Oracle Cloud Infrastructure - Dokumentation

Policy-Referenz

Erhalten Sie einen Überblick über die Themen der IAM-Policy-Referenz, einschließlich Verben, Ressourcentypen und allgemeinen Variablen.

Diese Referenz umfasst:

Anweisungen, wie Sie Policys mit der Konsole oder API erstellen und verwalten, finden Sie unter Überblick über das Arbeiten mit Policys.

Verben

Die Verben werden von der geringsten Berechtigung bis zur umfassendsten Berechtigung in aufsteigender Reihenfolge aufgelistet. Die genaue Bedeutung eines Verbs hängt von dem Ressourcentyp ab, mit dem es kombiniert wird. In den Tabellen später in diesem Abschnitt werden die API-Vorgänge angezeigt, die von jeder Kombination aus Verb und Ressourcentyp abgedeckt werden.

Verb Zielbenutzer Abgedeckte Zugriffstypen
inspect Unabhängige Auditoren Funktion zum Auflisten von Ressourcen, ohne auf vertrauliche Informationen oder benutzerdefinierte Metadaten zuzugreifen, die Bestandteil dieser Ressource sein könnten. Wichtig: Der Vorgang zum Auflisten von Policys umfasst die Inhalte der Policys selbst. Die Auflistenvorgänge für die Networking-Ressourcentypen geben alle Informationen zurück (z.B. die Inhalte der Sicherheitslisten und Routentabellen).
read Interne Auditoren Umfasst inspect sowie die Möglichkeit, benutzerdefinierte Metadaten und die Ressource selbst abzurufen.
use Alltägliche Endbenutzer von Ressourcen Umfasst read sowie die Möglichkeit, mit vorhandenen Ressourcen zu arbeiten (die Aktionen sind je nach Ressourcentyp unterschiedlich). Umfasst die Möglichkeit, die Ressource mit Ausnahme von Ressourcenarten zu aktualisieren, bei denen der "update"-Vorgang dieselben Auswirkungen hat wie der "create"-Vorgang (Beispiel: UpdatePolicy, UpdateSecurityList und mehr). In diesem Fall ist die "update"-Funktion nur mit dem Verb manage verfügbar. Im Allgemeinen umfasst dieses Verb nicht die Möglichkeit, diesen Ressourcentyp zu erstellen oder zu löschen.
manage Administratoren Umfasst alle Berechtigungen für die Ressource.

Ressourcentypen

Im Folgenden werden einige allgemeine Familienressourcentypen aufgeführt. Für die individuellen Ressourcentypen, aus denen jede Familie besteht, folgen Sie den Links.

IAM hat keinen Familienressourcentyp, nur individuelle Ressourcentypen. Weitere Informationen finden Sie unter Überblick über IAM-Policys oder Details zu IAM ohne Identitätsdomains, abhängig davon, ob Ihr Mandanten über Identitätsdomains verfügt oder nicht.

Allgemeine Variablen für alle Anforderungen

Sie verwenden Variablen, wenn Sie einer Policy Bedingungen hinzufügen. Weitere Informationen finden Sie unter Bedingungen. Dies sind die allgemeinen Variablen, die für alle Anforderungen anwendbar sind.

Name Typ Beschreibung
request.user.id Entity (OCID) Die OCID des anfordernden Benutzers.
request.user.name Zeichenfolge Name des anfordernden Benutzers.
request.user.mfaTotpVerified Boolescher Wert

Gibt an, ob der Benutzer durch die Multifaktor-Authentifizierung (MFA) verifiziert wurde. Um den Zugriff nur auf MFA-verifizierte Benutzer einzuschränken, fügen Sie die folgende Bedingung hinzu:

where request.user.mfaTotpVerified='true'

Informationen zum Einrichten von MFA finden Sie unter Multifactor-Authentifizierung verwalten.
request.groups.id Liste der Entitys (OCIDs) Die OCIDs der Gruppen, in denen sich der anfordernde Benutzer befindet.
request.permission Zeichenfolge Die angeforderte zugrunde liegende Berechtigung (siehe Berechtigungen).
request.operation Zeichenfolge Der Name des angeforderten API-Vorgangs (Beispiel: ListUsers).
request.networkSource.name Zeichenfolge Der Name der Netzwerkquellengruppe, die zulässige IP-Adressen angibt, von denen die Anforderung stammen kann. Weitere Informationen finden Sie unter Netzwerkquellen verwalten.
request.utc-timestamp Zeichenfolge Die im ISO 8601-Format angegebene UTC-Zeit, zu der die Anforderung übermittelt wird. Weitere Informationen finden Sie unter Zugriff auf Ressourcen basierend auf Zeitrahmen einschränken.
request.utc-timestamp.month-of-year Zeichenfolge Der Monat, in dem die Anforderung übermittelt wird, im numerischen ISO 8601-Format (Beispiel: '1', '2', '3', ... '12'). Weitere Informationen finden Sie unter Zugriff auf Ressourcen basierend auf Zeitrahmen einschränken.
request.utc-timestamp.day-of-month Zeichenfolge Der Tag des Monats, an dem die Anforderung übermittelt wird, im numerischen Format: '1' bis '31' Weitere Informationen finden Sie unter Zugriff auf Ressourcen basierend auf Zeitrahmen einschränken.
request.utc-timestamp.day-of-week Zeichenfolge Der Wochentag, an dem die Anforderung übermittelt wird, auf Englisch (Beispiel: 'Monday', 'Tuesday', 'Wednesday' usw.). Weitere Informationen finden Sie unter Zugriff auf Ressourcen basierend auf Zeitrahmen einschränken.
request.utc-timestamp.time-of-day Zeichenfolge Das UTC-Zeitintervall, in dem die Anforderung weitergeleitet wird, im ISO 8601-Format (Beispiel: '01:00:00Z' AND '02:01:00Z'). Weitere Informationen finden Sie unter Zugriff auf Ressourcen basierend auf Zeitrahmen einschränken.
request.region Zeichenfolge

Der aus drei Buchstaben bestehende Schlüssel für die Region, in der die Anforderung gestellt wird. Zulässige Werte sind:

Hinweis: Bei Quota Policys muss der Regionsname anstelle der folgenden 3-Buchstaben-Schlüsselwerte angegeben werden. Weitere Informationen finden Sie unter Beispielquoten.

  • AMS - Für Netherlands Northwest (Amsterdam) verwenden
  • ARN - für Sweden Central (Stockholm)
  • AUH - für UAE Central (Abu Dhabi)
  • BEG - Verwendung für Serbien Central (Jovanovac)
  • BOG - Verwendung für Colombia Central (Bogota)
  • BOM - für "India West (Mumbai)"
  • CDG - für France Central (Paris) verwenden
  • CWL - für UK West (Newport)
  • DXB - für UAE East (Dubai)
  • FRA - für "Germany Central (Frankfurt)"
  • GRU - für "Brazil East (Sao Paulo)"
  • HSG - Verwendung für Indonesia North (Batam)
  • HYD: für India South (Hyderabad)
  • IAD - für "US East (Ashburn)"
  • ICN - für "South Korea Central (Seoul)"
  • JED - Für Saudi Arabia West (Dschidda) verwenden
  • JNB - für South Africa Central (Johannesburg)
  • KIX - Für Japan Central (Osaka) verwenden
  • LHR - für "UK South (London)"
  • LIN - für Italy Northwest (Mailand)
  • MAD - Verwendung für Spain Central (Madrid)
  • MEL - Für Australia Southeast (Melbourne) verwenden
  • MRS - für France South (Marseille)
  • MTY - für Mexiko Nordosten (Monterrey)
  • MTZ - für Israel Central (Jerusalem)
  • NRT - für "Japan East (Tokyo)"
  • ORD - Verwendung für US Midwest (Chicago)
  • PHX - für "US West (Phoenix)"
  • QRO - für Mexico Central (Queretaro) verwenden
  • RUH - Verwendung für Saudi Arabia Central (Riyadh)
  • SCL - für Chile Central (Santiago)
  • SIN - für Singapore (Singapur)
  • SJC: für US West (San Jose)
  • SYD - für "Australia East (Sydney)"
  • VAP - Verwendung für Chile West (Valparaiso)
  • VCP - für Brazil Southeast (Vinhedo)
  • XSP - für Singapore West (Singapur)
  • YNY: für South Korea North (Chuncheon)
  • YUL - Für Canada Southeast (Montreal) verwenden
  • YYZ - für "Canada Southeast (Toronto)"
  • ZRH - für "Switzerland North (Zurich)"
request.ad Zeichenfolge Der Name der Availability-Domain, in der die Anforderung erstellt wird. Um eine Liste der Availability-Domain-Namen abzurufen, verwenden Sie den Vorgang ListAvailabilityDomains.
request.principal.compartment.tag Zeichenfolge Die auf das Compartment, zu dem die anfordernde Ressource gehört, angewendeten Tags werden hinsichtlich einer Übereinstimmung ausgewertet. Anweisungen zur Verwendung finden Sie unter Tags zum Verwalten des Zugriffs verwenden.
request.principal.group.tag Zeichenfolge Die Tags, die auf die Gruppen angewendet wurden, zu denen der Benutzer gehört, werden für eine Übereinstimmung ausgewertet. Anweisungen zur Verwendung finden Sie unter Tags zum Verwalten des Zugriffs verwenden.
target.compartment.name Zeichenfolge Der Name des Compartments, das in target.compartment.id angegeben wird.
target.compartment.id Entity (OCID)

Die OCID des Compartments, das die primäre Ressource enthält.

Hinweis: target.compartment.id und target.compartment.name können nicht mit einem "List"-API-Vorgang verwendet werden, um die Liste basierend auf dem Zugriff des anfordernden Benutzers auf das Compartment zu filtern.

target.resource.compartment.tag Zeichenfolge Das auf das Ziel-Compartment der Anforderung angewendete Tag wird ausgewertet. Anweisungen zur Verwendung finden Sie unter Tags zum Verwalten des Zugriffs verwenden.
target.resource.tag Zeichenfolge Das auf die Zielressource der Anforderung angewendete Tag wird ausgewertet. Anweisungen zur Verwendung finden Sie unter Tags zum Verwalten des Zugriffs verwenden.