Details zu IAM ohne Identitätsdomains
In diesem Thema werden Details zum Schreiben von Policys beschrieben, die den Zugriff auf IAM kontrollieren.
Ressourcentypen
authentication
authentication-policies
compartments
credentials
domain
dynamic-groups
groups
group-memberships
iamworkrequest
identity-providers
network-sources
oauth2-clients
policies
regions
service-principal
tag-defaults
tag-namespaces
tagRules
tasdomain
tagNamespaces
tenancies
users
x
workrequest
Unterstützte Variablen
IAM unterstützt alle allgemeinen Variablen (siehe Allgemeine Variablen für alle Anforderungen) sowie die hier aufgelisteten zusätzlichen Variablen:
Vorgänge für diesen Ressourcentyp... | Diese Variablen können verwendet werden... | Variablentyp | Kommentare |
---|---|---|---|
users
|
target.user.id
|
Entity (OCID) | Nicht für die Verwendung mit CreateUser verfügbar. |
target.user.name
|
Zeichenfolge | ||
groups
|
target.group.id
|
Entity (OCID) | Nicht für die Verwendung mit CreateGroup verfügbar. |
target.group.name
|
Zeichenfolge | ||
target.group.member
|
Boolescher Wert | "True", wenn "request.user" ein Mitglied von "target.group" ist. | |
policies
|
target.policy.id
|
Entity (OCID) | Nicht für die Verwendung mit CreatePolicy verfügbar. |
target.policy.name
|
Zeichenfolge | ||
compartments
|
target.compartment.id
|
Entity (OCID) |
Für CreateCompartment ist dies der Wert des übergeordneten Compartments (z.B. das Root-Compartment). Dies ist eine universelle Variable, die für jede Anforderung in allen Services verfügbar ist (siehe Allgemeine Variablen für alle Anforderungen). |
target.compartment.name
|
Zeichenfolge | ||
tag-namespace
|
target.tag-namespace.id
|
Entity (OCID) |
Diese Variable wird nur in Anweisungen unterstützt, die Berechtigungen für den Ressourcentyp |
target.tag-namespace.name
|
Zeichenfolge |
Details für Kombinationen aus Verb + Ressourcentyp
In den folgenden Tabellen werden die Berechtigungen und API-Vorgänge angezeigt, die von jedem Verb abgedeckt werden. Die Zugriffsebene ist kumulativ: inspect
> read
> use
> manage
. Beispiel: Eine Gruppe, die eine Ressource verwenden kann, kann diese Ressource auch prüfen und lesen. Ein Pluszeichen (+) in einer Tabellenzelle gibt einen inkrementellen Zugriff im Vergleich zur direkt darüber liegenden Zelle an, während "keine zusätzlichen" keinen inkrementellen Zugriff angibt.
Beispiel: Das Verb read
für Compartments umfasst keine zusätzlichen Berechtigungen oder API-Vorgänge im Vergleich zu dem Verb inspect
. Das Verb use
umfasst dieselben Berechtigungen wie das Verb read
sowie die Berechtigung "COMPARTMENT_UPDATE" und den API-Vorgang UpdateCompartment
. Das Verb manage
umfasst dieselben Berechtigungen und API-Vorgänge wie das Verb use
sowie die Berechtigung "COMPARTMENT_CREATE" und zwei API-Vorgänge: CreateCompartment
und DeleteCompartment
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | AUTHENTICATION_POLICY_INSPECT |
|
kein Wert |
read | keine zusätzlichen |
keine zusätzlichen |
kein Wert |
use | keine zusätzlichen |
keine zusätzlichen |
kein Wert |
manage | USE + AUTHENTICATION_POLICY_UPDATE |
USE +
|
kein Wert |
Um ein Compartment zu verschieben (d.h. den Vorgang MoveCompartment
verwenden), müssen Sie zu einer Gruppe gehören, die über die Berechtigung manage all-resources
für das niedrigste gemeinsame übergeordnete Compartment des aktuellen Compartments und des Ziel-Compartments verfügt.
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | COMPARTMENT_INSPECT |
|
kein Wert |
read | keine zusätzlichen |
keine zusätzlichen |
kein Wert |
use | READ + COMPARTMENT_UPDATE |
READ +
|
kein Wert |
manage | USE + COMPARTMENT_CREATE COMPARTMENT_DELETE COMPARTMENT_RECOVER |
USE +
|
kein Wert |
Der Ressourcentyp credentials
bezieht sich nur auf die SMTP-Zugangsdaten. Berechtigungen zum Arbeiten mit anderen Zugangsdaten, die einem Benutzer hinzugefügt werden können (wie Authentifizierungstoken, API-Schlüssel und Kunden-Secret-Keys), sind in users
-Ressourcenberechtigungen enthalten.
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | CREDENTIAL_INSPECT |
ListSmtpCredentials
|
kein Wert |
read | keine zusätzlichen |
keine zusätzlichen |
kein Wert |
use | keine zusätzlichen |
keine zusätzlichen |
kein Wert |
manage | USE + CREDENTIAL_ADD CREDENTIAL_UPDATE CREDENTIAL_REMOVE |
USE +
|
kein Wert |
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | DYNAMIC_GROUP_INSPECT |
|
Keine zusätzlichen |
read | keine zusätzlichen |
keine zusätzlichen |
keine zusätzlichen |
use | READ + DYNAMIC_GROUP_UPDATE |
READ +
|
Keine zusätzlichen |
manage | USE + DYNAMIC_GROUP_CREATE DYNAMIC_GROUP_DELETE |
USE +
|
keine zusätzlichen |
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | GROUP_INSPECT |
|
|
read | keine zusätzlichen |
keine zusätzlichen |
keine zusätzlichen |
use | READ + GROUP_UPDATE |
READ +
|
READ +
|
manage | USE + GROUP_CREATE GROUP_DELETE |
USE +
|
keine zusätzlichen |
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | IDENTITY_PROVIDER_INSPECT |
|
ListIdpGroupMappings , GetIdpGroupMapping (beide benötigen auch inspect groups )
|
read | keine zusätzlichen |
keine zusätzlichen |
keine zusätzlichen |
use | keine zusätzlichen |
keine zusätzlichen |
keine zusätzlichen |
manage | USE + IDENTITY_PROVIDER_UPDATE IDENTITY_PROVIDER_CREATE IDENTITY_PROVIDER_DELETE |
USE +
|
USE +
|
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | NETWORK_SOURCE_INSPECT |
|
Keine zusätzlichen |
read | keine zusätzlichen |
keine zusätzlichen |
keine zusätzlichen |
use | READ + NETWORK_SOURCE_UPDATE |
READ +
|
Keine zusätzlichen |
manage | USE + NETWORK_SOURCE_CREATE NETWORK_SOURCE_DELETE |
USE +
|
keine zusätzlichen |
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | POLICY_READ |
|
kein Wert |
read | keine zusätzlichen |
keine zusätzlichen |
kein Wert |
use | keine zusätzlichen |
keine zusätzlichen Hinweis: Die Möglichkeit, Policys zu aktualisieren, ist nur mit |
kein Wert |
manage | USE + POLICY_UPDATE POLICY_CREATE POLICY_DELETE |
USE +
|
kein Wert |
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | TAG_NAMESPACE_INSPECT |
|
kein Wert |
read | keine zusätzlichen |
keine zusätzlichen |
kein Wert |
use | READ + TAG_NAMESPACE_USE Hinweis: Um definierte Tags für eine Ressource anzuwenden, zu aktualisieren oder zu entfernen, müssen einem Benutzer Berechtigungen für die Ressource und Berechtigungen zur Verwendung des Tag-Namespace erteilt werden. |
READ +
|
kein Wert |
manage | USE + TAG_NAMESPACE_UPDATE TAG_NAMESPACE_CREATE TAG_NAMESPACE_MOVE TAG_NAMESPACE_DELETE |
USE +
|
kein Wert |
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | TAG_DEFAULT_INSPECT TAG_NAMESPACE_READ (Beide Berechtigungen verwenden) |
|
kein Wert |
read | keine zusätzlichen |
keine zusätzlichen |
kein Wert |
use | keine zusätzlichen |
keine zusätzlichen |
kein Wert |
manage | INSPECT + TAG_DEFAULT_CREATE TAG_DEFAULT_UPDATE TAG_DEFAULT_DELETE |
USE +
|
kein Wert |
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | TENANCY_INSPECT |
|
kein Wert |
read | keine zusätzlichen |
keine zusätzlichen |
kein Wert |
use | READ + TENANCY_UPDATE |
keine zusätzlichen |
kein Wert |
manage | USE + TENANCY_UPDATE |
USE +
|
kein Wert |
Um mit den SMTP-Zugangsdaten für einen Benutzer zu arbeiten, müssen Sie Berechtigungen für den Ressourcentyp credentials
haben.
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | USER_INSPECT |
|
GetUserGroupMembership (benötigt auch inspect groups )
|
read | INSPECT + USER_READ |
INSPECT +
|
keine zusätzlichen |
use | READ + USER_UPDATE |
READ +
|
READ +
|
manage | USE + USER_CREATE USER_DELETE USER_UNBLOCK USER_APIKEY_ADD USER_APIKEY_REMOVE USER_UIPASS_SET USER_UIPASS_RESET USER_SWIFTPASS_SET USER_SWIFTPASS_RESET USER_SWIFTPASS_REMOVE USER_AUTHTOKEN_SET USER_AUTHTOKEN_RESET USER_AUTHTOKEN_REMOVE USER_OAUTH2_CLIENT_CRED_CREATE USER_OAUTH2_CLIENT_CRED_UPDATE USER_OAUTH2_CLIENT_CRED_REMOVE USER_SECRETKEY_ADD USER_SECRETKEY_UPDATE USER_SECRETKEY_REMOVE USER_SUPPORT_ACCOUNT_LINK USER_SUPPORT_ACCOUNT_UNLINK USER_TOTPDEVICE_ADD USER_TOTPDEVICE_REMOVE USER_TOTPDEVICE_UPDATE |
USE +
|
keine zusätzlichen |
Für jeden API-Vorgang erforderliche Berechtigungen
In der folgenden Tabelle werden die API-Vorgänge in einer logischen Reihenfolge nach Ressourcentyp gruppiert aufgeführt.
Informationen zu Berechtigungen finden Sie unter Berechtigungen.
API-Vorgang | Erforderliche Berechtigungen für den Vorgang |
---|---|
ListRegions
|
TENANCY_INSPECT |
ListRegionSubscriptions
|
TENANCY_INSPECT |
CreateRegionSubscription
|
TENANCY_UPDATE |
GetTenancy
|
TENANCY_INSPECT |
GetAuthenticationPolicy
|
AUTHENTICATION_POLICY_INSPECT |
UpdateAuthenticationPolicy
|
AUTHENTICATION_POLICY_UPDATE |
ListAvailabilityDomains
|
COMPARTMENT_INSPECT |
ListFaultDomains
|
COMPARTMENT_INSPECT |
ListCompartments
|
COMPARTMENT_INSPECT |
GetCompartment
|
COMPARTMENT_INSPECT |
UpdateCompartment
|
COMPARTMENT_UPDATE |
CreateCompartment
|
COMPARTMENT_CREATE |
RecoverCompartment
|
COMPARTMENT_RECOVER |
DeleteCompartment
|
COMPARTMENT_DELETE |
MoveCompartment
|
Mit dem Vorgang MoveCompartment ist keine einzelne Berechtigung verknüpft. Dieser Vorgang erfordert manage all-resources -Berechtigungen für das niedrigste gemeinsame übergeordnete Compartment des aktuellen Compartments und des Ziel-Compartments. |
GetWorkRequest
|
COMPARTMENT_READ |
ListUsers
|
USER_INSPECT |
GetUser
|
USER_INSPECT |
UpdateUser
|
USER_UPDATE |
UpdateUserState
|
USER_UPDATE und USER_UNBLOCK |
CreateUser
|
USER_CREATE |
DeleteUser
|
USER_DELETE |
CreateOrResetUIPassword
|
USER_UPDATE und USER_UIPASS_RESET |
ListApiKeys
|
USER_READ |
UploadApiKey
|
USER_UPDATE und USER_APIKEY_ADD |
DeleteApiKey
|
USER_UPDATE und USER_APIKEY_REMOVE |
ListAuthTokens
|
USER_READ |
UpdateAuthToken
|
USER_UPDATE und USER_AUTHTOKEN_RESET |
CreateAuthToken
|
USER_UPDATE und USER_AUTHTOKEN_SET |
DeleteAuthToken
|
USER_UPDATE und USER_AUTHTOKEN_REMOVE |
ListSwiftPasswords
|
USER_READ |
UpdateSwiftPassword
|
USER_UPDATE und USER_SWIFTPASS_RESET |
CreateSwiftPassword
|
USER_UPDATE und USER_SWIFTPASS_SET |
DeleteSwiftPassword
|
USER_UPDATE und USER_SWIFTPASS_REMOVE |
ListCustomerSecretKeys
|
USER_READ |
CreateSecretKey
|
USER_UPDATE und USER_SECRETKEY_ADD |
UpdateCustomerSecretKey
|
USER_UPDATE und USER_SECRETKEY_UPDATE |
DeleteCustomerSecretKey
|
USER_UPDATE und USER_SECRETKEY_REMOVE |
CreateOAuthClientCredential |
USER_UPDATE and USER_OAUTH2_CLIENT_CRED_CREATE |
UpdateOAuthClientCredential |
USER_UPDATE and USER_OAUTH2_CLIENT_CRED_UPDATE |
ListOAuthClientCredentials |
USER_READ |
DeleteOAuthClientCredential |
USER_UPDATE and USER_OAUTH2_CLIENT_CRED_REMOVE |
LinkSupportAccount |
USER_SUPPORT_ACCOUNT_LINK |
UnlinkSupportAccount |
USER_SUPPORT_ACCOUNT_UNLINK |
CreateSmtpCredential |
CREDENTIAL_ADD |
ListSmtpCredentials |
CREDENTIAL_INSPECT |
UpdateSmtpCredential |
CREDENTIAL_UPDATE |
DeleteSmtpCredential |
CREDENTIAL_REMOVE |
ListUserGroupMemberships
|
GROUP_INSPECT und USER_INSPECT |
GetUserGroupMembership
|
USER_INSPECT und GROUP_INSPECT |
AddUserToGroup
|
GROUP_UPDATE und USER_UPDATE |
RemoveUserFromGroup
|
GROUP_UPDATE und USER_UPDATE |
ListGroups
|
GROUP_INSPECT |
GetGroup
|
GROUP_INSPECT |
UpdateGroup
|
GROUP_UPDATE |
CreateGroup
|
GROUP_CREATE |
DeleteGroup
|
GROUP_DELETE |
ListDynamicGroups
|
DYNAMIC_GROUP_INSPECT |
GetDynamicGroup
|
DYNAMIC_GROUP_INSPECT |
UpdateDynamicGroup
|
DYNAMIC_GROUP_UPDATE |
CreateDynamicGroup
|
DYNAMIC_GROUP_CREATE |
DeleteDynamicGroup
|
DYNAMIC_GROUP_DELETE |
GetNetworkSource
|
NETWORK_SOURCE_INSPECT |
ListNetworkSources
|
NETWORK_SOURCE_INSPECT |
CreateNetworkSource
|
NETWORK_SOURCE_CREATE |
UpdateNetworkSource
|
NETWORK_SOURCE_UPDATE |
DeleteNetworkSource
|
NETWORK_SOURCE_DELETE |
ListPolicies
|
POLICY_READ |
GetPolicy
|
POLICY_READ |
UpdatePolicy
|
POLICY_UPDATE |
CreatePolicy
|
POLICY_CREATE |
DeletePolicy
|
POLICY_DELETE |
ListIdentityProviders
|
IDENTITY_PROVIDER_INSPECT |
GetIdentityProvider
|
IDENTITY_PROVIDER_INSPECT |
UpdateIdentityProvider
|
IDENTITY_PROVIDER_UPDATE |
CreateIdentityProvider
|
IDENTITY_PROVIDER_CREATE |
DeleteIdentityProvider
|
IDENTITY_PROVIDER_DELETE |
ListIdpGroupMappings
|
IDENTITY_PROVIDER_INSPECT und GROUP_INSPECT |
GetIdpGroupMapping
|
IDENTITY_PROVIDER_INSPECT und GROUP_INSPECT |
AddIdpGroupMapping
|
IDENTITY_PROVIDER_UPDATE und GROUP_UPDATE |
DeleteIdpGroupMapping
|
IDENTITY_PROVIDER_UPDATE und GROUP_UPDATE |
ListTagNamespaces
|
TAG_NAMESPACE_INSPECT |
ListTaggingWorkRequest
|
TAG_NAMESPACE_INSPECT |
ListTaggingWorkRequestErrors
|
TAG_NAMESPACE_INSPECT |
ListTaggingWorkRequestLogs
|
TAG_NAMESPACE_INSPECT |
GetTaggingWorkRequest
|
TAG_NAMESPACE_INSPECT |
GetTagNamespace
|
TAG_NAMESPACE_INSPECT |
CreateTagNamespace
|
TAG_NAMESPACE_CREATE |
UpdateTagNamespace
|
TAG_NAMESPACE_UPDATE |
ChangeTagNamespaceCompartment
|
TAG_NAMESPACE_MOVE |
CascadeDeleteTagNamespace
|
TAG_NAMESPACE_DELETE |
DeleteTagNamespace
|
TAG_NAMESPACE_DELETE |
ListTags
|
TAG_NAMESPACE_INSPECT |
BulkEditTags
|
TAG_NAMESPACE_INSPECT |
ListCostTrackingTags
|
TAG_NAMESPACE_INSPECT |
GetTag
|
TAG_NAMESPACE_INSPECT |
CreateTag
|
TAG_NAMESPACE_USE |
UpdateTag
|
TAG_NAMESPACE_USE |
DeleteTag
|
TAG_NAMESPACE_DELETE |
BulkDeleteTags
|
TAG_NAMESPACE_DELETE |
ListTagDefaults
|
TAG_DEFAULT_INSPECT |
GetTagDefault
|
TAG_DEFAULT_INSPECT |
CreateTagDefault
|
TAG_DEFAULT_MANAGE |
UpdateTagDefault
|
TAG_DEFAULT_MANAGE |
DeleteTagDefault
|
TAG_DEFAULT_MANAGE |