volume und den verfügbaren Backup-Policys in der Konsole angezeigt werden.
Zugriffstyp: Bietet die Möglichkeit, eine Volume-Gruppe aus einem Set von Volumes zu erstellen.
Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Vererbung erteilt wird. Um den Geltungsbereich des Zugriffs nur auf die Volumes und Volume-Gruppen in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.
Allow group VolumeGroupCreators to inspect volumes in tenancy
Allow group VolumeGroupCreators to manage volume-groups in tenancy
Zugriffstyp: Bietet die Möglichkeit, eine Volume-Gruppe aus einer vorhandenen Volume-Gruppe zu klonen.
Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Vererbung erteilt wird. Um den Geltungsbereich des Zugriffs nur auf die Volumes und Volume-Gruppen in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.
Allow group VolumeGroupCloners to inspect volumes in tenancy
Allow group VolumeGroupCloners to manage volume-groups in tenancy
Allow group VolumeGroupCloners to manage volumes in tenancy
Zugriffstyp: Bietet die Möglichkeit, ein Volume-Gruppenbackup zu erstellen.
Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Vererbung erteilt wird. Um den Geltungsbereich des Zugriffs nur auf die Volumes/Backups und Volume-Gruppen/Volume-Gruppenbackups in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.
Allow group VolumeGroupBackupAdmins to inspect volume-groups in tenancy
Allow group VolumeGroupBackupAdmins to manage volumes in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-group-backups in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-backups in tenancy
Zugriffstyp: Bietet die Möglichkeit, eine Volume-Gruppe durch Wiederherstellung eines Volume-Gruppenbackups zu erstellen.
Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Vererbung erteilt wird. Um den Geltungsbereich des Zugriffs nur auf die Volumes/Backups und Volume-Gruppen/Volume-Gruppenbackups in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.
Allow group VolumeGroupBackupAdmins to inspect volume-group-backups in tenancy
Allow group VolumeGroupBackupAdmins to read volume-backups in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-groups in tenancy
Allow group VolumeGroupBackupAdmins to manage volumes in tenancy
Zugriffstyp: Bietet die Möglichkeit, ein Dateisystem oder einen Dateisystemklon zu erstellen, zu verwalten oder zu löschen. Zu den administrativen Aufgaben für ein Dateisystem gehören das Umbenennen oder Löschen eines Dateisystems sowie das Trennen der Verbindung.
Wo wird die Policy erstellt: Im Mandanten, sodass die Berechtigung zum Erstellen, Verwalten oder Löschen eines Dateisystems allen Compartments durch Policy-Vererbung erteilt wird. Um den Geltungsbereich dieser administrativen Aufgaben auf Dateisysteme in einem bestimmten Compartment einzuschränken, geben Sie das betreffende Compartment anstelle des Mandanten an.
Allow group StorageAdmins to manage file-family in tenancy
Zugriffstyp: Bietet die Möglichkeit, ein Dateisystem oder einen Dateisystemklon zu erstellen.
Wo wird die Policy erstellt: Im Mandanten, sodass die Berechtigung zum Erstellen eines Dateisystems allen Compartments durch Policy-Vererbung erteilt wird. Um den Geltungsbereich dieser administrativen Aufgaben auf Dateisysteme in einem bestimmten Compartment einzuschränken, geben Sie das betreffende Compartment anstelle des Mandanten an.
Allow group Managers to manage file-systems in tenancy
Allow group Managers to read mount-targets in tenancy
Die zweite Anweisung ist erforderlich, wenn Benutzer ein Dateisystem mit der Konsole erstellen. Damit wird in der Konsole eine Liste der Mountziele angezeigt, mit denen das neue Dateisystem verknüpft werden kann.
Zugriffstyp: Bietet die Möglichkeit, alle Aktionen in Bezug auf Object Storage-Buckets und -Objekte in allen Compartments auszuführen.
Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Vererbung erteilt wird. Um den Geltungsbereich des Zugriffs nur auf die Buckets und Objekte in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.
Allow group ObjectAdmins to manage buckets in tenancy
Allow group ObjectAdmins to manage objects in tenancy
Zugriffstyp: Bietet die Möglichkeit, Objekte in einen beliebigen Object Storage-Bucket in Compartment "ABC" zu schreiben (z.B. wenn ein Client regelmäßig Logdateien in einen Bucket schreiben muss). Dazu gehört das Auflisten von Buckets im Compartment, das Auflisten von Objekten in einem Bucket und das Erstellen eines neuen Objekts in einem Bucket. Obwohl die zweite Anweisung mit dem Verb manage
einen umfassenden Zugriff gewährt, wird der Geltungsbereich dieses Zugriffs gleichzeitig durch die Bedingung am Ende der Anweisung auf die Berechtigungen OBJECT_INSPECT
und OBJECT_CREATE
eingeschränkt.
Wo wird die Policy erstellt: Am einfachsten ist es, diese Policy im Mandanten zu erstellen. Wenn die Administratoren von Compartment "ABC" die Policy selbst kontrollieren sollen, finden Sie weitere Informationen hierzu unter Policy-Zuordnung.
Allow group ObjectWriters to read buckets in compartment ABC
Allow group ObjectWriters to manage objects in compartment ABC where any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}
Zugriff eingeschränkt auf einen bestimmten Bucket: Um den Zugriff auf einen bestimmten Bucket in einem bestimmten Compartment einzuschränken, fügen Sie die Bedingung where target.bucket.name='<bucket_name>'
hinzu. Mit der folgenden Policy kann der Benutzer alle Buckets in einem bestimmten Compartment auflisten, kann jedoch nur die Objekte in "BucketA" auflisten und hochladen:
Allow group ObjectWriters to read buckets in compartment ABC
Allow group ObjectWriters to manage objects in compartment ABC where all {target.bucket.name='BucketA', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}
Zugriff eingeschränkt auf Buckets mit einem bestimmten definierten Tag: Um den Zugriff auf die Buckets mit einem bestimmten Tag in einem bestimmten Compartment einzuschränken, fügen Sie die Bedingung where target.bucket.tag.<TagNamespace>.<TagKeyDefinition>='<TagValue>'
hinzu. Mit der folgenden Policy kann der Benutzer alle Buckets in Compartment "ABC" auflisten. Es können jedoch nur die Objekte im Bucket mit dem Tag MyTagNamespace.TagKey='MyTagValue'
aufgelistet und hochgeladen werden:
Allow group ObjectWriters to read buckets in compartment ABC
Allow group ObjectWriters to manage objects in compartment ABC where all {target.bucket.tag.MyTagNamespace.TagKey='MyTagValue', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}
Weitere Informationen zur Verwendung von Bedingungen finden Sie unter Erweiterte Policy-Features.
Zugriffstyp: Bietet die Möglichkeit, Objekte aus einem beliebigen Object Storage-Bucket in Compartment "ABC" herunterzuladen. Dazu gehört das Auflisten von Buckets im Compartment, das Auflisten von Objekten in einem Bucket und das Lesen vorhandener Objekte in einem Bucket.
Wo wird die Policy erstellt: Am einfachsten ist es, diese Policy im Mandanten zu erstellen. Wenn die Administratoren von Compartment "ABC" die Policy selbst kontrollieren sollen, finden Sie weitere Informationen hierzu unter Policy-Zuordnung.
Allow group ObjectReaders to read buckets in compartment ABC
Allow group ObjectReaders to read objects in compartment ABC
Zugriff eingeschränkt auf einen bestimmten Bucket: Um den Zugriff auf einen bestimmten Bucket in einem bestimmten Compartment einzuschränken, fügen Sie die Bedingung where target.bucket.name='<bucket_name>'
hinzu. Mit der folgenden Policy kann der Benutzer alle Buckets in einem bestimmten Compartment auflisten, die Objekte können jedoch nur in "BucketA" gelesen und heruntergeladen werden:
Allow group ObjectReaders to read buckets in compartment ABC
Allow group ObjectReaders to read objects in compartment ABC where target.bucket.name='BucketA'
Zugriff eingeschränkt auf Buckets mit einem bestimmten definierten Tag
Um den Zugriff auf die Buckets mit einem bestimmten Tag in einem bestimmten Compartment einzuschränken, fügen Sie die Bedingung where target.bucket.tag.<TagNamespace>.<TagKeyDefinition>='<TagValue>'
hinzu. Mit der folgenden Policy kann der Benutzer alle Buckets in Compartment "ABC" auflisten. Es können jedoch nur die Objekte im Bucket mit dem Tag MyTagNamespace.TagKey='MyTagValue'
gelesen und heruntergeladen werden:
Allow group ObjectReaders to read buckets in compartment ABC
Allow group ObjectReaders to read objects in compartment ABC where target.bucket.tag.MyTagNamespace.TagKey='MyTagValue'
Weitere Informationen zur Verwendung von Bedingungen finden Sie unter Erweiterte Policy-Features.
Zugriffstyp: Bietet die Möglichkeit, vom Kunden verwalteten Schlüssel zu erstellen. Dies besteht in der Möglichkeit, Policys für den Zugriff auf Daten einzurichten, die mit dem vom Kunden verwalteten Schlüssel verschlüsselt sind.
allow group <group_in_tenancy> to manage vaults in compartment <key_located_compartment>
allow group <group_in_tenancy> to manage keys in compartment <key_located_compartment>
allow group <group_in_tenancy> to manage key-delegate in compartment <key_located_compartment>
allow group <group_in_tenancy> to use object-family in compartment <key_located_compartment>
allow service objectstorage-<region_name> to use keys in compartment <key_located_compartment>
Die letzte Anweisung im obigen Policy-Beispiel ist regionsspezifisch. Das bedeutet, dass Kunden diese Anweisung für jede Region wiederholt schreiben müssen. Zur Vereinfachung der Richtlinieneinstellung können Kunden das folgende Beispiel für Richtlinieneinstellungen verwenden:
allow group <group_in_tenancy> to manage vaults in compartment <key_located_compartment>
allow group <group_in_tenancy> to manage keys in compartment <key_located_compartment>
allow group <group_in_tenancy> to manage key-delegate in compartment <key_located_compartment>
allow group <group_in_tenancy> to use object-family in compartment <key_located_compartment>
allow any-group to use keys in compartment <key_located_compartment> where all {request.principal.type = 'service', request.service.name = /objectstorage-*/}
Zugriffstyp: Bietet einer Gruppe von Benutzern die Möglichkeit, alle Aktionen für einen Object Storage-Bucket und die zugehörigen Objekte auszuführen.
Wo wird die Policy erstellt: Im Mandanten, in dem sich die Benutzer befinden.
ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*'}
Zugriffstyp: Bietet einer Gruppe von Benutzern schreibgeschützten Zugriff auf einen Object Storage-Bucket und die zugehörigen Objekte.
Wo wird die Policy erstellt: Im Mandanten, in dem sich die Benutzer befinden.
ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*', any{request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}
Zugriffstyp: Bietet einer Benutzergruppe Schreibzugriff auf einen Ordner mit Objekten in einem Bucket. Benutzer können keine Liste mit Objekten im Bucket anzeigen oder darin enthaltene Objekte löschen.
Wo wird die Policy erstellt: Im Mandanten, in dem sich die Benutzer befinden.
ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*', any{request.permission='OBJECT_CREATE'}}
Zugriffstyp: Bietet einer Gruppe von Benutzern Lese- und Schreibzugriff auf einen Ordner mit Objekten in einem Object Storage-Bucket. Benutzer können keine Liste mit Objekten im Ordner generieren und keine vorhandenen Objekte im Ordner überschreiben.
Wo wird die Policy erstellt: Im Mandanten, in dem sich die Benutzer befinden.
ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*', any{request.permission='OBJECT_CREATE', request.permission='OBJECT_READ'}}
Zugriffstyp: Bietet einem angegebenen Benutzer die Möglichkeit, vollständigen Zugriff auf alle Objekte zu haben, die einem angegebenen Muster in einem Object Storage-Bucket entsprechen.
Erstellungsort der Policy: Im Mandanten, in dem sich der Benutzer befindet.
ALLOW any-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = '*.pdf', request.user.id='ocid1.user.oc1..exampleuniqueID'}
- Exadata Database Service on Dedicated Infrastructure-Instanzen
- Bare-Metal-DB-Systeme
- Virtual-Machine-DB-Systeme
Das ist sinnvoll, wenn eine einzelne Gruppe von Datenbankadministratoren alle Bare-Metal-, Virtual-Machine- und Exadata-Systeme in allen Compartments verwalten soll.
Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Vererbung erteilt wird. Um den Geltungsbereich des Zugriffs nur auf die Datenbanksysteme in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.
Allow group DatabaseAdmins to manage database-family in tenancy
Zugriffstyp: Bietet die Möglichkeit, alle Aktionen in Bezug auf Exadata Database Service on Cloud@Customer-Ressourcen in allen Compartments auszuführen. Dies ist sinnvoll, wenn eine einzelne Gruppe von Datenbankadministratoren alle Exadata Database Service on Cloud@Customer-Systeme in allen Compartments verwalten soll.
Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Vererbung erteilt wird. So reduzieren Sie den Geltungsbereich für den Zugriff auf Exadata Database Service on Cloud@Customer
Systeme in einem bestimmten Compartment zu beschränken, geben Sie dieses Compartment anstelle des Mandanten an.
Allow group ExaCCAdmins to manage database-family in tenancy
Art des Zugriffs:
Bietet die Möglichkeit, alle Aktionen mit MySQL Database- und MySQL HeatWave-Ressourcen in allen Compartments auszuführen. Das Erstellen und Verwalten von MySQL Database-DB-Systemen erfordert außerdem begrenzten Zugriff auf VCNs, Subnetze und Tag-Namespaces im Mandanten.
Allow group <group_name> to {
COMPARTMENT_INSPECT,
VCN_READ,
SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH,
NETWORK_SECURITY_GROUP_UPDATE_MEMBERS,
VNIC_CREATE, VNIC_UPDATE, VNIC_DELETE, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP
} in tenancy | compartment <compartment_name> | compartment <compartment_ocid>
Allow group <group_name> to manage mysql-family in tenancy | compartment <compartment_name> | compartment <compartment_ocid>
Allow group <group_name> to use tag-namespaces in tenancy
- Containerdatenbankressourcen außerhalb von OCI
- Integrierbare Datenbankressourcen außerhalb von OCI
- Nicht-Containerdatenbankressourcen außerhalb von OCI
- Datenbank-Connectors außerhalb von OCI
Das ist sinnvoll, wenn eine einzelne Gruppe von Datenbankadministratoren alle Datenbankressourcen außerhalb von OCI in allen Compartments verwalten soll.
Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Vererbung erteilt wird. Um den Geltungsbereich des Zugriffs nur auf die Datenbankressourcen außerhalb von OCI in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.
Allow group OnPremDatabaseAdmins to manage external-database-family in tenancy
Zugriffstyp: Bietet die Möglichkeit, alle Aktionen in Bezug auf Autonomous Database-Instanzen in allen Compartments auszuführen. Anwendbar, wenn eine einzelne Gruppe von Datenbankadministratoren alle Autonomous Database-Datenbanken in allen Compartments verwalten soll.
Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Vererbung erteilt wird. Um den Geltungsbereich des Zugriffs auf die autonomen Datenbanken in einem bestimmten Compartment zu beschränken, geben Sie dieses Compartment anstelle des Mandanten an.
Beispiel 1: Für Benutzerrollen, die mit Autonomous Database on Dedicated Exadata Infrastructure verknüpft sind. Ermöglicht dem Autonomous Database-Flottenadministrator Zugriff auf alle Workload-Typen sowie die Verwaltung der folgenden dedizierten Exadata-Infrastrukturressourcen: autonome Containerdatenbanken und autonome VM-Cluster.
Allow group DatabaseAdmins to manage autonomous-database-family in tenancy
Der aggregierte Ressourcentyp
autonomous-database-family
deckt nicht den Ressourcentyp cloud-exadata-infrastructures
ab, der für das Provisioning von Autonomous Database auf einer dedizierten Exadata-Infrastruktur erforderlich ist. Informationen zu den Cloud-Exadata-Infrastrukturberechtigungen finden Sie unter Policy Details für Exadata Database Service on Dedicated Infrastructure. Eine Beispiel-Policy für Cloud-Exadata-Infrastrukturressourcen finden Sie unter Verwalten von Oracle Cloud-Datenbanksystemen durch Datenbankadministratoren zulassen.Wenn Sie den Zugriff auf die Ressourcentypen "Autonomes VM-Cluster" und "Autonome Containerdatenbank" (nur für dedizierte Exadata-Infrastruktur anwendbar) einschränken müssen, können Sie hierfür separate Policy-Anweisungen für Datenbankadministratoren erstellen, die nur den Zugriff auf autonome Datenbanken und ihre Backups ermöglichen. Weil eine Policy-Anweisung nur einen Ressourcentyp angeben kann, müssen Sie separate Anweisungen für die Datenbank- und Backupressourcen erstellen.
Beispiel 2: Für Autonomous Database on Dedicated Exadata Infrastructure. Ermöglicht den Autonomous Database-Datenbankadministratoren den Zugriff auf Datenbanken und Backups der verschiedenen Workload-Typen, verweigert jedoch den Zugriff auf autonome Containerdatenbanken, autonome VM-Cluster und Cloud-Exadata-Infrastrukturressourcen.
Allow group ADB-Admins to manage autonomous-database in tenancy
Allow group ADB-Admins to manage autonomous-backup in tenancy
Um den Geltungsbereich des Zugriffs für Datenbanken und Backups auf einen bestimmten Workload-Typ zu reduzieren, verwenden Sie eine where
-Klausel.
Beispiel 3: Für Autonomous Database on Dedicated Exadata Infrastructure. Beschränkt den Autonomous Database-Zugriff auf Datenbanken und Backups für einen bestimmten Workload-Typ.
Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'workload_type'
Allow group ADB-Admins to manage autonomous-backups in tenancy where target.workloadType = 'workload_type'
In den obigen Codebeispielen ist workload_type
eine der Zeichenfolgen, die in der folgenden Tabelle aufgeführt sind.
Datenbank-Workload-Typ | workload_type-Zeichenfolge für Policys |
---|---|
Autonomous Database für Transaktionsverarbeitung und gemischte Workloads | OLTP |
Autonomous Database für Analysen und Data Warehousing | DW |
Autonomous JSON Database | AJD |
Oracle APEX Application Development | APEX |
Zugriffstyp: Bietet die Möglichkeit, alle Aktionen in Bezug auf den Service Vault in allen Compartments auszuführen. Dies ist sinnvoll, wenn eine einzelne Gruppe von Sicherheitsadministratoren alle Vaults, Schlüssel und Secret-Komponenten (einschließlich Secrets, Secret-Versionen und Secret Bundles) in allen Compartments verwalten soll.
Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Vererbung erteilt wird. Um den Geltungsbereich des Zugriffs nur auf die Vaults, Schlüssel und Secret-Komponenten in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an. Um den Geltungsbereich des Zugriffs nur auf Vaults, Schlüssel oder Secret-Komponenten zu reduzieren, nehmen Sie nur die Policy-Anweisung auf, die sich auf den jeweiligen individuellen oder aggregierten Ressourcentyp bezieht.
Allow group SecurityAdmins to manage vaults in tenancy
Allow group SecurityAdmins to manage keys in tenancy
Allow group SecurityAdmins to manage secret-family in tenancy
Zugriffstyp: Bietet die Möglichkeit, alle Aktionen mit Schlüsseln in einem bestimmten Vault in Compartment "ABC" auszuführen.
Wo wird die Policy erstellt: Am einfachsten ist es, diese Policy im Mandanten zu erstellen. Wenn die Administratoren eines einzelnen Compartments ("ABC") die jeweiligen Policy-Anweisungen für ihr Compartment selbst kontrollieren sollen, finden Sie weitere Informationen hierzu unter Policy-Zuordnung.
Allow group SecurityAdmins to manage keys in compartment ABC where target.vault.id='<vault_OCID>'
Zugriffstyp: Bietet die Möglichkeit, kryptografische Vorgänge mit einem bestimmten Schlüssel in einem Compartment aufzulisten, anzuzeigen und auszuführen.
Wo wird die Policy erstellt: Am einfachsten ist es, diese Policy im Mandanten zu erstellen. Wenn die Administratoren eines einzelnen Compartments ("ABC") die jeweiligen Policy-Anweisungen für ihr Compartment selbst kontrollieren sollen, finden Sie weitere Informationen hierzu unter Policy-Zuordnung.
Allow group SecurityAdmins to use keys in compartment ABC where target.key.id='<key_OCID>'
Zugriffstyp: Bietet die Möglichkeit, einen Object Storage-Bucket, ein Block Volume-Volume, ein File Storage-Dateisystem, ein Kubernetes-Cluster oder einen Streaming-Streampool mit einem bestimmten Schlüssel zu verknüpfen, der zur Verwendung in einem bestimmten Compartment autorisiert ist. Gemäß dieser Policy ist ein Benutzer in der angegebenen Gruppe nicht zur Verwendung des Schlüssels berechtigt. Vielmehr kann der Schlüssel durch Verknüpfung in Object Storage, Block Volume, File Storage, Container Engine for Kubernetes oder Streaming im Namen des Benutzers für folgende Aktionen verwendet werden:
- einen verschlüsselten Bucket, ein Volume oder ein Dateisystem zu erstellen oder zu aktualisieren, und Daten im Bucket, im Volume oder im Dateisystem zu verschlüsseln oder zu entschlüsseln.
- Kubernetes-Cluster mit verschlüsselten Kubernetes-Secrets im Ruhezustand im Key-Value Store "etcd" zu erstellen.
- Streampool erstellen, um Daten in den Streams im Streampool zu verschlüsseln.
Voraussetzung für diese Policy ist eine Zusatz-Policy, wodurch der Schlüssel zum Ausführen kryptografischer Vorgänge in Object Storage, Block Volume, File Storage, Container Engine for Kubernetes oder Streaming verwendet werden kann.
Wo wird die Policy erstellt: Am einfachsten ist es, diese Policy im Mandanten zu erstellen. Wenn die Administratoren eines einzelnen Compartments ("ABC") die jeweiligen Policy-Anweisungen für ihr Compartment selbst kontrollieren sollen, finden Sie weitere Informationen hierzu unter Policy-Zuordnung.
Allow group ObjectWriters, VolumeWriters, FileWriters, ClusterWriters, StreamWriters to use key-delegate in compartment ABC where target.key.id = '<key_OCID>'
Zugriffstyp: Bietet die Möglichkeit, kryptografische Vorgänge mit allen Schlüsseln in Compartment "ABC" aufzulisten, anzuzeigen und auszuführen. Da Object Storage ein regionaler Service ist, weist er regionale Endpunkte auf. Daher müssen Sie für jede Region, in der Sie Object Storage mit Vault-Verschlüsselung verwenden, den regionalen Servicenamen angeben. Voraussetzung für diese Policy ist eine Zusatz-Policy, die einer Gruppe das Verwenden des delegierten Schlüssels ermöglicht, der von Object Storage, Block Volume, Container Engine for Kubernetes oder Streaming verwendet wird.
Wo wird die Policy erstellt: Am einfachsten ist es, diese Policy im Mandanten zu erstellen. Wenn die Administratoren eines einzelnen Compartments ("ABC") die jeweiligen Policy-Anweisungen für ihr Compartment selbst kontrollieren sollen, finden Sie weitere Informationen hierzu unter Policy-Zuordnung.
Allow service blockstorage, objectstorage-<region_name>, oke, streaming to use keys in compartment ABC where target.key.id = '<key_OCID>'
Ersetzen Sie bei Object Storage <region_name> durch die entsprechende Regions-ID. Beispiel:
-
objectstorage-us-phoenix-1
-
objectstorage-us-ashburn-1
-
objectstorage-eu-frankfurt-1
-
objectstorage-uk-london-1
- objectstorage-ap-tokyo-1
Informationen zum Bestimmen des Wertes für den Regionsnamen einer Oracle Cloud Infrastructure-Region finden Sie unter Regionen und Availability-Domains.
Für Container Engine for Kubernetes lautet der in der Policy verwendete Servicename oke
.
Für Streaming lautet der in der Policy verwendete Servicename streaming
.
Zugriffstyp: Bietet die Möglichkeit, kryptografische Vorgänge mit allen Schlüsseln in Compartment "ABC" aufzulisten, anzuzeigen und auszuführen. Voraussetzung für diese Policy ist eine Zusatz-Policy, die einer Benutzergruppe das Verwenden des delegierten Schlüssels ermöglicht, der von File Storage verwendet wird.
Wo wird die Policy erstellt: Am einfachsten ist es, diese Policy im Mandanten zu erstellen. Wenn die Administratoren eines einzelnen Compartments ("ABC") die jeweiligen Policy-Anweisungen für ihr Compartment selbst kontrollieren sollen, finden Sie weitere Informationen hierzu unter Policy-Zuordnung.
-
Erstellen Sie eine dynamische Gruppe für die Dateisysteme mit einer der folgenden Regeln:
ALL { resource.type='filesystem', resource.compartment.id = '<file_system_compartment_OCID>' }
Hinweis
Wenn die dynamische Gruppe mehrere Regeln enthält, müssen Sie die OptionMatch any rules defined below
verwenden. -
Erstellen Sie eine IAM-Policy, die der dynamischen Gruppe von Dateisystemen Zugriff auf Vault-Schlüssel erteilt:
allow dynamic-group <dynamic_group_name> to use keys in compartment ABC
Zugriffstyp: Bietet die Möglichkeit, alle Aktionen mit Secrets in einem bestimmten Vault in Compartment "ABC" auszuführen.
Wo wird die Policy erstellt: Am einfachsten ist es, diese Policy im Mandanten zu erstellen. Wenn die Administratoren eines einzelnen Compartments ("ABC") die jeweiligen Policy-Anweisungen für ihr Compartment selbst kontrollieren sollen, finden Sie weitere Informationen hierzu unter Policy-Zuordnung.
Allow group SecurityAdmins to manage secret-family in compartment ABC where target.vault.id='<vault_OCID>'
Zugriffstyp: Bietet die Möglichkeit, alle Secrets in einem beliebigen Vault im Mandanten zu lesen, zu aktualisieren und zu rotieren.
Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Vererbung erteilt wird. Um den Geltungsbereich des Zugriffs nur auf die Vaults, Schlüssel und Secrets in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.
Allow group SecretsUsers to use secret-family in tenancy
Es ist keine Policy erforderlich, um das Verwalten eigener Zugangsdaten durch Benutzer zuzulassen. Alle Benutzer können ihre eigenen Kennwörter ändern und zurücksetzen, ihre eigenen API-Schlüssel verwalten und ihre eigenen Authentifizierungstoken verwalten. Weitere Informationen finden Sie unter Benutzerzugangsdaten.
Zugriffstyp: Bietet die Möglichkeit, alle Aspekte eines bestimmten Compartments zu verwalten. Beispiel: Eine Gruppe mit dem Namen "A-Admins" kann alle Aspekte eines Compartments mit dem Namen "Project-A" verwalten. Dazu gehört auch das Schreiben zusätzlicher Policys, die das Compartment betreffen. Weitere Informationen finden Sie unter Policy-Zuordnung. Ein Beispiel für ein solches Setup und weitere nützliche Policys finden Sie unter Beispielszenario.
Wo wird die Policy erstellt: Im Mandanten.
Allow group A-Admins to manage all-resources in compartment Project-A
Zugriffstyp: Bietet die Möglichkeit, Ressourcen in einer bestimmten Region zu verwalten. Beachten Sie, dass IAM-Ressourcen in der Hauptregion verwaltet werden müssen. Wenn die angegebene Region nicht die Hauptregion ist, kann der Administrator keine IAM-Ressourcen verwalten. Weitere Informationen zur Hauptregion finden Sie unter Regionen verwalten.
Wo wird die Policy erstellt: Im Mandanten.
Allow group PHX-Admins to manage all-resources in tenancy where request.region='phx'
Mit der oben dargestellten Policy kann die Gruppe "PHX-Admins" alle Aspekte aller Ressourcen in der Region "US West (Phoenix)" verwalten.
Mitglieder der Gruppe "PHX-Admins" können nur IAM-Ressourcen verwalten, wenn die Hauptregion des Mandanten "US West (Phoenix)" lautet.
Zugriffstyp: Bietet die Möglichkeit, Kurzfassungen von Ankündigungen zum Betriebsstatus von Oracle Cloud Infrastructure-Services anzuzeigen.
Wo wird die Policy erstellt: Im Mandanten.
Allow group AnnouncementListers to inspect announcements in tenancy
Mit der oben dargestellten Policy kann die Gruppe "AnnouncementListers" eine Liste mit Kurzfassungen von Ankündigungen anzeigen.
Zugriffstyp: Bietet die Möglichkeit, die Details von Ankündigungen zum Betriebsstatus von Oracle Cloud Infrastructure-Services anzuzeigen.
Wo wird die Policy erstellt: Im Mandanten.
Allow group AnnouncementReaders to read announcements in tenancy
Mit der oben dargestellten Policy kann die Gruppe "AnnouncementReaders" eine Liste mit Kurzfassungen von Ankündigungen sowie die Details bestimmter Ankündigungen anzeigen.
Zugriffstyp: Bietet die Möglichkeit, alle Aktionen in Bezug auf den Service Streaming in allen Compartments auszuführen.
Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Vererbung erteilt wird. Um den Geltungsbereich des Zugriffs nur auf die Streams in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.
Allow group StreamAdmins to manage stream-family in tenancy
Zugriffstyp: Bietet die Möglichkeit, Nachrichten in Streams mit dem Streaming-Service in allen Compartments zu erstellen.
Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Vererbung erteilt wird. Um den Geltungsbereich des Zugriffs nur auf die Streams in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.
Allow group StreamUsers to use stream-push in tenancy
Zugriffstyp: Bietet die Möglichkeit, Nachrichten in einem Stream mit dem Streaming-Service zu erstellen.
Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Vererbung erteilt wird. Um den Geltungsbereich des Zugriffs nur auf die Streams in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.
Allow group StreamUsers to use stream-push in tenancy where target.stream.id = '<stream_OCID>'
Zugriffstyp: Bietet die Möglichkeit, Nachrichten in einem Stream mit dem Streaming-Service zu erstellen.
Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Vererbung erteilt wird. Um den Geltungsbereich des Zugriffs nur auf die Streams in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.
Allow group StreamUsers to use stream-push in tenancy where target.streampool.id = '<streampool_OCID>'
Zugriffstyp: Bietet die Möglichkeit, Nachrichten aus Streams mit dem Streaming-Service in allen Compartments zu konsumieren.
Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Vererbung erteilt wird. Um den Geltungsbereich des Zugriffs nur auf die Streams in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.
Allow group StreamUsers to use stream-pull in tenancy
Zugriffstyp: Fähigkeit, Metrikdefinitionen in einem bestimmten Compartment aufzulisten. Weitere Informationen finden Sie unter Metrikdefinitionen auflisten.
Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Vererbung erteilt wird. Um den Geltungsbereich des Zugriffs nur auf die Metrikdefinitionen in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.
Allow group <group_name> to inspect metrics in compartment <compartment_name>
Zugriffstyp: Bietet die Möglichkeit, Metriken nach unterstützten Ressourcen in einem bestimmten Compartment abzufragen. Weitere Informationen finden Sie unter Abfrage erstellen.
Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Vererbung erteilt wird. Um den Geltungsbereich des Zugriffs nur auf die Metriken in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.
Allow group <group_name> to read metrics in compartment <compartment_name>
Zugriffstyp: Bietet die Möglichkeit, Metriken für Ressourcen unter einem bestimmten metrischen Namespace abzufragen. Weitere Informationen finden Sie unter Abfrage erstellen.
Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Vererbung erteilt wird. Um den Geltungsbereich des Zugriffs auf den angegebenen Metrik-Namespace nur innerhalb eines bestimmten Compartments einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.
Allow group <group_name> to read metrics in compartment <compartment_name>
where target.metrics.namespace='<metric_namespace>'
Zugriffstyp: Bietet die Möglichkeit, benutzerdefinierte Metriken unter einem bestimmten Metrik-Namespace im Monitoring-Service zu veröffentlichen, Metrikdaten anzuzeigen, Alarme und Themen zu erstellen und Streams mit Alarmen zu verwenden. Weitere Informationen zum Veröffentlichen benutzerdefinierter Metriken finden Sie unter Benutzerdefinierte Metriken veröffentlichen.
Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Vererbung erteilt wird. Um den Geltungsbereich des Zugriffs nur auf Metriken in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.
Um die Gruppe auf die Berechtigungen zu beschränken, die zum Auswählen von Streams erforderlich sind, ersetzen Sie
use streams
durch {STREAM_READ, STREAM_PRODUCE}
.Allow group <group_name> to use metrics in tenancy
where target.metrics.namespace=<metric_namespace>'
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to manage ons-topics in tenancy
Allow group <group_name> to use streams in tenancy
Zugriffstyp: Bietet die Möglichkeit, die Monitoring-API für den Zugriff auf Monitoring-Metriken aufzurufen. Die Instanzen, aus denen API-Anforderungen stammen, müssen Mitglieder der in der Policy angegebenen dynamischen Gruppe sein. Weitere Informationen über Compute-Instanzen, die APIs aufrufen, finden Sie unter Services aus einer Instanz aufrufen.
Wo wird die Policy erstellt: Im Mandanten.
Allow dynamic-group MetricInstances to read metrics in tenancy
Zugriffstyp: Bietet die Möglichkeit, Alarmdetails abzurufen und Alarmhistorie abzurufen. Beinhaltet nicht das Erstellen von Alarmen oder das Erstellen bzw. Löschen von Themen.
Wo wird die Policy erstellt: Im Mandanten. Dank dem Konzept der Policy-Vererbung kann die Gruppe dann Alarme in jedem Compartment anzeigen. Um den Geltungsbereich des Zugriffs auf ein bestimmtes Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.
Allow group <group_name> to read alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Zugriffstyp: Bietet die Möglichkeit, Alarme zu verwalten, Streams und vorhandene Themen für Benachrichtigungen zu verwenden. Beinhaltet nicht das Erstellen oder Löschen von Themen.
Wo wird die Policy erstellt: Im Mandanten. Dank dem Konzept der Policy-Vererbung kann die Gruppe dann Alarme in jedem Compartment anzeigen und erstellen. Um den Geltungsbereich des Zugriffs auf ein bestimmtes Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to use ons-topics in tenancy
Allow group <group_name> to use streams in tenancy
Zugriffstyp: Bietet die Möglichkeit, Alarme zu verwalten, einschließlich Themen (und Abonnements) für Benachrichtigungen zu erstellen (und Streams für Benachrichtigungen zu verwenden).
Wo wird die Policy erstellt: Im Mandanten. Dank dem Konzept der Policy-Vererbung kann die Gruppe dann Alarme in jedem Compartment anzeigen und erstellen. Um den Geltungsbereich des Zugriffs auf ein bestimmtes Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to manage ons-topics in tenancy
Allow group <group_name> to use streams in tenancy
Zugriffstyp: Bietet die Möglichkeit, Nutzungsberichte für Ihren Mandanten anzuzeigen. Weitere Informationen zu Nutzungsberichten finden Sie unter Kosten- und Nutzungsberichte - Überblick.
Wo wird die Policy erstellt: Hierbei handelt es sich um eine spezielle mandantenübergreifende Policy, die im Mandanten erstellt werden muss. Weitere Informationen finden Sie unter Auf Kosten- und Nutzungsberichte zugreifen.
define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
endorse group Administrators to read objects in tenancy usage-report
Zugriffstyp: Möglichkeit, Kosten für den Mandanten anzuzeigen. Siehe Ausgaben und Nutzung prüfen.
Erstellungsort der Policy: Im Mandanten, damit die Benutzer der <Example_Group> die Kosten für den gesamten Account anzeigen können.
Allow group <Example_Group> to read usage-reports in tenancy
Zugriffstyp: Bietet die Möglichkeit, Themen im Mandanten abzurufen, zu erstellen, zu aktualisieren und zu löschen und Themen in andere Compartments im Mandanten zu verschieben. Außerdem können Sie Abonnements im Mandanten erstellen und Nachrichten (Broadcast-Benachrichtigungen) für alle Abonnements im Mandanten veröffentlichen.
Wo wird die Policy erstellt: Im Mandanten.
Allow group TopicManagers to manage ons-topics in tenancy
Zugriffstyp: Bietet die Möglichkeit, Abonnements für Themen im Mandanten aufzulisten, zu erstellen, zu aktualisieren und zu löschen. Möglichkeit, Abonnements in andere Compartments im Mandanten zu verschieben.
Wo wird die Policy erstellt: Im Mandanten.
Allow group SubscriptionUsers to manage ons-subscriptions in tenancy
Zugriffstyp: Bietet die Möglichkeit, Benachrichtigungen an alle Abonnements im Mandanten zu übertragen sowie Abonnements im Mandanten aufzulisten, zu erstellen, zu aktualisieren und zu löschen.
Wo wird die Policy erstellt: Im Mandanten.
Allow group TopicUsers to use ons-topics in tenancy
Zugriffstyp: Fähigkeit, OCI Functions-Anwendungen und -Funktionen mit Cloud Shell zu erstellen, bereitzustellen und zu verwalten. Diese Policy-Anweisungen erteilen der Gruppe Zugriff auf Cloud Shell, Repositorys in Oracle Cloud Infrastructure Registry, Logs, Metriken, Funktionen, Netzwerke und Tracing.
Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Vererbung erteilt wird. Um den Geltungsbereich des Zugriffs nur auf die Ressourcen in einem bestimmten Compartment einzuschränken, können Sie bei den meisten Policy-Anweisungen das Compartment anstelle des Mandanten angeben. to use cloud-shell
, to manage repos
und to read objectstorage-namespaces
müssen jedoch immer für den Mandanten gelten.
Allow group functions-developers to use cloud-shell in tenancy
Allow group functions-developers to manage repos in tenancy
Allow group functions-developers to read objectstorage-namespaces in tenancy
Allow group functions-developers to manage logging-family in tenancy
Allow group functions-developers to read metrics in tenancy
Allow group functions-developers to manage functions-family in tenancy
Allow group functions-developers to use virtual-network-family in tenancy
Allow group functions-developers to use apm-domains in tenancy
Allow group functions-developers to read vaults in tenancy
Allow group functions-developers to use keys in tenancy
Allow service faas to use apm-domains in tenancy
Allow service faas to read repos in tenancy where request.operation='ListContainerImageSignatures'
Allow service faas to {KEY_READ} in tenancy where request.operation='GetKeyVersion'
Allow service faas to {KEY_VERIFY} in tenancy where request.operation='Verify'
Zugriffstyp: Bietet die Möglichkeit, Ereignisregeln aufzulisten.
Wo wird die Policy erstellt: Im Mandanten.
Allow group RuleReaders to read cloudevents-rules in tenancy
Mit der oben dargestellten Policy kann die Gruppe "RuleReaders" Regeln im Mandanten auflisten.
Zugriffstyp: Bietet die Möglichkeit, Ereignisregeln zu verwalten, einschließlich Erstellen, Löschen und Aktualisieren von Regeln.
Wo wird die Policy erstellt: Im Mandanten.
Mit dieser Anweisung erhält der Benutzer inspect-Zugriff auf Ressourcen in Compartments zur Auswahl von Aktionen.
allow group <RuleAdmins> to inspect compartments in tenancy
Mit dieser Anweisung erhält der Benutzer Zugriff auf definierte Tags, um Filtertags auf Regeln anzuwenden.
allow group <RuleAdmins> to use tag-namespaces in tenancy
Mit diesen Anweisungen erhält der Benutzer Zugriff auf Streaming-Ressourcen für Aktionen.
allow group <RuleAdmins> to inspect streams in tenancy
allow group <RuleAdmins> to use stream-push in tenancy
allow group <RuleAdmins> to use stream-pull in tenancy
Diese Zeilen ermöglichen dem Benutzer Zugriff auf Functions-Ressourcen für Aktionen.
allow group <RuleAdmins> to use virtual-network-family in tenancy
allow group <RuleAdmins> to manage function-family in tenancy
Diese Zeile ermöglicht dem Benutzer Zugriff auf Notifications-Themen für Aktionen.
allow group <RuleAdmins> to use ons-topic in tenancy
Diese Zeile ermöglicht dem Benutzer Zugriff auf Regeln für Ereignisse.
allow group <RuleAdmins> to manage cloudevents-rules in tenancy
Zugriffstyp: Schreibgeschützter Zugriff auf Cloud Guard. In der Beispiel-Policy lautet die Gruppe "CloudGuard_ReadOnly".
allow group CloudGuard_ReadOnly to read cloud-guard-family in tenancy
allow group CloudGuard_ReadOnly to read compartments in tenancy
allow group CloudGuard_ReadOnly to read announcements in tenancy
Zugriffstyp: Schreibgeschützter Zugriff auf Cloud Guard-Probleme. In der Beispiel-Policy lautet die Gruppe "CloudGuard_ReadOnlyProblems".
allow group CloudGuard_ReadOnlyProblems to read cloud-guard-family in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-detectors in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-targets in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-resource-types in tenancy
allow group CloudGuard_ReadOnlyProblems to read announcements in tenancy
allow group CloudGuard_ReadOnlyProblems to read compartments in tenancy
allow group CloudGuard_ReadOnlyProblems to read cloud-guard-config in tenancy
Zugriffstyp: Schreibgeschützter Zugriff auf Cloud Guard-Detektorrezepte. In der Beispiel-Policy lautet die Gruppe "CloudGuard_ReadOnlyDetectors".
allow group CloudGuard_ReadOnlyDetectors to read cloud-guard-detector-recipes in tenancy
allow group CloudGuard_ReadOnlyDetectors to read announcements in tenancy
allow group CloudGuard_ReadOnlyDetectors to read compartments in tenancy
allow group CloudGuard_ReadOnlyDetectors to read cloud-guard-config in tenancy
Zugriffstyp: Schreibgeschützter Zugriff auf Cloud Guard in einem einzelnen Compartment. In der Beispiel-Policy lautet die Gruppe "CloudGuard_ReadOnly_SingleCompartment", und der Compartment-Name lautet "cgDemo_RestrictedAccess".
allow group CloudGuard_ReadOnly_SingleCompartment to read compartments in tenancy where target.compartment.name = 'cgDemo_RestrictedAccess'
allow group CloudGuard_ReadOnly_SingleCompartment to read cloud-guard-family in compartment cgDemo_RestrictedAccess
allow group CloudGuard_ReadOnly_SingleCompartment to read announcements in compartment cgDemo_RestrictedAccess
allow group CloudGuard_ReadOnly_SingleCompartment to read cloud-guard-config in tenancy
Zugriffstyp: Bietet die Möglichkeit, eine Gruppe als Superuser für alle Full Stack Disaster Recovery-Vorgänge zuzulassen.
Allow group DRUberAdmins to manage disaster-recovery-family in tenancy
Zugriffstyp: Ermöglicht einer Gruppe das Erstellen von Disaster-Recovery-(DR-)Schutzgruppen, DR-Plänen und das Ausführen von Vorabprüfungen, aber nicht das Erstellen von DR-Planausführungen.
Wo wird die Policy erstellt: Im Compartment.
Allow group DRMonitors to manage disaster-recovery-protection-groups in compartment ApplicationERP
Allow group DRMonitors to manage disaster-recovery-plans in compartment ApplicationERP
Allow group DRMonitors to manage disaster-recovery-prechecks in compartment ApplicationERP
Zugriffstyp: Bietet die Möglichkeit, einer Gruppe das Erstellen von Disaster-Recovery-(DR-)Schutzgruppen und DR-Plänen zu erlauben, jedoch keine DR-Planausführungen oder Vorabprüfungen zu erstellen.
Allow group DRConfig to manage disaster-recovery-protection-groups in compartment ApplicationERP
Allow group DRConfig to manage disaster-recovery-plans in compartment ApplicationERP
Zugriffstyp: Andere Services zur Integration mit KMS zur Verwendung von KMS-Schlüsseln.
Wo wird die Policy erstellt: Am einfachsten ist es, diese Policy im Mandanten zu erstellen. Wenn die Administratoren eines einzelnen Compartments (ABC) die Kontrolle über die einzelnen Policy-Anweisungen für ihr Compartment haben sollen.
Beispiel: Allow service objectstorage-<region> to use keys in compartment ABC where target.key.id = '<key_OCID>'
allow service objectstorage-<region> to use keys in compartment Compartments where target.key.id = ocid1.key.oc1..exampleuniqueID
Zugriffstyp: Bietet die Möglichkeit, alle Ressourcen im Bastion-Service in allen Compartments zu verwalten. Das ist sinnvoll, wenn eine einzelne Gruppe von Sicherheitsadministratoren alle Bastionen und Sessions in allen Compartments verwalten soll.
Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Vererbung erteilt wird. Um den Geltungsbereich des Zugriffs nur auf die Bastionen und Bastionsessions in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.
Allow group SecurityAdmins to manage bastion in tenancy
Allow group SecurityAdmins to manage bastion-session in tenancy
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy
Zugriffstyp: Bietet die Möglichkeit, alle Sessions auf allen Bastionen und in allen Compartments zu verwalten, einschließlich Erstellen, Aufbauen und Beenden von Sessions.
Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Vererbung erteilt wird. Um den Geltungsbereich des Zugriffs nur auf die Bastionsessions in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.
Allow group SecurityAdmins to use bastion in tenancy
Allow group SecurityAdmins to manage bastion-session in tenancy
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy
Zugriffstyp: Bietet die Möglichkeit, Sessions auf einer Bastion in einem bestimmten Compartment zu verwalten (nur für Sessions, die eine Verbindung zu einer bestimmten Compute-Instanz herstellen).
Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Vererbung erteilt wird.
Allow group SecurityAdmins to use bastion in compartment ABC
Allow group SecurityAdmins to manage bastion-session in compartment ABC where ALL {target.resource.ocid='<instance_OCID>', target.bastion-session.username='<session_username>'}
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy
Zugriffstyp: Bietet die Möglichkeit, Oracle Cloud Infrastructure Vulnerability Scanning Service für das Scannen aller Compute-Instanzen in allen Compartments zu konfigurieren und die Scanergebnisse anzuzeigen. Verwenden Sie diese Policy eventuell, wenn eine einzelne Gruppe von Sicherheitsadministratoren Sicherheitslückenscans für alle Instanzen konfigurieren soll.
Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Vererbung erteilt wird. Um den Geltungsbereich des Zugriffs nur auf die Compute-Instanzen in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.
Allow group SecurityAdmins to manage vss-family in tenancy
Allow service vulnerability-scanning-service to manage instances in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy
Allow service vulnerability-scanning-service to read vnics in tenancy
Allow service vulnerability-scanning-service to read vnic-attachments in tenancy
Zugriffstyp: Bietet die Möglichkeit, die Ergebnisse des Scans von Compute-Instanzen in allen Compartments auf Sicherheitslücken anzuzeigen. Verwenden Sie diese Policy eventuell, wenn ein dediziertes Team für das Prüfen oder Auditing der Sicherheit Ihres gesamten Mandanten verantwortlich ist.
Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Vererbung erteilt wird. Um den Geltungsbereich des Zugriffs nur auf die Scanergebnisse in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.
Allow group SecurityReviewers to read vss-family in tenancy
Zugriffstyp: Möglichkeit, Connectors im Mandanten aufzulisten, zu erstellen, zu aktualisieren und zu löschen. Möglichkeit, Connectors in andere Compartments im Mandanten zu verschieben.
Wo wird die Policy erstellt: Im Mandanten.
Allow group A-Admins to manage serviceconnectors in tenancy
Siehe auch IAM-Policys (Connector Hub sichern).
Zugriffstyp: Bietet die Möglichkeit, Ops Insights-Aufnahmevorgänge nur auf Mandantenebene aufzurufen.
Wo wird die Policy erstellt: Im Mandanten.
allow group opsi-users to use opsi-database-insights in tenancy
where any
{request.operation='IngestSqlBucket',
request.operation='IngestSqlText',
request.operation='IngestSqlPlanLines'}
Bietet die Möglichkeit, Workspaces in einem Compartment zu erstellen, zu löschen und zu ändern.
allow group <group-name> to manage dis-workspaces in <compartment-name>
allow group <group-name> to manage dis-work-requests in <compartment-name>
allow group <group-name> to manage tag-namespaces in <compartment-name>
Bietet die Möglichkeit, Workspaces in einem virtuellen Netzwerk zu erstellen, zu löschen und zu ändern.
allow service dataintegration to use virtual-network-family in <compartment-name>
allow group <group-name> to manage dis-workspaces in <compartment-name>
allow group <group-name> to manage dis-work-requests in <compartment-name>
allow group <group-name> to use virtual-network-family in <compartment-name>
allow group <group-name> to manage tag-namespaces in <compartment-name>
Bietet die Möglichkeit, Object Storage-Datenassets in allen Workspaces zu erstellen und zu verwenden.
allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to use object-family in <compartment-name>
Um Zugriff auf einen einzelnen Workspace zu erteilen, geben Sie die OCID für den Workspace an, auf den Sie Zugriff erteilen möchten. Beispiel:
allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
Bietet die Möglichkeit zum Erstellen und Verwenden von Datenassets autonomer Datenbanken in allen Workspaces.
allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to use object-family in <compartment-name>
allow any-group to manage buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.permission='PAR_MANAGE'}
Um Zugriff auf einen einzelnen Workspace zu erteilen, geben Sie die OCID für den Workspace an, auf den Sie Zugriff erteilen möchten. Beispiel:
allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-group to manage buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>', request.permission='PAR_MANAGE'}
Bietet die Möglichkeit, die Komponenten von Data Integration in einem angegebenen Workspace zu durchsuchen.
Diese Policy muss auf Mandantenebene (Root Compartment) angewendet werden.
allow service dataintegration to {TENANCY_INSPECT} in tenancy
allow service dataintegration to {DIS_METADATA_INSPECT} in tenancy
Bietet die Möglichkeit, Workspaces in ein neues Compartment zu verschieben.
allow service dataintegration to inspect compartments in <compartment-name>
allow group <group-name> to manage dis-workspaces in <compartment-name>
Bietet die Möglichkeit, die verschiedenen Aufgaben in allen Workspaces im OCI Data Flow-Service zu veröffentlichen.
allow any-group to manage dataflow-application in <compartment-name> where ALL {request.principal.type='disworkspace'}
Um Zugriff auf einen einzelnen Workspace zu erteilen, geben Sie die OCID für den Workspace an, auf den Sie Zugriff erteilen möchten. Beispiel:
allow any-group to manage dataflow-application in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
Bietet die Möglichkeit, OCI Vault-Secrets in allen Workspaces zu verwenden.
allow any-group to read secret-bundles in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to read secret-bundles in <compartment-name>
Um Zugriff auf einen einzelnen Workspace zu erteilen, geben Sie die OCID für den Workspace an, auf den Sie Zugriff erteilen möchten. Beispiel:
allow any-group to read secret-bundles in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
Zugriffstyp: Bietet die Möglichkeit, Abonnements zu verwalten, die Ankündigungen zum Betriebsstatus von Oracle Cloud Infrastructure-Services bereitstellen.
Wo wird die Policy erstellt: Am einfachsten ist es, diese Policy im Mandanten zu erstellen. Aufgrund des Konzepts der Policy-Vererbung kann die Gruppe, der Sie Zugriff erteilen, dann Ankündigungsabonnements in jedem Compartment verwalten. Um den Geltungsbereich des Zugriffs auf Ankündigungen für ein bestimmtes Compartment einzuschränken, geben Sie das Compartment anstelle des Mandanten an.
Allow group AnnouncementAdmins to manage announcement-subscriptions in tenancy
Mit der oben dargestellten Policy kann die Gruppe "AnnouncementAdmins" eine Liste mit Kurzfassungen von Ankündigungen sowie die Details bestimmter Ankündigungen anzeigen.