Oracle Cloud Infrastructure - Dokumentation

Details zu IAM ohne Identitätsdomains

In diesem Thema werden Details zum Schreiben von Policys beschrieben, die den Zugriff auf IAM kontrollieren.

Ressourcentypen

authentication

authentication-policies

compartments

credentials

domain

dynamic-groups

groups

group-memberships

iamworkrequest

identity-providers

network-sources

oauth2-clients

policies

regions

service-principal

tag-defaults

tag-namespaces

tagRules

tasdomain

tagNamespaces

tenancies

users x

workrequest

Unterstützte Variablen

IAM unterstützt alle allgemeinen Variablen (siehe Allgemeine Variablen für alle Anforderungen) sowie die hier aufgelisteten zusätzlichen Variablen:

Vorgänge für diesen Ressourcentyp... Diese Variablen können verwendet werden... Variablentyp Kommentare
users target.user.id Entity (OCID) Nicht für die Verwendung mit CreateUser verfügbar.
target.user.name Zeichenfolge  
groups target.group.id Entity (OCID) Nicht für die Verwendung mit CreateGroup verfügbar.
target.group.name Zeichenfolge  
target.group.member Boolescher Wert "True", wenn "request.user" ein Mitglied von "target.group" ist.
policies target.policy.id Entity (OCID) Nicht für die Verwendung mit CreatePolicy verfügbar.
target.policy.name Zeichenfolge  
compartments target.compartment.id Entity (OCID)

Für CreateCompartment ist dies der Wert des übergeordneten Compartments (z.B. das Root-Compartment).

Dies ist eine universelle Variable, die für jede Anforderung in allen Services verfügbar ist (siehe Allgemeine Variablen für alle Anforderungen).
target.compartment.name Zeichenfolge  
tag-namespace target.tag-namespace.id Entity (OCID)

Diese Variable wird nur in Anweisungen unterstützt, die Berechtigungen für den Ressourcentyp tag-namespaces erteilen. Ein Beispiel finden Sie unter Tags und Konzepte zu Tag-Namespaces. Nicht für die Verwendung mit CreateTagNamespace verfügbar.

target.tag-namespace.name Zeichenfolge  

Details für Kombinationen aus Verb + Ressourcentyp

In den folgenden Tabellen werden die Berechtigungen und API-Vorgänge angezeigt, die von jedem Verb abgedeckt werden. Die Zugriffsebene ist kumulativ: inspect > read > use > manage. Beispiel: Eine Gruppe, die eine Ressource verwenden kann, kann diese Ressource auch prüfen und lesen. Ein Pluszeichen (+) in einer Tabellenzelle gibt einen inkrementellen Zugriff im Vergleich zur direkt darüber liegenden Zelle an, während "keine zusätzlichen" keinen inkrementellen Zugriff angibt.

Beispiel: Das Verb read für Compartments umfasst keine zusätzlichen Berechtigungen oder API-Vorgänge im Vergleich zu dem Verb inspect. Das Verb use umfasst dieselben Berechtigungen wie das Verb read sowie die Berechtigung "COMPARTMENT_UPDATE" und den API-Vorgang UpdateCompartment. Das Verb manage umfasst dieselben Berechtigungen und API-Vorgänge wie das Verb use sowie die Berechtigung "COMPARTMENT_CREATE" und zwei API-Vorgänge: CreateCompartment und DeleteCompartment

authentication-policies
Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

AUTHENTICATION_POLICY_INSPECT

GetAuthenticationPolicy

 

kein Wert
read

keine zusätzlichen

keine zusätzlichen

kein Wert
use

keine zusätzlichen

keine zusätzlichen

kein Wert
manage

USE +

AUTHENTICATION_POLICY_UPDATE

USE +

UpdateAuthenticationPolicy

kein Wert
compartments

Um ein Compartment zu verschieben (d.h. den Vorgang MoveCompartment verwenden), müssen Sie zu einer Gruppe gehören, die über die Berechtigung manage all-resources für das niedrigste gemeinsame übergeordnete Compartment des aktuellen Compartments und des Ziel-Compartments verfügt.

Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

COMPARTMENT_INSPECT

ListCompartments

GetCompartment

ListAvailabilityDomains

ListFaultDomains

kein Wert
read

keine zusätzlichen

keine zusätzlichen

kein Wert
use

READ +

COMPARTMENT_UPDATE

READ +

UpdateCompartment

GetWorkRequest

kein Wert
manage

USE +

COMPARTMENT_CREATE

COMPARTMENT_DELETE

COMPARTMENT_RECOVER

USE +

CreateCompartment

DeleteCompartment

RecoverCompartment

kein Wert
credentials

Der Ressourcentyp credentials bezieht sich nur auf die SMTP-Zugangsdaten. Berechtigungen zum Arbeiten mit anderen Zugangsdaten, die einem Benutzer hinzugefügt werden können (wie Authentifizierungstoken, API-Schlüssel und Kunden-Secret-Keys), sind in users-Ressourcenberechtigungen enthalten.

Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

CREDENTIAL_INSPECT

 ListSmtpCredentials

kein Wert
read

keine zusätzlichen

keine zusätzlichen

kein Wert
use

keine zusätzlichen

keine zusätzlichen

 

kein Wert
manage

USE +

CREDENTIAL_ADD

CREDENTIAL_UPDATE

CREDENTIAL_REMOVE

USE +

CreateSmtpCredential

UpdateSmtpCredential

DeleteSmtpCredential

kein Wert
dynamic-groups
Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

DYNAMIC_GROUP_INSPECT

ListDynamicGroups

GetDynamicGroup

Keine zusätzlichen
read

keine zusätzlichen

keine zusätzlichen

keine zusätzlichen
use

READ +

DYNAMIC_GROUP_UPDATE

READ +

UpdateDynamicGroup

Keine zusätzlichen
manage

USE +

DYNAMIC_GROUP_CREATE

DYNAMIC_GROUP_DELETE

USE +

CreateDynamicGroup

DeleteDynamicGroup

keine zusätzlichen
groups
Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

GROUP_INSPECT

ListGroups

GetGroup

GetUserGroupMembership (benötigt auch inspect users)

ListIdpGroupMappings, GetIdpGroupMapping (beide benötigen auch inspect identity-providers)
read

keine zusätzlichen

keine zusätzlichen

keine zusätzlichen
use

READ +

GROUP_UPDATE

READ +

UpdateGroup

READ +

AddUserToGroup (benötigt auch use users)

RemoveUserFromGroup (benötigt auch use users)

AddIdpGroupMapping, DeleteIdpGroupMapping (beide benötigen auch manage identity-providers)
manage

USE +

GROUP_CREATE

GROUP_DELETE

USE +

CreateGroup

DeleteGroup

keine zusätzlichen
identity-providers
Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

IDENTITY_PROVIDER_INSPECT

ListIdentityProviders

GetIdentityProvider

ListIdpGroupMappings, GetIdpGroupMapping (beide benötigen auch inspect groups)
read

keine zusätzlichen

keine zusätzlichen

keine zusätzlichen
use

keine zusätzlichen

keine zusätzlichen

keine zusätzlichen
manage

USE +

IDENTITY_PROVIDER_UPDATE

IDENTITY_PROVIDER_CREATE

IDENTITY_PROVIDER_DELETE

USE +

UpdateIdentityProvider

CreateIdentityProvider

DeleteIdentityProvider

USE +

AddIdpGroupMapping, DeleteIdpGroupMapping (beide benötigen auch use groups)
network-sources
Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

NETWORK_SOURCE_INSPECT

ListNetworkSources

GetNetworkSource

Keine zusätzlichen
read

keine zusätzlichen

keine zusätzlichen

keine zusätzlichen
use

READ +

NETWORK_SOURCE_UPDATE

READ +

UpdateNetworkSource

Keine zusätzlichen
manage

USE +

NETWORK_SOURCE_CREATE

NETWORK_SOURCE_DELETE

USE +

CreateNetworkSource

DeleteNetworkSource

keine zusätzlichen
policies
Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

POLICY_READ

ListPolicies

GetPolicy

kein Wert
read

keine zusätzlichen

keine zusätzlichen

kein Wert
use

keine zusätzlichen

keine zusätzlichen

Hinweis: Die Möglichkeit, Policys zu aktualisieren, ist nur mit manage policies verfügbar.

kein Wert
manage

USE +

POLICY_UPDATE

POLICY_CREATE

POLICY_DELETE

USE +

UpdatePolicy

CreatePolicy

DeletePolicy

kein Wert
tag-namespaces
Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

TAG_NAMESPACE_INSPECT

BulkEditTags

ListTagNamespaces

GetTagNamespace

ListTags

ListCostTrackingTags

GetTag

GetTaggingWorkRequest

ListTaggingWorkRequest

ListTaggingWorkRequestErrors

ListTaggingWorkRequestLogs

kein Wert
read

keine zusätzlichen

keine zusätzlichen

kein Wert
use

READ +

TAG_NAMESPACE_USE

Hinweis: Um definierte Tags für eine Ressource anzuwenden, zu aktualisieren oder zu entfernen, müssen einem Benutzer Berechtigungen für die Ressource und Berechtigungen zur Verwendung des Tag-Namespace erteilt werden.

READ +

CreateTag

UpdateTag

kein Wert
manage

USE +

TAG_NAMESPACE_UPDATE

TAG_NAMESPACE_CREATE

TAG_NAMESPACE_MOVE

TAG_NAMESPACE_DELETE

USE +

UpdateTagNamespace

CreateTagNamespace

ChangeTagNamespaceCompartment

CascadeDeleteTagNamespace

DeleteTagNamespace

DeleteTag

BulkDeleteTags

kein Wert
tag-defaults
Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

TAG_DEFAULT_INSPECT

TAG_NAMESPACE_READ

(Beide Berechtigungen verwenden)

ListTagDefaults

GetTagDefault

 

kein Wert
read

keine zusätzlichen

keine zusätzlichen

 kein Wert
use

keine zusätzlichen

keine zusätzlichen

kein Wert
manage

INSPECT +

TAG_DEFAULT_CREATE

TAG_DEFAULT_UPDATE

TAG_DEFAULT_DELETE

USE +

CreateTagDefault

UpdateTagDefault

DeleteTagDefault

 

kein Wert
tenancies
Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

TENANCY_INSPECT

ListRegionSubscriptions

GetTenancy

ListRegions

 

kein Wert
read

keine zusätzlichen

keine zusätzlichen

kein Wert
use

READ +

TENANCY_UPDATE

keine zusätzlichen

kein Wert
manage

USE +

TENANCY_UPDATE

USE +

CreateRegionSubscription

kein Wert
users

Um mit den SMTP-Zugangsdaten für einen Benutzer zu arbeiten, müssen Sie Berechtigungen für den Ressourcentyp credentials haben.

Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

USER_INSPECT

ListUsers

GetUser

GetUserGroupMembership (benötigt auch inspect groups)
read

INSPECT +

USER_READ

INSPECT +

ListApiKeys

ListSwiftPasswords

ListAuthTokens

ListCustomerSecretKeys

ListOAuthClientCredentials

ListMfaTotpDevices

keine zusätzlichen
use

READ +

USER_UPDATE

READ +

UpdateUser

READ +

AddUserToGroup (benötigt auch use groups)

RemoveUserFromGroup (benötigt auch use groups)
manage

USE +

USER_CREATE

USER_DELETE

USER_UNBLOCK

USER_APIKEY_ADD

USER_APIKEY_REMOVE

USER_UIPASS_SET

USER_UIPASS_RESET

USER_SWIFTPASS_SET

USER_SWIFTPASS_RESET

USER_SWIFTPASS_REMOVE

USER_AUTHTOKEN_SET

USER_AUTHTOKEN_RESET

USER_AUTHTOKEN_REMOVE

USER_OAUTH2_CLIENT_CRED_CREATE

USER_OAUTH2_CLIENT_CRED_UPDATE

USER_OAUTH2_CLIENT_CRED_REMOVE

USER_SECRETKEY_ADD

USER_SECRETKEY_UPDATE

USER_SECRETKEY_REMOVE

USER_SUPPORT_ACCOUNT_LINK

USER_SUPPORT_ACCOUNT_UNLINK

USER_TOTPDEVICE_ADD

USER_TOTPDEVICE_REMOVE

USER_TOTPDEVICE_UPDATE

USE +

CreateUser

DeleteUser

UpdateUserState

UploadApiKey

DeleteApiKey

CreateOrResetUIPassword

UpdateSwiftPassword

CreateSwiftPassword

DeleteSwiftPassword

 

UpdateAuthToken

CreateAuthToken

DeleteAuthToken

CreateOAuthClientCredential

UpdateOAuthClientCredential

DeleteOAuthClientCredential

CreateSecretKey

UpdateCustomerSecretKey

DeleteCustomerSecretKey

CreateOAuthClientCredential

UpdateAuthClientCredential

DeleteOAuthClientCredential

LinkSupportAccount

UnlinkSupportAccount

CreateMfaTotpDevice

ActivateMfaTotpDevice

DeleteMfaTotpDevice

keine zusätzlichen

Für jeden API-Vorgang erforderliche Berechtigungen

In der folgenden Tabelle werden die API-Vorgänge in einer logischen Reihenfolge nach Ressourcentyp gruppiert aufgeführt.

Informationen zu Berechtigungen finden Sie unter Berechtigungen.

API-Vorgang Erforderliche Berechtigungen für den Vorgang
ListRegions TENANCY_INSPECT
ListRegionSubscriptions TENANCY_INSPECT
CreateRegionSubscription TENANCY_UPDATE
GetTenancy TENANCY_INSPECT
GetAuthenticationPolicy AUTHENTICATION_POLICY_INSPECT
UpdateAuthenticationPolicy AUTHENTICATION_POLICY_UPDATE
ListAvailabilityDomains COMPARTMENT_INSPECT
ListFaultDomains COMPARTMENT_INSPECT
ListCompartments COMPARTMENT_INSPECT
GetCompartment COMPARTMENT_INSPECT
UpdateCompartment COMPARTMENT_UPDATE
CreateCompartment COMPARTMENT_CREATE
RecoverCompartment COMPARTMENT_RECOVER
DeleteCompartment COMPARTMENT_DELETE
MoveCompartment Mit dem Vorgang MoveCompartment ist keine einzelne Berechtigung verknüpft. Dieser Vorgang erfordert manage all-resources-Berechtigungen für das niedrigste gemeinsame übergeordnete Compartment des aktuellen Compartments und des Ziel-Compartments.
GetWorkRequest COMPARTMENT_READ
ListUsers USER_INSPECT
GetUser USER_INSPECT
UpdateUser USER_UPDATE
UpdateUserState USER_UPDATE und USER_UNBLOCK
CreateUser

USER_CREATE
DeleteUser USER_DELETE
CreateOrResetUIPassword USER_UPDATE und USER_UIPASS_RESET
ListApiKeys USER_READ
UploadApiKey

USER_UPDATE und USER_APIKEY_ADD

DeleteApiKey USER_UPDATE und USER_APIKEY_REMOVE
ListAuthTokens USER_READ
UpdateAuthToken USER_UPDATE und USER_AUTHTOKEN_RESET
CreateAuthToken USER_UPDATE und USER_AUTHTOKEN_SET
DeleteAuthToken USER_UPDATE und USER_AUTHTOKEN_REMOVE
ListSwiftPasswords USER_READ
UpdateSwiftPassword USER_UPDATE und USER_SWIFTPASS_RESET
CreateSwiftPassword USER_UPDATE und USER_SWIFTPASS_SET
DeleteSwiftPassword USER_UPDATE und USER_SWIFTPASS_REMOVE
ListCustomerSecretKeys USER_READ
CreateSecretKey USER_UPDATE und USER_SECRETKEY_ADD
UpdateCustomerSecretKey USER_UPDATE und USER_SECRETKEY_UPDATE
DeleteCustomerSecretKey USER_UPDATE und USER_SECRETKEY_REMOVE
CreateOAuthClientCredential USER_UPDATE and USER_OAUTH2_CLIENT_CRED_CREATE
UpdateOAuthClientCredential USER_UPDATE and USER_OAUTH2_CLIENT_CRED_UPDATE
ListOAuthClientCredentials USER_READ
DeleteOAuthClientCredential USER_UPDATE and USER_OAUTH2_CLIENT_CRED_REMOVE
LinkSupportAccount USER_SUPPORT_ACCOUNT_LINK
UnlinkSupportAccount USER_SUPPORT_ACCOUNT_UNLINK
CreateSmtpCredential CREDENTIAL_ADD
ListSmtpCredentials CREDENTIAL_INSPECT
UpdateSmtpCredential CREDENTIAL_UPDATE
DeleteSmtpCredential CREDENTIAL_REMOVE
ListUserGroupMemberships GROUP_INSPECT und USER_INSPECT
GetUserGroupMembership USER_INSPECT und GROUP_INSPECT
AddUserToGroup GROUP_UPDATE und USER_UPDATE
RemoveUserFromGroup GROUP_UPDATE und USER_UPDATE
ListGroups GROUP_INSPECT
GetGroup GROUP_INSPECT
UpdateGroup GROUP_UPDATE
CreateGroup GROUP_CREATE
DeleteGroup GROUP_DELETE
ListDynamicGroups DYNAMIC_GROUP_INSPECT
GetDynamicGroup DYNAMIC_GROUP_INSPECT
UpdateDynamicGroup DYNAMIC_GROUP_UPDATE
CreateDynamicGroup DYNAMIC_GROUP_CREATE
DeleteDynamicGroup DYNAMIC_GROUP_DELETE
GetNetworkSource NETWORK_SOURCE_INSPECT
ListNetworkSources NETWORK_SOURCE_INSPECT
CreateNetworkSource NETWORK_SOURCE_CREATE
UpdateNetworkSource NETWORK_SOURCE_UPDATE
DeleteNetworkSource NETWORK_SOURCE_DELETE
ListPolicies POLICY_READ
GetPolicy POLICY_READ
UpdatePolicy POLICY_UPDATE
CreatePolicy POLICY_CREATE
DeletePolicy POLICY_DELETE
ListIdentityProviders IDENTITY_PROVIDER_INSPECT
GetIdentityProvider IDENTITY_PROVIDER_INSPECT
UpdateIdentityProvider IDENTITY_PROVIDER_UPDATE
CreateIdentityProvider IDENTITY_PROVIDER_CREATE
DeleteIdentityProvider IDENTITY_PROVIDER_DELETE
ListIdpGroupMappings IDENTITY_PROVIDER_INSPECT und GROUP_INSPECT
GetIdpGroupMapping IDENTITY_PROVIDER_INSPECT und GROUP_INSPECT
AddIdpGroupMapping IDENTITY_PROVIDER_UPDATE und GROUP_UPDATE
DeleteIdpGroupMapping IDENTITY_PROVIDER_UPDATE und GROUP_UPDATE
ListTagNamespaces TAG_NAMESPACE_INSPECT
ListTaggingWorkRequest TAG_NAMESPACE_INSPECT
ListTaggingWorkRequestErrors TAG_NAMESPACE_INSPECT
ListTaggingWorkRequestLogs TAG_NAMESPACE_INSPECT
GetTaggingWorkRequest TAG_NAMESPACE_INSPECT
GetTagNamespace TAG_NAMESPACE_INSPECT
CreateTagNamespace TAG_NAMESPACE_CREATE
UpdateTagNamespace TAG_NAMESPACE_UPDATE
ChangeTagNamespaceCompartment TAG_NAMESPACE_MOVE
CascadeDeleteTagNamespace

TAG_NAMESPACE_DELETE
DeleteTagNamespace

TAG_NAMESPACE_DELETE
ListTags TAG_NAMESPACE_INSPECT
BulkEditTags TAG_NAMESPACE_INSPECT
ListCostTrackingTags TAG_NAMESPACE_INSPECT
GetTag TAG_NAMESPACE_INSPECT
CreateTag TAG_NAMESPACE_USE
UpdateTag TAG_NAMESPACE_USE
DeleteTag TAG_NAMESPACE_DELETE
BulkDeleteTags

TAG_NAMESPACE_DELETE
ListTagDefaults TAG_DEFAULT_INSPECT
GetTagDefault TAG_DEFAULT_INSPECT
CreateTagDefault TAG_DEFAULT_MANAGE
UpdateTagDefault TAG_DEFAULT_MANAGE
DeleteTagDefault TAG_DEFAULT_MANAGE