Oracle Cloud Infrastructure - Dokumentation

Policy-Referenz

Erhalten Sie einen Überblick über die Themen der IAM-Policy-Referenz, einschließlich Verben, Ressourcentypen und allgemeinen Variablen.

Diese Referenz umfasst:

Anweisungen zum Erstellen und Verwalten von Policys mit der Konsole oder API finden Sie unter Überblick über das Arbeiten mit Policys.

Verben

Die Verben werden von der geringsten Berechtigung bis zur umfassendsten Berechtigung in aufsteigender Reihenfolge aufgelistet. Die genaue Bedeutung eines Verbs hängt von dem Ressourcentyp ab, mit dem es kombiniert wird. In den Tabellen später in diesem Abschnitt werden die API-Vorgänge angezeigt, die von jeder Kombination aus Verb und Ressourcentyp abgedeckt werden.

Verb Zielbenutzer Abgedeckte Zugriffstypen
inspect Unabhängige Auditoren Möglichkeit, Ressourcen aufzulösen, ohne auf vertrauliche Informationen oder benutzerdefinierte Metadaten zuzugreifen, die Bestandteil dieser Ressource sein könnte. Wichtig: Der Vorgang zum Auflisten von Policys umfasst den Inhalt der Policys selbst. Die Auflistungsvorgänge für Networking-Ressourcentypen geben alle Informationen zurück (z.B. der Inhalt der Sicherheitslisten und Routentabellen).
read Interne Auditoren Umfasst inspect sowie die Möglichkeit, benutzerdefinierte Metadaten und die Ressource selbst abzurufen.
use Alltägliche Endbenutzer von Ressourcen Umfasst read sowie die Möglichkeit, mit vorhandenen Ressourcen zu arbeiten (die Aktionen sind je nach Ressourcentyp unterschiedlich). Umfasst die Möglichkeit, die Ressource mit Ausnahme von Ressourcentypen zu aktualisieren, bei denen der "update"-Vorgang dieselbe Auswirkung wie der "create"-Vorgang hat (z.B. UpdatePolicy, UpdateSecurityList usw.). In diesem Fall ist die "update"-Möglichkeit nur mit dem Verb manage verfügbar. Im Allgemeinen umfasst dieses Verb die Möglichkeit, diesen Ressourcentyp zu erstellen oder zu löschen.
manage Administratoren Umfasst alle Berechtigungen für die Ressource.

Ressourcentypen

Im Folgenden sind einige allgemeine Familienstammressourcentypen aufgeführt. Für die individuellen Ressourcentypen, aus denen jede Familie besteht, folgen Sie den Links.

IAM hat keinen Familienressourcentyp, nur individuelle. Weitere Informationen finden Sie unter Überblick über IAM-Policys oder Details für IAM ohne Identitätsdomains, je nachdem, ob Ihr Mandant mit Identitätsdomains verfügt oder nicht.

Allgemeine Variablen für alle Anforderungen

Sie verwenden Variablen, wenn Sie einer Policy Bedingungen hinzufügen. Weitere Informationen finden Sie unter Bedingungen. Dies sind die allgemeinen Variablen, die für alle Anforderungen anwendbar sind.

Name Typ Beschreibung
request.user.id Entity (OCID) Die OCID des anfordernden Benutzers.
request.user.name Zeichenfolge Name des anfordernden Benutzers.
request.user.mfaTotpVerified Boolescher Wert

Gibt an, ob der Benutzer im Rahmen der Multifaktorauthentifizierung (MFA) verifiziert wurde. Um den Zugriff nur auf MFA-verifizierte Benutzer einzuschränken, fügen Sie die folgende Bedingung hinzu:

where request.user.mfaTotpVerified='true'

Informationen zum Einrichten von MFA finden Sie unter Multifaktor-Authentifizierung verwalten.
request.groups.id Liste der Entitys (OCIDs) Die OCIDs der Gruppen, in denen sich der anfordernde Benutzer befindet.
request.permission Zeichenfolge Die angeforderte zugrunde liegende Berechtigung (siehe Berechtigungen).
request.operation Zeichenfolge Der Name des angeforderten API-Vorgangs (Beispiel: ListUsers).
request.networkSource.name Zeichenfolge Der Name der Netzwerkquellengruppe, die zulässige IP-Adressen angibt, von denen die Anforderung stammen kann. Weitere Informationen finden Sie unter Netzwerkquellen verwalten.
request.utc-timestamp Zeichenfolge Die im ISO 8601-Format angegebene UTC-Zeit, zu der die Anforderung übermittelt wird. Weitere Informationen finden Sie unter Zugriff auf Ressourcen basierend auf Zeitrahmen einschränken.
request.utc-timestamp.month-of-year Zeichenfolge Der Monat, in dem die Anforderung übermittelt wird, im numerischen ISO 8601-Format (Beispiel: '1', '2', '3', ... '12'). Weitere Informationen finden Sie unter Zugriff auf Ressourcen basierend auf Zeitrahmen einschränken.
request.utc-timestamp.day-of-month Zeichenfolge Der Tag des Monats, an dem die Anforderung übermittelt wird, im numerischen Format: '1' bis '31' Weitere Informationen finden Sie unter Zugriff auf Ressourcen basierend auf Zeitrahmen einschränken.
request.utc-timestamp.day-of-week Zeichenfolge Der Wochentag, an dem die Anforderung übermittelt wird, auf Englisch (Beispiel: 'Monday', 'Tuesday', 'Wednesday' usw.). Weitere Informationen finden Sie unter Zugriff auf Ressourcen basierend auf Zeitrahmen einschränken.
request.utc-timestamp.time-of-day Zeichenfolge Das UTC-Zeitintervall, in dem die Anforderung weitergeleitet wird, im ISO 8601-Format (Beispiel: '01:00:00Z' AND '02:01:00Z'). Weitere Informationen finden Sie unter Zugriff auf Ressourcen basierend auf Zeitrahmen einschränken.
request.region Zeichenfolge

Der aus drei Buchstaben bestehende Schlüssel für die Region, in der die Anforderung gestellt wird. Zulässige Werte sind:

Hinweis: Bei Quota Policys muss der Regionsname anstelle der folgenden 3-Buchstaben-Schlüsselwerte angegeben werden. Weitere Informationen finden Sie unter Beispielquoten.

  • AMS - Für Netherlands Northwest (Amsterdam) verwenden
  • ARN - für Sweden Central (Stockholm)
  • AUH - für UAE Central (Abu Dhabi)
  • BEG - Verwendung für Serbien Central (Jovanovac)
  • BOG - Verwendung für Colombia Central (Bogota)
  • BOM - für "India West (Mumbai)"
  • CDG - für France Central (Paris) verwenden
  • CWL - für UK West (Newport)
  • DXB - für UAE East (Dubai)
  • FRA - für "Germany Central (Frankfurt)"
  • GRU - für "Brazil East (Sao Paulo)"
  • HSG - Verwendung für Indonesia North (Batam)
  • HYD: für India South (Hyderabad)
  • IAD - für "US East (Ashburn)"
  • ICN - für "South Korea Central (Seoul)"
  • JED - Für Saudi Arabia West (Dschidda) verwenden
  • JNB - für South Africa Central (Johannesburg)
  • KIX - Für Japan Central (Osaka) verwenden
  • LHR - für "UK South (London)"
  • LIN - für Italy Northwest (Mailand)
  • NRQ - Verwendung für Italy North (Turin)
  • MAD - Verwendung für Spain Central (Madrid)
  • MEL - Für Australia Southeast (Melbourne) verwenden
  • MRS - für France South (Marseille)
  • MTY - Verwendung für Mexico Northeast (Monterrey)
  • MTZ - für Israel Central (Jerusalem)
  • NRT - für "Japan East (Tokio)"
  • ORD - Verwendung für US Midwest (Chicago)
  • ORF - Verwendung für Spain Central (Madrid 3)
  • PHX - für "US West (Phoenix)"
  • QRO - für Mexico Central (Queretaro) verwenden
  • RUH - Verwendung für Saudi Arabia Central (Riyadh)
  • SCL - Verwendung für Chile Central (Santiago)
  • SIN - für Singapur (Singapur)
  • SJC: für US West (San Jose)
  • SYD - für "Australia East (Sydney)"
  • VAP - Verwendung für Chile West (Valparaiso)
  • VCP - für Brazil Southeast (Vinhedo)
  • XSP - Verwendung für Singapore West (Singapur)
  • YNY: für South Korea North (Chuncheon)
  • YUL - Für Canada Southeast (Montreal) verwenden
  • YYZ - für "Canada Southeast (Toronto)"
  • ZRH - für "Switzerland North (Zürich)"
request.ad Zeichenfolge Der Name der Availability-Domain, in der die Anforderung erstellt wird. Verwenden Sie den Vorgang ListAvailabilityDomains, um eine Liste der Availability-Domain-Namen abzurufen.
request.principal.compartment.tag Zeichenfolge Die auf das Compartment, zu dem die anfordernde Ressource gehört, angewendeten Tags werden hinsichtlich einer Übereinstimmung ausgewertet. Anweisungen zur Verwendung finden Sie unter Tags zum Verwalten des Zugriffs verwenden.
request.principal.group.tag Zeichenfolge Die Tags, die auf die Gruppen angewendet wurden, zu denen der Benutzer gehört, werden für eine Übereinstimmung ausgewertet. Anweisungen zur Verwendung finden Sie unter Tags zum Verwalten des Zugriffs verwenden.
target.compartment.name Zeichenfolge Der Name des Compartments, das in target.compartment.id angegeben wird.
target.compartment.id Entity (OCID)

Die OCID des Compartments, das die primäre Ressource enthält.

Hinweis: target.compartment.id und target.compartment.name können nicht mit einem "List"-API-Vorgang verwendet werden, um die Liste basierend auf dem Zugriff des anfordernden Benutzers zu dem Compartment zu filtern.

target.resource.compartment.tag Zeichenfolge Das auf das Ziel-Compartment der Anforderung angewendete Tag wird ausgewertet. Anweisungen zur Verwendung finden Sie unter Tags zum Verwalten des Zugriffs verwenden.
target.resource.tag Zeichenfolge Das auf die Zielressource der Anforderung angewendete Tag wird ausgewertet. Anweisungen zur Verwendung finden Sie unter Tags zum Verwalten des Zugriffs verwenden.