Erste Schritte mit Policys
Wenn Sie mit den Oracle Cloud Infrastructure Identity and Access Management-(IAM-)Policys noch nicht vertraut sind, erhalten Sie in diesem Thema weitere Informationen.
Während einer Proof-of-Concept-Phase
Wenn Sie Oracle Cloud Infrastructure nur testen oder ein Proof-of-Concept-Projekt mit Infrastrukturressourcen ausführen möchten, benötigen Sie unter Umständen nur wenige Administratoren mit vollständigem Zugriff. In diesem Fall können Sie einfach neue Benutzer erstellen, die Sie benötigen, und diese zur Administratorengruppe hinzufügen. Die Benutzer können alle Aktionen mit jeder beliebigen Art von Ressource ausführen. Außerdem können Sie alle Ressourcen direkt im Mandanten (dem Root-Compartment) erstellen. Sie müssen noch keine Compartments oder andere Policys über die Mandanten-Admin-Policy hinaus erstellen, die automatisch im Mandanten erstellt wird und nicht geändert werden kann.
Vergessen Sie nicht, die neuen Benutzer der Administratorengruppe hinzuzufügen. Nach der Erstellung wird das häufig vergessen.
Nach der Proof-of-Concept-Phase
Nachdem Sie die Proof-of-Concept-Phase abgeschlossen haben und den Zugriff auf Ihre Ressourcen einschränken möchten, führen Sie zunächst die folgenden Schritte aus:
- Machen Sie sich mit den grundlegenden IAM-Komponenten vertraut, und lesen Sie sich das Beispielszenario durch: Überblick über Identity and Access Management
- Überlegen Sie, wie Sie Ihre Ressourcen in Compartments organisieren: Best Practices zum Einrichten Ihres Mandanten
- Lernen Sie die Funktionsweise von Policys kennen: Funktionsweise von Policys
- Probieren Sie allgemeine Policys aus: Allgemeine Policys
- Lesen Sie die die häufig gestellten Fragen unten
Policys - Häufig gestellte Fragen
Für alle, einschließlich IAM selbst. Sie finden spezifische Details zum Schreiben von Policys für jeden Service in der Policy-Referenz.
Ja. Alle Benutzer können folgende Aufgaben automatisch ohne eine explizite Policy ausführen:
- Eigenes Konsolenkennwort ändern oder zurücksetzen.
- Eigene API-Signaturschlüssel und andere Zugangsdaten verwalten.
Sie können alle Ressourcen in einem einzigen Compartment ablegen und den Zugriff mithilfe von Policys kontrollieren. Allerdings können Sie dann nicht von den Vorteilen der Nutzungsmessung und Abrechnung nach Compartment, der einfachen Policy-Administration auf Compartment-Ebene und der klaren Trennung von Ressourcen zwischen Projekten oder Geschäftseinheiten profitieren.
Ja. Allerdings sind zunächst einige Punkte zu beachten:
- Unternehmen verfügen im Allgemeinen über mehrere Benutzer, die ähnliche Berechtigungen benötigen. Daher sind Policys so konzipiert, dass sie Zugriff für Gruppen von Benutzern erteilen, nicht für einzelne Benutzer. Ein Benutzer erhält Zugriff, indem er einer Gruppe angehört.
- Policys sollen Zugriff zulassen. Beim Schreiben einer Policy gibt es keine explizite "Ablehnung".
Wenn Sie einem bestimmten Benutzer Zugriff erteilen müssen, können Sie der Policy eine Bedingung hinzufügen, die die OCID des Benutzers in einer Variablen angibt. Diese Konstruktion schränkt den in der Policy erteilten Zugriff nur auf den in der Bedingung angegebenen Benutzer ein. Beispiel:
allow any-group to read object-family in compartment ObjectStorage where request.user.id ='ocid1.user.oc1..<user_OCID>'
Informationen zur Verwendung von Bedingungen und Variablen in Policys finden Sie unter Bedingungen.
Wenn Sie den Zugriff eines bestimmten Benutzers einschränken müssen, können Sie:
- den Benutzer aus der betreffenden Gruppe entfernen
- den Benutzer vollständig aus IAM löschen (Sie müssen den Benutzer zuerst aus allen Gruppen entfernen)
Stellen Sie zunächst sicher, dass der Benutzer in keiner Gruppe enthalten ist. Erst dann können Sie den Benutzer löschen.
Sie müssen die einzelnen Anweisungen in allen Policys prüfen, um festzustellen, welche Anweisungen für welche Gruppe gelten. Diese Informationen können derzeit nicht einfach abgerufen werden.
Sie müssen die einzelnen Anweisungen in allen Policys im Mandanten prüfen, um festzustellen, ob sie für das jeweilige Compartment gelten. Sie müssen außerdem Policys im Compartment selbst anzeigen. Policys in einem der gleichgeordneten Compartments können nicht auf das betreffende Compartment verweisen. Sie müssen diese Policys daher nicht prüfen.