Oracle Cloud Infrastructure - Dokumentation

Policys verwalten

In diesem Thema wird beschrieben, wie Sie Policys erstellen, aktualisieren und löschen.

Erforderliche IAM-Policy

Wenn Sie Mitglied der Administratorengruppe sind, haben Sie den erforderlichen Zugriff zum Verwalten von Policys.

Wenn Sie mit Policys nicht vertraut sind, finden Sie weitere Informationen unter Erste Schritte mit Policys und Allgemeine Policys. Ausführlichere Informationen zum Schreiben von Policys, mit denen Sie kontrollieren können, welche anderen Personen Policys schreiben oder andere IAM-Komponenten verwalten können, finden Sie unter Verwalten des Compartments durch einen Compartment-Administrator zulassen und Details zu IAM ohne Identitätsdomains.

Ressourcen taggen

Wenden Sie Tags auf Ihre Ressourcen an, um diese entsprechend Ihren Geschäftsanforderungen zu organisieren. Wenden Sie Tags beim Erstellen einer Ressource an, oder aktualisieren Sie die Ressource später mit den gewünschten Tags. Allgemeine Informationen zum Anwenden von Tags finden Sie unter Ressourcentags.

Mit Policys arbeiten

Falls noch nicht geschehen, machen Sie sich unter Funktionsweise von Policys mit den Grundlagen von Policys vertraut.

Wenn Sie eine Policy erstellen, müssen Sie das Compartment angeben, dem sie zugeordnet werden soll. Dies ist entweder der Mandant (das Root-Compartment) oder ein anderes Compartment. Wer die Policy später ändern oder löschen kann, hängt davon ab, welchem Compartment sie zugeordnet ist. Weitere Informationen finden Sie unter Policy-Zuordnung. Wenn Sie die Policy in der Konsole erstellen, ordnen Sie die Policy dem gewünschten Compartment zu, indem Sie die Policyin dem Compartment erstellen. Wenn Sie die API verwenden, geben Sie die ID des Compartments in der CreatePolicy-Anforderung an.

Beim Erstellen einer Policy müssen Sie außerdem einen nicht änderbaren Namen angeben. Der Name muss für alle Policys in dem Compartment, in dem Sie ihn erstellen, eindeutig sein. Sie müssen auch eineBeschreibung angeben. Hierbei handelt es sich um eine nicht eindeutige, änderbare Beschreibung für die Policy. Oracle weist der Policy auch eine eindeutige ID zu, die als Oracle Cloud-ID bezeichnet wird. Weitere Informationen finden Sie unter Ressourcen-IDs.

Hinweis

Wenn Sie eine Policy löschen und dann eine neue Policy mit demselben Namen erstellen, werden diese als unterschiedliche Policys betrachtet, weil sie unterschiedliche OCIDs haben.

Informationen zum Schreiben einer Policy finden Sie unter Funktionsweise von Policys und Policy-Syntax. Wenn Sie Policys mit der Konsole schreiben, können Sie mit dem Policy Builder die Syntax der Policys erstellen, die Sie hinzufügen möchten.

Wenn Sie eine Policy erstellen, Änderungen an einer vorhandenen Policy vornehmen oder eine Policy löschen, werden die Änderungen in der Regel innerhalb von 10 Sekunden wirksam.

Sie können eine Liste der Policys in der Konsole oder mit der API anzeigen. In der Konsole wird die Liste automatisch so gefiltert, dass nur die dem aktuell angezeigten Compartment zugeordneten Policys angezeigt werden. Um zu bestimmen, welche Policys für eine bestimmte Gruppe gelten, müssen Sie die einzelnen Anweisungen innerhalb aller Policys anzeigen. Es gibt keine Möglichkeit, diese Informationen automatisch in der Konsole oder API abzurufen.

Informationen zur Anzahl der Policys, die Sie haben können, finden Sie unter Servicelimits.

Policy-Anweisungen mit Policy Builder erstellen

Mit dem Policy Builder in der Konsole können Sie schnell allgemeine Policys erstellen, ohne die Policy-Anweisungen manuell eingeben zu müssen. Der Policy Builder schlägt automatisch die Berechtigungen vor, die Administratoren Gruppen von Benutzern oder Ressourcen in ihren Mandanten sowie Zielressourcen wie Instanzen, Netzwerken und Buckets erteilen können. Die meisten im Policy Builder vorgeschlagenen Policys finden Sie auch unter Allgemeine Policys. Dort erhalten Sie weitere Details zum Zugriff, der von jeder Policy und den jeweiligen Anwendungsfällen erteilt wird. Benutzer, die keine Vorschläge des Policy Builders benötigen oder komplexere Policy-Anforderungen haben, können die Option "Einfach" des Builders umgehen und direkt den erweiterten Editor verwenden. Dort können Sie die Policy-Anweisungen direkt in ein Textfeld in beliebigem Format eingeben.

Features von Policy Builder

Der Policy Builder stellt Policy-Vorlagen bereit, die Sie zum Erstellen von Policys für Ihren Mandanten ausfüllen können. Eine Policy-Vorlage enthält alle Anweisungen, die erforderlich sind, um die Berechtigungen zum Ausführen einer Aufgabe oder einer Gruppe von zugehörigen Aufgaben in einem Service in OCI bereitzustellen. Um die Vorlage auszufüllen, wählen Sie die Gruppe in einem Menü mit vorhandenen Gruppen aus, und wählen Sie den Speicherort aus der Liste der Compartments in Ihrem Mandanten aus.

Die Policy-Vorlagen im Policy Builder werden nach Anwendungsfall gruppiert, z.B. Netzwerkmanagement, Speicherverwaltung und Accountverwaltung, damit sie einfach durchsucht werden können und das erforderliche Berechtigungsset leicht zu finden ist.

Beispiel: Angenommen, Sie richten die Netzwerkadministratoren für Ihren Mandanten ein. Sie müssen einer Benutzergruppe die Berechtigungen erteilen, die für die Arbeit mit allen Ressourcen im Networking-Service erforderlich sind. So erstellen Sie diese Policy im Policy Builder:

  • Suchen Sie zunächst die gewünschte Policy: Wählen Sie im Menü Policy-Anwendungsfälle die Option "Netzwerkmanagement" aus. Wenn Sie nicht sicher sind, zu welchem Anwendungsfall eine Policy gehört, können Sie diese Option auf "Alle" setzen, um alle Vorlagen zu durchsuchen.
  • Wählen Sie im Menü Allgemeine Policy-Vorlagen die Option "Verwalten eines Cloud-Netzwerks durch Netzwerkadministratoren zulassen".

    Der Policy Builder zeigt die Policy-Anweisungen an, die erstellt werden. In diesem Fall gibt es nur eine Anweisung:

    Allow {group name} to manage virtual-network-family in {location}
  • Jetzt müssen Sie nur die Gruppe und den Speicherort für die Policy auswählen: Wenn Sie eine Gruppe auswählen, wird auch der {group name} in der angezeigten Policy-Anweisung mit Ihrer Auswahl aktualisiert.
  • Wählen Sie zum Schluss den Speicherort aus. Sie können die Compartment-Hierarchie durchgehen, um das entsprechende Compartment zu suchen und auszuwählen. Um die Policy im Mandanten zu erstellen, wählen Sie das Root Compartment aus.

    Diese Abbildung zeigt den Policy Builder mit der Policy für Netzwerkadministratoren

Policys anpassen

Wenn Sie feststellen, dass eine Vorlage nicht Ihren Anforderungen entspricht, können Sie die bereitgestellten Policys anpassen, indem Sie Anweisungen hinzufügen oder entfernen, Bedingungen hinzufügen oder andere Änderungen vornehmen, um die erforderliche Policy zu erstellen. Klicken Sie auf Anpassen (erweitert), um die Anweisungen in einem Freitextfeld zu bearbeiten. Wenn Sie Anweisungen direkt in das Textfeld eingeben, müssen Sie die Regeln der Policy-Syntax befolgen.

Beispiele für die Anpassung der Policy für Netzwerkadministratoren:

  • Sie müssen eine andere Gruppe, GroupB, in diese Policy aufnehmen. So fügen Sie eine Gruppe hinzu:

    Klicken Sie auf Anpassen (Advanced). Geben Sie im Textfeld die Änderungen an der Policy ein (nach der erforderlichen Syntax). 

    Allow group GroupA, GroupB to manage virtual-network-family in compartment CompartmentA

    Diese Abbildung zeigt das Textfeld im erweiterten Policy Builder mit bearbeiteter Anweisung

  • Sie müssen der Anweisung eine Bedingung hinzufügen. Beispiel: Sie möchten sicherstellen, dass nur Benutzer, die mit MFA verifiziert wurden, Ihre Netzwerke verwalten können. Sie können diese Bedingung wie folgt zur Anweisung hinzufügen:
    Allow group GroupA to manage virtual-network-family in compartment CompartmentA where request.user.mfaTotpVerified='true'

    Diese Abbildung zeigt das Textfeld im erweiterten Policy Builder mit bearbeiteter Anweisung

  • Sie möchten der Policy eine weitere Anweisung hinzufügen. Beispiel: Sie möchten, dass GroupA Instanzen verwenden darf. Um eine weitere Anweisung hinzuzufügen, geben Sie sie in die nächste Zeile ein:
    Allow group GroupA to manage virtual-network-family in compartment CompartmentA
Allow group GroupA to use instance-family in compartment CompartmentA
  • Diese Abbildung zeigt das Textfeld im erweiterten Policy Builder mit bearbeiteter Anweisung

Policys mit dem Policy Builder bearbeiten

Nachdem Sie die Policy erstellt haben, können Sie alle erforderlichen Anweisungsänderungen direkt im Policy-Text eingeben. Die Vorlagenauswahl ist nur beim Erstellen einer neuen Policy verfügbar. Mit dem Editor können Sie Anweisungen löschen, hinzufügen, bearbeiten oder ihre Reihenfolge ändern.

Diese Abbildung zeigt den erweiterten Editor des Policy Builders mit zwei Anweisungen

Konsole verwenden

So erstellen Sie eine Policy

Voraussetzung: Die Gruppe und das Compartment, für die Sie die Policy schreiben, müssen bereits vorhanden sein.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Policys. Eine Liste der Policys im angezeigten Compartment wird angezeigt.
  2. Klicken Sie auf Policy erstellen.
  3. Geben Sie Folgendes ein:
    • Name: Ein eindeutiger Name für die Policy. Der Name muss in allen Policys in Ihrem Mandanten eindeutig sein. Sie können diese Angabe später nicht ändern. Geben Sie keine vertraulichen Informationen ein.
    • Beschreibung: Eine aussagekräftige Beschreibung. Sie können diese später bei Bedarf ändern.
    • Compartment: Wenn Sie die Policy einem anderen Compartment als dem angezeigten Compartment zuordnen möchten, wählen Sie dieses in der Liste aus. Wer die Policy später ändern oder löschen kann, hängt davon ab, welchem Compartment Sie die Policy zuordnen (siehe Policy-Zuordnung).
  4. Geben Sie die Policy-Anweisungen mit dem Policy Builder ein. Verwenden Sie die Option Einfach, wenn Sie aus allgemeinen Policy-Vorlagen auswählen möchten, die Sie auch anpassen können. Verwenden Sie die Option Anpassen (erweitert), wenn Sie bereits wissen, wie Sie die erforderlichen Anweisungen schreiben und diese einfach in ein Textfeld eingeben möchten.
    So verwenden Sie die Policy Builder-Option Einfach:
    1. Wählen Sie im Menü Policy-Anwendungsfälle eine Option aus, um die Liste der Policy-Vorlagen zu filtern. Wenn Sie nicht sicher sind, welchen Anwendungsfall Sie auswählen sollen, können Sie alle Vorlagen in der Liste Allgemeine Policy-Vorlagen durchsuchen.
    2. Wählen Sie in der Liste Allgemeine Policy-Vorlagen die Vorlage aus, die Ihren Anforderungen am besten entspricht.

      Der Policy Builder zeigt die Beschreibung der ausgewählten Policy und die darin enthaltenen Policy-Anweisungen an.

    3. Wählen Sie die Gruppe aus, für die diese Policy gilt.
    4. Wählen Sie einen Speicherort aus. Der Speicherort ist das Compartment, auf das diese Policy Zugriff erteilt. Das hier ausgewählte Compartment muss entweder das Compartment sein, dem Sie in Schritt 3 die Policy zugeordnet haben, oder ein Compartment in der Hierarchie jenes Compartments.
    5. Wenn Sie die Policy-Anweisungen ändern müssen, klicken Sie auf Anpassen (erweitert).
    So verwenden Sie die Option Anpassen (erweitert) :
    1. Klicken Sie auf Anpassen (Advanced) .
    2. Geben Sie Policy-Anweisungen in dem unter Policy-Syntax beschriebenen Format ein, oder bearbeiten Sie sie. Geben Sie dazu eine Anweisung pro Zeile ein.
  5. Um dieser Policy Tags hinzuzufügen, klicken Sie auf Erweiterte Optionen anzeigen. Wenn Sie über Berechtigungen zum Erstellen einer Ressource verfügen, sind Sie auch berechtigt, Freiformtags auf diese Ressource anzuwenden. Um ein definiertes Tag anzuwenden, benötigen Sie die Berechtigungen zum Verwenden des Tag-Namespace. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Sie Tags anwenden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.
  6. Wenn Sie eine weitere Policy erstellen möchten, wählen Sie Weitere Policy erstellen aus.
  7. Klicken Sie auf Erstellen.

Die neue Policy wird in der Regel innerhalb von 10 Sekunden wirksam.

So rufen Sie eine Liste Ihrer Policys ab

Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Policys. Eine Liste der Policys in dem Compartment, das Sie aktuell anzeigen, wird angezeigt. Wenn Sie Policys anzeigen möchten, die einem anderen Compartment zugeordnet sind, wählen Sie dieses Compartment in der Liste auf der linken Seite aus. Sie können keine einzelne Liste aller Policys abrufen. Sie werden immer nach Compartment angezeigt.

Um zu bestimmen, welche Policys für eine bestimmte Gruppe gelten, müssen Sie die einzelnen Anweisungen innerhalb aller Policys anzeigen. Es gibt keine Möglichkeit, diese Informationen automatisch in der Konsole abzurufen.

So aktualisieren Sie die Beschreibung für eine vorhandene Policy

Diese Option ist nur über die API verfügbar. Als Workaround können Sie eine neue Policy mit der neuen Beschreibung erstellen und die alte Policy löschen.

So aktualisieren Sie die Anweisungen in einer vorhandenen Policy
  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Policys. Eine Liste der Policys im angezeigten Compartment wird angezeigt. Wenn Sie den gewünschten Wert nicht sehen, prüfen Sie, ob Sie das korrekte Compartment anzeigen (in der Liste links auf der Seite auswählen).
  2. Klicken Sie auf die Policy, die Sie aktualisieren möchten. Die Details und Anweisungen der Policy werden angezeigt.
  3. Klicken Sie auf Policy-Anweisungen bearbeiten. Verwenden Sie die Policy Builder-Option Einfach, wenn Sie mit den Anweisungen mithilfe grafischer Steuerelemente interagieren möchten. Mit der Policy Builder-Option Erweitert können Sie die Anweisungen in einem einfachen Textfeld bearbeiten.

    So verwenden Sie die Option Einfach:

    • Um eine Anweisung zu ändern, geben Sie die Änderungen in dem unter Policy-Grundlagen und Policy-Syntax beschriebenen Format ein.
    • Um eine Anweisung hinzuzufügen, klicken Sie auf + Weitere Anweisung, und geben Sie die Anweisung im erforderlichen Format ein.
    • Um eine Anweisung zu löschen, klicken Sie auf das X neben der Anweisung.
    • Um die Reihenfolge der Anweisungen zu ändern, bringen Sie die Anweisungen durch Verschieben mit den Nach-oben- und Nach-unten-Pfeilen in die richtige Reihenfolge, oder ziehen Sie sie am Ziehpunkt per Drag-and-Drop an die gewünschte Position.
    So verwenden Sie die Option Erweitert:
  4. Klicken Sie auf Änderungen speichern, wenn Sie mit der Bearbeitung fertig sind.

Ihre Änderungen werden in der Regel innerhalb von 10 Sekunden wirksam.

So löschen Sie eine Policy
  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Policys. Eine Liste der Policys im angezeigten Compartment wird angezeigt. Wenn Sie den gewünschten Wert nicht sehen, prüfen Sie, ob Sie das korrekte Compartment anzeigen (in der Liste links auf der Seite auswählen).
  2. Klicken Sie für die zu löschende Policy auf Löschen.
  3. Bestätigen Sie den Vorgang, wenn Sie dazu aufgefordert werden.

Ihre Änderungen werden in der Regel innerhalb von 10 Sekunden wirksam.

API verwenden

Informationen zur Verwendung der API und zu Signieranforderungen finden Sie unter REST-API-Dokumentation und Sicherheitszugangsdaten. Informationen zu SDKs finden Sie unter SDKs und die CLI.

Hinweis

Aktualisierungen werden nicht über alle Regionen hinweg sofort wirksam

Ihre IAM-Ressourcen befinden sich in Ihrer Hauptregion. Um eine Policy für alle Regionen durchzusetzen, repliziert der IAM-Service Ihre Ressourcen in jeder Region. Wenn Sie eine Policy, einen Benutzer oder eine Gruppe erstellen oder ändern, werden die Änderungen zuerst in der Hauptregion wirksam und werden dann an die anderen Regionen propagiert. Es kann mehrere Minuten dauern, bis die Änderungen in allen Regionen wirksam werden. Beispiel: Angenommen, Sie haben eine Gruppe mit Berechtigungen zum Starten von Instanzen im Mandanten. Wenn Sie "UserA" zu dieser Gruppe hinzufügen, kann "UserA" innerhalb einer Minute Instanzen in Ihrer Hauptregion starten. "UserA" kann jedoch erst Instanzen in anderen Regionen starten, wenn der Replikationsprozess abgeschlossen ist. Dieser Prozess kann mehrere Minuten dauern. Wenn "UserA" vor Abschluss des Replikationsvorgangs versucht, eine Instanz zu starten, wird ein Fehler ("Nicht autorisiert") angezeigt.

Verwenden Sie die folgenden API-Vorgänge zum Verwalten von Policys: