Bekannte Probleme für IAM ohne Identitätsdomains

Bekannte Probleme wurden bei IAM ohne Identitätsdomains identifiziert.

Berechtigungen, die über Policys erteilt werden, die Gruppen oder dynamische Gruppen nach Namen angeben, persistieren auch nach Namensänderungen

Details: Policy-Anweisungen, die eine Gruppe oder eine dynamische Gruppe nach Name referenzieren, bleiben auch bei Änderungen des Gruppen- oder dynamischen Gruppennamens gültig. Jeder Zugriff, der der Gruppe oder dynamischen Gruppe unter ihrem vorherigen Namen erteilt wurde, bleibt bestehen. Die Policy erteilt den Mitgliedern der Gruppe oder der dynamischen Gruppe weiterhin Zugriff auf Ressourcen, ohne dass die Policy-Anweisung selbst geändert wird. Dies geschieht, weil IAM die Policy auf die Subject-OCID und nicht auf den Namen anwendet.
Zwischenlösung: Oracle empfiehlt dringend, Policy-Anweisungen so zu aktualisieren, dass sie sich immer auf die beabsichtigten Gruppen- oder dynamischen Gruppennamen beziehen oder stattdessen Subject-OCIDs referenzieren. Löschen Sie auch alle Policy-Anweisungen mit veralteten Referenzen, die Sie nicht mehr benötigen.

Details: Wenn einem vorhandenen Ressourcen-Typ eine neue Berechtigung hinzugefügt wird, wird die Berechtigung nicht an Policys propagiert, die den Ressourcen-Typ enthalten. Dies geschieht, weil IAM eine Policy erst neu kompiliert, wenn die Policy-Anweisung geändert wurde.
Zwischenlösung: Wenn dem Ressourcentyp bei vorhandenen Policys, die Ressourcentypen verwenden, neue Berechtigungen hinzugefügt werden, bearbeiten Sie die Policy, indem Sie ein Leerzeichen hinzufügen. Speichern Sie dann die Policy.

Details: Gelöschte Compartments werden weiterhin auf das Compartment-Servicelimit für Ihren Mandanten gezählt. Ein gelöschtes Compartment wird nach 90 Tagen aus der Anzahl entfernt. Diese Einstellung gibt auch den Zeitraum an, in dem gelöschte Compartments weiterhin in der Konsole angezeigt werden.
Zwischenlösung: Bis dieses Problem gelöst ist, können Sie die Erhöhung des Servicelimits für Compartments beantragen. Siehe Erhöhung des Servicelimits beantragen.