Policy-Referenz
Erhalten Sie einen Überblick über die Themen der IAM-Policy-Referenz, einschließlich Verben, Ressourcentypen und allgemeinen Variablen.
Diese Referenz umfasst:
- Verben: Eine Liste der verfügbaren Aktionen, die mit einem Ressourcentyp kombiniert werden können
- Ressourcentypen: Eine Liste der wichtigsten Ressourcentypen
- Allgemeine Variablen für alle Anforderungen: Variablen, die Sie beim Schreiben von Policys für einen Ressourcentyp verwenden können
- Servicelimits: Zeigen Sie die Limits, Quotas und die Nutzung Ihres Mandanten in der Konsole an.
- Details zu Process Automation
- Analytics Cloud: Siehe Benutzern Berechtigungen zum Verwalten von Analytics Cloud-Instanzen erteilen
- Details zum Ankündigungsservice
- Details zu API-Gateway
- Details zu Application Performance Monitoring
- Artefakt-Registry: Siehe Policys für Artefakt-Registry
- Details zum Audit-Service
- Autonomous Linux: Siehe Autonomous Linux-Policys.
- Autonomous Recovery Service: Siehe Autonomous Recovery Service-Policys
- Bastion: Siehe Bastion-Policys
- Big Data Service: Siehe Big Data Service-Ressourcen und Berechtigungen in IAM-Policys
- Blockchain Platform: Siehe Informationen zu Berechtigungen und Policys zum Verwalten von Oracle Blockchain Platform
- Details zum Certificates-Service
- Cloud Advisor: Siehe Cloud Advisor-Policys erstellen
- Cloud Guard: Siehe Cloud Guard-Policys
- Clusterpositionierungsgruppen: Siehe Policys für Clusterpositionierungsgruppen
- Details zu Compute Cloud@Customer
- Details zu Container Engine for Kubernetes
- Containerinstanzen: Siehe IAM-Policys für Container Instances
- Details zu Coreservices (dazu gehören Networking, Compute und Block Volume)
- Content Management: Siehe Service-Policys
- Konsolen-Dashboards: Siehe Policy-Details für Konsolen-Dashboards
- Data Catalog: Siehe Data Catalog-Policys.
- Data Flow: Siehe Data Flow-Policys
- Data Integration: Siehe Data Integration-Policys
- Data Safe: Siehe IAM-Policys für Oracle Data Safe-Benutzer erstellen
- Data Science: Siehe Data Science-Policys
- Details zum Database-Service
- Details zum Datenbankmanagement
- Database Migration: Siehe Datenbankmigrations-Policys
- OCI-Datenbank mit PostgreSQL: Siehe OCI-Datenbank mit PostgreSQL-Policys
- DevOps: Siehe DevOps-Policys
- Digital Assistant: Siehe Digital Assistant-Policys
- Details zum DNS-Service
- Details zum Email Delivery-Service
- Details zum Events-Service
- Details zum File Storage-Service
- Details zu Functions
- Full Stack Disaster Recovery: Siehe Full Stack Disaster Recovery-Policys
- Global verteilte Autonomous Database: Siehe Global verteilte Autonomous Database-Policys
- GoldenGate: Siehe Oracle Cloud Infrastructure GoldenGate-Policys
- Details zu Health Checks
- Details zu IAM ohne Identitätsdomains
- Informationen zu Integration der 2. Generation und Integration 3 finden Sie unter Details zu Oracle Integration.
- Details zum Java Management Service
- Details zum Lizenzmanager
- Details zu Load Balancing
- Details zu Logging
- Details zu Logging Analytics
- Details zu Management Agent
- Details zu Management Dashboard
- Details zum Marketplace-Service
- Media-Services: Siehe Mediaflow-Policys und Mediastream-Policys
- Details zu Monitoring
- HeatWave: Siehe IAM-Policys
- NoSQL Database Cloud: Siehe Details zu NoSQL Database Cloud
- Oracle Cloud Migrations: Siehe Oracle Cloud-Migrationsrichtlinien
- Details zu Notifications
- Netzwerkfirewall-Policy-Referenz
- Details zu Object Storage, Archive Storage und Data Transfer
- OCI Control Center: Siehe Control Center-Policys
- Details zu Ops Insights
- OS Management: Siehe Policy-Referenz zu OS Management
- OS Management Hub: Siehe OS Management Hub-Policys
- Details zu Process Automation
- Details für Queue
- Details für den Quotas-Service
- Details zu Container Registry
- Details zu Resource Manager
- Details zum Search Service
- Details für sichere Desktops
- Sicherheitszonen: Siehe Cloud Guard-Policys
- Details zu Connector Hub
- Service-Mesh: Siehe Service-Mesh-IAM-Policys
- Details zu Stackmonitoring
- Details zum Streaming-Service
- Details zu Abonnements, Rechnungen und Zahlungshistorie
- Threat Intelligence: Siehe Policys zu Threat Intelligence
- Details zum Vault Service
- Visual Builder: Siehe Eingabevariablen
- Visual Builder Studio: Siehe IAM-Policy-Details für VB Studio
- Details zu Oracle Cloud VMware Solution
- Details zum Organisationsmanagement
- Vulnerability Scanning: Siehe Policys für Scanning
- Details zum WAF-Service
- Details zum Web Application Acceleration-Service
Anweisungen zum Erstellen und Verwalten von Policys mit der Konsole oder API finden Sie unter Überblick über das Arbeiten mit Policys.
Verben
Die Verben werden von der geringsten Berechtigung bis zur umfassendsten Berechtigung in aufsteigender Reihenfolge aufgelistet. Die genaue Bedeutung eines Verbs hängt von dem Ressourcentyp ab, mit dem es kombiniert wird. In den Tabellen später in diesem Abschnitt werden die API-Vorgänge angezeigt, die von jeder Kombination aus Verb und Ressourcentyp abgedeckt werden.
| Verb | Abgedeckte Zugriffstypen | Zielbenutzer |
|---|---|---|
inspect
|
Möglichkeit, Ressourcen aufzulisten, ohne auf vertrauliche Informationen oder benutzerdefinierte Metadaten zuzugreifen, die Bestandteil dieser Ressource sein könnten. Wichtig: Der Vorgang zum Auflisten von Policys umfasst den Inhalt der Policys selbst, und die Auflistvorgänge für die Networking-Ressourcentypen geben alle Informationen zurück (z.B. den Inhalt von Sicherheitslisten und Routentabellen). | Unabhängige Auditoren |
read
|
Umfasst inspect sowie die Möglichkeit, benutzerdefinierte Metadaten und die Ressource selbst abzurufen. |
Interne Auditoren |
use
|
Umfasst read sowie die Möglichkeit, mit vorhandenen Ressourcen zu arbeiten (die Aktionen sind je nach Ressourcentyp unterschiedlich). Umfasst die Möglichkeit, die Ressource mit Ausnahme von Ressourcentypen zu aktualisieren, bei denen der "update"-Vorgang dieselbe Auswirkung wie der "create"-Vorgang hat (Beispiel: UpdatePolicy, UpdateSecurityList usw.). In diesem Fall ist die "update"-Möglichkeit nur mit dem Verb manage verfügbar. Im Allgemeinen beinhaltet dieses Verb nicht das Erstellen oder Löschen dieses Ressourcentyp. |
Alltägliche Endbenutzer von Ressourcen |
manage
|
Umfasst alle Berechtigungen für die Ressource. | Administratoren |
Ressourcentypen
Im Folgenden werden einige allgemeine Familienressourcentypen aufgeführt. Für die individuellen Ressourcentypen, aus denen jede Familie besteht, folgen Sie den Links.
all-resources: Alle Oracle Cloud Infrastructure-Ressourcentypencluster-family: Siehe Details zu Container Engine for Kubernetescompute-management-family: Siehe Details zu Coreservicesdata-catalog-family: Siehe Data Catalog-Policysdata-science-family: Siehe Data Science-Policysdatabase-family: Siehe Details zum Database-Servicedatasafe-family-resources: Siehe OCI-Ressourcen für Oracle Data Safedns: Siehe Details zum DNS-Serviceemail-family: Siehe Details zum Email Delivery-Servicefile-family: Siehe Details zum File Storage-Serviceinstance-agent-command-family: Siehe Details zu den Coreservicesinstance-agent-family: Siehe Details zu den Coreservicesinstance-family: Siehe Details zu Coreservicesobject-family: Siehe Details zu Object Storage, Archive Storage und Data Transferoptimizer-api-family: Siehe Cloud Advisor-Policys erstellenappmgmt-family: Siehe Details zu Stackmonitoringstack-monitoring-family: Siehe Details zu Stack Monitoringvirtual-network-family: Siehe Details zu Coreservicesvolume-family: Siehe Details zu Coreservices
IAM hat keinen Familienressourcentyp, nur individuelle Ressourcentypen. Weitere Informationen finden Sie unter Details zu IAM mit Identitätsdomains oder Details zu IAM ohne Identitätsdomains, je nachdem, ob Ihr Mandant über Identitätsdomains verfügt oder nicht.
Allgemeine Variablen für alle Anforderungen
Sie verwenden Variablen, wenn Sie einer Policy Bedingungen hinzufügen. Weitere Informationen finden Sie unter Bedingungen. Dies sind die allgemeinen Variablen, die für alle Anforderungen anwendbar sind.
| Name | Typ | Beschreibung |
|---|---|---|
request.user.id
|
Entity (OCID) | Die OCID des anfordernden Benutzers. |
request.user.name |
Zeichenfolge | Name des anfordernden Benutzers. |
request.user.mfaTotpVerified
|
Boolescher Wert |
Gibt an, ob der Benutzer durch die Multifaktor-Authentifizierung (MFA) verifiziert wurde. Um den Zugriff nur auf MFA-verifizierte Benutzer einzuschränken, fügen Sie die folgende Bedingung hinzu:
Informationen zum Einrichten von MFA finden Sie unter Multifactor-Authentifizierung verwalten. |
request.groups.id
|
Liste der Entitys (OCIDs) | Die OCIDs der Gruppen, in denen sich der anfordernde Benutzer befindet. |
request.permission
|
Zeichenfolge | Die angeforderte zugrunde liegende Berechtigung (siehe Berechtigungen). |
request.operation
|
Zeichenfolge | Der Name des angeforderten API-Vorgangs (Beispiel: ListUsers). |
request.networkSource.name
|
Zeichenfolge | Der Name der Netzwerkquellengruppe, die zulässige IP-Adressen angibt, von denen die Anforderung stammen kann. Weitere Informationen finden Sie unter Netzwerkquellen verwalten. |
request.utc-timestamp |
Zeichenfolge | Die im ISO 8601-Format angegebene UTC-Zeit, zu der die Anforderung übermittelt wird. Weitere Informationen finden Sie unter Zugriff auf Ressourcen basierend auf Zeitrahmen einschränken. |
request.utc-timestamp.month-of-year |
Zeichenfolge | Der Monat, in dem die Anforderung übermittelt wird, im numerischen ISO 8601-Format (Beispiel: '1', '2', '3', ... '12'). Weitere Informationen finden Sie unter Zugriff auf Ressourcen basierend auf Zeitrahmen einschränken. |
request.utc-timestamp.day-of-month |
Zeichenfolge | Der Tag des Monats, an dem die Anforderung übermittelt wird, im numerischen Format: '1' bis '31' Weitere Informationen finden Sie unter Zugriff auf Ressourcen basierend auf Zeitrahmen einschränken. |
request.utc-timestamp.day-of-week |
Zeichenfolge | Der Wochentag, an dem die Anforderung übermittelt wird, auf Englisch (Beispiel: 'Monday', 'Tuesday', 'Wednesday' usw.). Weitere Informationen finden Sie unter Zugriff auf Ressourcen basierend auf Zeitrahmen einschränken. |
request.utc-timestamp.time-of-day |
Zeichenfolge | Das UTC-Zeitintervall, in dem die Anforderung weitergeleitet wird, im ISO 8601-Format (Beispiel: '01:00:00Z' AND '02:01:00Z'). Weitere Informationen finden Sie unter Zugriff auf Ressourcen basierend auf Zeitrahmen einschränken. |
request.region
|
Zeichenfolge |
Der aus drei Buchstaben bestehende Schlüssel für die Region, in der die Anforderung gestellt wird. Zulässige Werte sind: Hinweis: Bei Quota Policys muss der Regionsname anstelle der folgenden 3-Buchstaben-Schlüsselwerte angegeben werden. Weitere Informationen finden Sie unter Beispielquoten.
|
request.ad
|
Zeichenfolge | Der Name der Availability-Domain, in der die Anforderung erstellt wird. Um eine Liste der Availability-Domain-Namen abzurufen, verwenden Sie den Vorgang ListAvailabilityDomains. |
request.principal.compartment.tag
|
Zeichenfolge | Die auf das Compartment, zu dem die anfordernde Ressource gehört, angewendeten Tags werden hinsichtlich einer Übereinstimmung ausgewertet. Anweisungen zur Verwendung finden Sie unter Tags zum Verwalten des Zugriffs verwenden. |
request.principal.group.tag
|
Zeichenfolge | Die Tags, die auf die Gruppen angewendet wurden, zu denen der Benutzer gehört, werden für eine Übereinstimmung ausgewertet. Anweisungen zur Verwendung finden Sie unter Tags zum Verwalten des Zugriffs verwenden. |
target.compartment.name
|
Zeichenfolge | Der Name des Compartments, das in target.compartment.id angegeben wird. |
target.compartment.id
|
Entity (OCID) |
Die OCID des Compartments, das die primäre Ressource enthält. Hinweis: |
target.resource.compartment.tag
|
Zeichenfolge | Das auf das Ziel-Compartment der Anforderung angewendete Tag wird ausgewertet. Anweisungen zur Verwendung finden Sie unter Tags zum Verwalten des Zugriffs verwenden. |
target.resource.tag
|
Zeichenfolge | Das auf die Zielressource der Anforderung angewendete Tag wird ausgewertet. Anweisungen zur Verwendung finden Sie unter Tags zum Verwalten des Zugriffs verwenden. |