Berechtigungen

Um die Beziehung zwischen Berechtigungen und Verben zu verstehen, sehen wir uns ein Beispiel an. Mit einer Policy-Anweisung, die einer Gruppe Zugriff auf inspect volumes erteilt, erhält die Gruppe eigentlich Zugriff auf eine Berechtigung mit dem Namen "VOLUME_INSPECT" (Berechtigungen werden immer in Großbuchstaben und mit Unterstrichen geschrieben). Im Allgemeinen kann der Benutzer mit dieser Berechtigung Informationen zu Block-Volumes abrufen.

Bei den Verben inspect > read > use > manage wird die Zugriffsebene im Allgemeinen immer weiter erhöht, und die erteilten Berechtigungen sind kumulativ. In der folgenden Tabelle werden die Berechtigungen angezeigt, die jedes Verb für den Ressourcentyp volumes umfasst. Beachten Sie, dass keine zusätzlichen Berechtigungen von inspect bis read erteilt werden.

In der Policy-Referenz werden die Berechtigungen aufgelistet, die jedes Verb für jeden angegebenen Ressourcentyp umfasst. Informationen zu Block-Volumes und anderen Ressourcen, die von Coreservices abgedeckt werden, finden Sie beispielsweise in den Tabellen unter Details für Kombinationen aus Verb + Ressourcentyp. In der linken Spalte jeder dieser Tabellen werden die Berechtigungen aufgeführt, die jedes Verb umfasst. Die anderen Abschnitte der Policy-Referenz enthalten dieselben Informationen für die anderen Services.

Für jeden API-Vorgang muss der Aufrufer Zugriff auf mindestens eine Berechtigung haben. Beispiel: Um ListVolumes oder GetVolume zu verwenden, müssen Sie Zugriff auf eine einzelne Berechtigung haben: VOLUME_INSPECT. Damit Sie ein Volume an eine Instanz anhängen können, müssen Sie Zugriff auf mehrere Berechtigungen haben. Einige Berechtigungen beziehen sich auf den Ressourcentyp volumes, einige auf den Ressourcentyp volume-attachments und einige auf den Ressourcentyp instances:

• VOLUME_WRITE
• VOLUME_ATTACHMENT_CREATE
• INSTANCE_ATTACH_VOLUME

In der Policy-Referenz ist aufgeführt, welche Berechtigungen für die einzelnen API-Vorgänge erforderlich sind. Informationen zu den API-Vorgängen für Coreservices finden Sie beispielsweise in der Tabelle unter Für jeden API-Vorgang erforderliche Berechtigungen.

Die Policy-Sprache ist so konzipiert, dass Sie einfache Anweisungen schreiben können, die nur Verben und Ressourcentypen umfassen, ohne die gewünschten Berechtigungen in der Anweisung angeben zu müssen. Es gibt jedoch Situationen, in denen ein Mitglied des Sicherheitsteams oder ein Auditor die spezifischen Berechtigungen verstehen möchte, die ein bestimmter Benutzer hat. In den Tabellen in der Policy-Referenz werden jedes Verb und die zugehörigen Berechtigungen angezeigt. Sie können die Gruppen, denen der Benutzer angehört, und die Policys prüfen, die für diese Gruppen anwendbar sind. Hier können Sie eine Liste der erteilten Berechtigungen kompilieren. Mit einer Liste der Berechtigungen ist jedoch noch nicht das komplette Konzept abgedeckt. Bedingungen in einer Policy-Anweisung können den Geltungsbereich des Benutzerzugriffs über einzelne Berechtigungen hinaus einschränken (siehe nächster Abschnitt). Außerdem gibt jede Policy-Anweisung ein bestimmtes Compartment an und kann Bedingungen enthalten, die den Zugriff nur auf bestimmte Ressourcen in diesem Compartment einschränken können.