Services von einer Instanz aufrufen

In dieser Prozedur wird beschrieben, wie Sie eine Compute-Instanz autorisieren können, API-Aufrufe in Oracle Cloud Infrastructure-Services auszuführen. Wenn die erforderlichen Ressourcen und Policys eingerichtet wurden, kann eine auf einer Instanz ausgeführte Anwendung öffentliche Oracle Cloud Infrastructure-Services aufrufen. Sie müssen hierzu keine Benutzerzugangsdaten oder Konfigurationsdateien konfigurieren.

DYNAMIC GROUP

Mit dynamischen Gruppen können Sie Oracle Cloud Infrastructure Compute-Instanzen als Principal-Akteure gruppieren, ähnlich wie Benutzergruppen. Sie können dann Policys erstellen, mit denen Instanzen in diesen Gruppen API-Aufrufe für Oracle Cloud Infrastructure-Services ausführen können. Die Mitgliedschaft in der Gruppe wird durch eine Gruppe von definierten Kriterien bestimmt, die als Übereinstimmungsregeln bezeichnet werden.

MATCHING RULE

Wenn Sie eine dynamische Gruppe einrichten, definieren Sie auch die Regeln für die Mitgliedschaft in der Gruppe. Ressourcen, die den Regelkriterien entsprechen, sind Mitglieder der dynamischen Gruppe. Übereinstimmungsregeln haben eine bestimmte Syntax, die Sie befolgen müssen. Informationen hierzu finden Sie unter Übereinstimmungsregeln zum Definieren dynamischer Gruppen schreiben.

INSTANCE PRINCIPALS

Das IAM-Servicefeature, mit dem Compute-Instanzen als autorisierte Akteure (oder Principals) Aktionen für Serviceressourcen ausführen können. Jede Compute-Instanz hat eine eigene Identität und authentifiziert die Zertifikate, die ihr hinzugefügt werden. Diese Zertifikate werden automatisch erstellt, Instanzen zugewiesen und rotiert, sodass Sie keine Zugangsdaten an die Hosts verteilen und sie rotieren müssen.

Jeder Benutzer, der Zugriff auf die Compute-Instanz hat (der mit SSH auf die Instanz zugreifen kann), erbt automatisch die Berechtigungen, die der Instanz erteilt wurden. Bevor Sie einer Instanz über den in diesem Thema beschriebenen Prozess Berechtigungen erteilen, stellen Sie sicher, dass Sie wissen, welche Benutzer auf sie zugreifen können (entweder weil sie über den SSH-Schlüssel verfügen oder Sie sie als Benutzer zur Instanz hinzugefügt haben), und dass sie mit den Berechtigungen autorisiert werden müssen, die Sie der Instanz erteilen.

Alle Principals der Compute-Instanz erhalten die Berechtigung compartment_inspect. Sie können diese Berechtigung nicht entziehen. Mit dieser Berechtigung kann die Instanz die Compartments im Mandanten auflisten und die folgenden Informationen abrufen:

• Compartment-Namen
• Compartment-Beschreibungen
• Auf Compartments angewendete Freiformtags
• Auf Compartments angewendete automatische Tagstandardwerte Diese Tags, wie CreatedBy und CreatedOn, befinden sich im Oracle-Tag-Namespace und werden automatisch von Oracle hinzugefügt.