Oracle Cloud Infrastructure - Dokumentation

Erste Schritte mit Policys

Wenn Sie mit den Oracle Cloud Infrastructure Identity and Access Management-(IAM-)Policys noch nicht vertraut sind, erhalten Sie in diesem Thema weitere Informationen.

Während einer Proof-of-Concept-Phase

Wenn Sie Oracle Cloud Infrastructure nur testen oder ein Proof-of-Concept-Projekt mit Infrastrukturressourcen ausführen möchten, benötigen Sie unter Umständen nur wenige Administratoren mit vollständigem Zugriff. In diesem Fall können Sie einfach neue Benutzer erstellen, die Sie benötigen, und diese zur Administratorengruppe hinzufügen. Die Benutzer können alle Aktionen mit jeder beliebigen Art von Ressource ausführen. Außerdem können Sie alle Ressourcen direkt im Mandanten (dem Root-Compartment) erstellen. Sie müssen noch keine Compartments oder andere Policys über die Mandanten-Admin-Policy hinaus erstellen, die automatisch im Mandanten erstellt wird und nicht geändert werden kann.

Hinweis

Vergessen Sie nicht, die neuen Benutzer der Administratorengruppe hinzuzufügen. Nach der Erstellung wird das häufig vergessen.

Nach der Proof-of-Concept-Phase

Nachdem Sie die Proof-of-Concept-Phase abgeschlossen haben und den Zugriff auf Ihre Ressourcen einschränken möchten, führen Sie zunächst die folgenden Schritte aus:

Policys - Häufig gestellte Fragen

Für welche Services in Oracle Cloud Infrastructure kann ich den Zugriff über Policys kontrollieren?

Für alle, einschließlich IAM selbst. Sie finden spezifische Details zum Schreiben von Policys für jeden Service in der Policy-Referenz.

Können Benutzer Aktionen ausführen, ohne dass ein Administrator eine Policy für sie schreibt?

Ja. Alle Benutzer können folgende Aufgaben automatisch ohne eine explizite Policy ausführen:

  • Eigenes Konsolenkennwort ändern oder zurücksetzen.
  • Eigene API-Signaturschlüssel und andere Zugangsdaten verwalten.
Warum soll ich Ressourcen nach Compartments trennen? Kann ich nicht einfach alle Ressourcen in einem Compartment ablegen und dann mithilfe von Policys kontrollieren, welcher Benutzer auf welche Ressourcen zugreifen kann?

Sie können alle Ressourcen in einem einzigen Compartment ablegen und den Zugriff mithilfe von Policys kontrollieren. Allerdings können Sie dann nicht von den Vorteilen der Nutzungsmessung und Abrechnung nach Compartment, der einfachen Policy-Administration auf Compartment-Ebene und der klaren Trennung von Ressourcen zwischen Projekten oder Geschäftseinheiten profitieren.

Kann ich den Zugriff auf einen einzelnen Benutzer kontrollieren oder verweigern?

Ja. Allerdings sollten Sie zunächst folgende Punkte beachten:

  • Unternehmen verfügen im Allgemeinen über mehrere Benutzer, die ähnliche Berechtigungen benötigen. Daher sind Policys so konzipiert, dass sie Zugriff für Gruppen von Benutzern erteilen, nicht für einzelne Benutzer. Ein Benutzer erhält Zugriff, indem er einer Gruppe angehört.
  • Policys sollen Zugriff zulassen. Beim Schreiben einer Policy gibt es keine explizite "Ablehnung".

Wenn Sie einem bestimmten Benutzer Zugriff erteilen müssen, können Sie der Policy eine Bedingung hinzufügen, die die OCID des Benutzers in einer Variablen angibt. Diese Konstruktion schränkt den in der Policy erteilten Zugriff nur auf den in der Bedingung angegebenen Benutzer ein. Beispiel:

allow any-group to read object-family in compartment ObjectStorage where request.user.id ='ocid1.user.oc1..<user_OCID>'

Informationen zur Verwendung von Bedingungen und Variablen in Policys finden Sie unter Bedingungen.

Wenn Sie den Zugriff eines bestimmten Benutzers einschränken müssen, können Sie:

  • den Benutzer aus der betreffenden Gruppe entfernen
  • den Benutzer vollständig aus IAM löschen (Sie müssen den Benutzer zuerst aus allen Gruppen entfernen)
Wie lösche ich einen Benutzer?

Stellen Sie zunächst sicher, dass der Benutzer in keiner Gruppe enthalten ist. Erst dann können Sie den Benutzer löschen.

Wie erkenne ich, welche Policys für eine bestimmte Gruppe oder einen bestimmten Benutzer gelten?

Sie müssen die einzelnen Anweisungen in allen Policys prüfen, um festzustellen, welche Anweisungen für welche Gruppe gelten. Diese Informationen können derzeit nicht einfach abgerufen werden.

Wie erkenne ich, welche Policys für ein bestimmtes Compartment gelten?

Sie müssen die einzelnen Anweisungen in allen Policys im Mandanten prüfen, um festzustellen, ob sie für das jeweilige Compartment gelten. Sie müssen außerdem Policys im Compartment selbst anzeigen. Policys in einem der gleichgeordneten Compartments können nicht auf das betreffende Compartment verweisen. Sie müssen diese Policys daher nicht prüfen.