Policy-Vorlagen für Policy Builder

Dieser Abschnitt enthält einige allgemeine Policys, die Sie in Ihrem Unternehmen verwenden können.

Hinweis

Die Gruppen- und Compartment-Namen in diesen Policys sind Beispiele. Ersetzen Sie sie durch Ihre eigenen Namen.

Verwalten von Benutzern durch Helpdesk zulassen

Zugriffstyp: Bietet die Möglichkeit, Benutzer und deren Zugangsdaten zu erstellen, zu aktualisieren und zu löschen. Sie umfasst nicht die Fähigkeit, Benutzer in Gruppen aufzunehmen.

Wo wird die Policy erstellt: Im Mandanten, da sich Benutzer im Mandanten befinden.

Allow group HelpDesk to manage users in tenancy

Prüfen Ihrer Ressourcen durch Auditoren zulassen

Zugriffstyp: Bietet die Möglichkeit, die Ressourcen in allen Compartments aufzulisten. Beachten Sie dabei Folgendes:

Der Vorgang zur Auflistung von IAM-Policys umfasst die Inhalte der Policys selbst
Die Auflistungsvorgänge für Networking-Ressourcentypen geben alle Informationen zurück (z.B. der Inhalt von Sicherheitslisten und Routentabellen).
Der Vorgang zum Auflisten von Instanzen erfordert das Verb read anstelle von inspect. Die Inhalte umfassen die vom Benutzer bereitgestellten Metadaten.
Der Vorgang zum Anzeigen von Audit-Serviceereignissen erfordert das Verb read anstelle von inspect.

Wo wird die Policy erstellt: Im Mandanten. Dank des Konzepts der Policenvererbung können Auditoren dann den Mandanten sowie alle darunter liegenden Compartments prüfen. Benötigen die Auditoren keinen Zugriff auf den gesamten Mandanten, können Sie ihren Zugriff auch auf bestimmte Compartments einschränken.

Allow group Auditors to inspect all-resources in tenancy

Allow group Auditors to read instances in tenancy

Allow group Auditors to read audit-events in tenancy

Verwalten eines Cloud-Netzwerks durch Netzwerkadministratoren zulassen

Zugriffstyp: Bietet die Möglichkeit, alle Komponenten in Networking zu verwalten. Dazu gehören Cloud-Netzwerke, Subnetze, Gateways, Virtual Circuits, Sicherheitslisten, Routentabellen usw. Wenn die Netzwerkadministratoren Instanzen zum Testen der Netzwerkkonnektivität starten müssen, finden Sie weitere Informationen hierzu unter Starten von Compute-Instanzen durch Benutzer zulassen.

Wo wird die Policy erstellt: Im Mandanten. Dank des Konzepts der Policy-Vererbung kann die Gruppe NetworkAdmins dann ein Cloud-Netzwerk in jedem beliebigen Compartment verwalten. Um den Geltungsbereich des Zugriffs auf ein bestimmtes Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.

Allow group NetworkAdmins to manage virtual-network-family in tenancy

Verwalten von Load Balancern durch Netzwerkadministratoren zulassen

Zugriffstyp: Bietet die Möglichkeit, alle Komponenten in Load Balancer zu verwalten. Wenn die Gruppe Instanzen starten muss, finden Sie weitere Informationen hierzu unter Starten von Compute-Instanzen durch Benutzer zulassen.

Wo wird die Policy erstellt: Im Mandanten. Dank des Konzepts der Policy-Übernahme kann die Gruppe NetworkAdmins Load Balancer in einem beliebigen Compartment verwalten. Um den Geltungsbereich des Zugriffs auf ein bestimmtes Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.

Allow group NetworkAdmins to manage load-balancers in tenancy

Wenn die Gruppe die Konsole zur Verwaltung von Load Balancern verwenden, ist eine zusätzliche Policy zur Verwendung der verknüpften Netzwerkressourcen erforderlich:

Allow group NetworkAdmins to manage load-balancers in tenancy

Allow group NetworkAdmins to use virtual-network-family in tenancy

Wenn eine bestimmte Gruppe vorhandene Load Balancer aktualisieren (z.B. das Backend-Set ändern), sie jedoch nicht erstellen oder löschen muss, verwenden Sie diese Anweisung:

Allow group LBUsers to use load-balancers in tenancy

Starten von Compute-Instanzen durch Benutzer zulassen

Zugriffstyp: Bietet die Möglichkeit, alle Aktionen im Zusammenhang mit Instanzen durchzuführen, die in dem Cloud-Netzwerk und in den Subnetzen in Compartment XYZ gestartet wurden. Dazu gehört auch der Zuordnen bzw. das Aufheben der Zuordnung aller vorhandenen Volumes, die bereits in Compartment ABC vorhanden sind. Mit der ersten Anweisung kann die Gruppe außerdem Instanzimages in Compartment "ABC" erstellen und verwalten. Wenn die Gruppe keine Volumes zuordnen bzw. deren Zuordnung aufheben muss, können Sie die Anweisung volume-family löschen.

Wo wird die Policy erstellt: Am einfachsten ist es, diese Policy im Mandanten zu erstellen. Wenn die Administratoren der einzelnen Compartments (ABC und XYZ) die einzelnen Policy-Anweisungen ihrer Compartments selbst kontrollieren sollen, finden Sie weitere Informationen dazu unter Policy-Vererbung.

Allow group InstanceLaunchers to manage instance-family in compartment ABC
Allow group InstanceLaunchers to read app-catalog-listing in tenancy
Allow group InstanceLaunchers to use volume-family in compartment ABC
Allow group InstanceLaunchers to use virtual-network-family in compartment XYZ

Informationen dazu, wie Benutzer neue Cloud-Netzwerke und Subnetze erstellen können, finden Sie unter Verwalten eines Cloud-Netzwerks durch Netzwerkadministratoren zulassen.

Damit Benutzer bestimmen können, ob Kapazität für eine bestimmte Ausprägung verfügbar ist, bevor sie eine Instanz erstellen, fügen Sie der Policy die folgende Anweisung hinzu:

Allow group InstanceLaunchers to manage compute-capacity-reports in tenancy

Starten von Compute-Instanzen über ein bestimmtes benutzerdefiniertes Image durch Benutzer zulassen

Zugriffstyp: Bietet die Möglichkeit, Instanzen im Cloud-Netzwerk und in Subnetzen in Compartment XYZ mit nur dem angegebenen benutzerdefinierten Image zu starten. Die Policy umfasst auch die Möglichkeit, vorhandene Volumes, die bereits in Compartment ABC vorhanden sind, anzuhängen/zu trennen. Wenn die Gruppe keine Volumes anhängen bzw. treffen muss, können Sie die Anweisung volume-family löschen.

Um mehrere benutzerdefinierte Images anzugeben, können Sie Bedingungen verwenden.

Allow group ImageUsers to inspect instance-images in compartment ABC
Allow group ImageUsers to {INSTANCE_IMAGE_READ} in compartment ABC where target.image.id='<image_OCID>'
Allow group ImageUsers to manage instances in compartment ABC
Allow group ImageUsers to read app-catalog-listing in tenancy
Allow group ImageUsers to use volume-family in compartment ABC
Allow group ImageUsers to use virtual-network-family in compartment XYZ

Verwalten von benutzerdefinierten Images durch Imageadministratoren zulassen

Zugriffstyp: Bietet die Möglichkeit, alle Aktionen in Bezug auf benutzerdefinierte Images und Compute-Instanzen auszuführen. Umfasst auch die Möglichkeit, alle Vorgänge mit Object Storage-Buckets, -Objekten und -Namespace in Compartment Y auszuführen (zum Erstellen der Images aus Objekten und Erstellen vorab authentifizierter Anforderungen in Images), alle vorhandenen Volumes in Compartment X anzuhängen/zu trennen und Instanzen in Compartment X anzuhängen/zu trennen und in den Subnetzen in Compartment Z zu starten (zum Erstellen neuer Instanzen, auf die ein Image basieren sollte). Wenn die Gruppe keine Volumes anhängen bzw. treffen muss, können Sie die Anweisung volume-family löschen.

Wo wird die Policy erstellt: Am einfachsten ist es, diese Policy im Mandanten zu erstellen. Wenn die Administratoren der einzelnen Compartments (X, Y und Z) die einzelnen Policy-Anweisungen ihrer Compartments selbst kontrollieren sollen, finden Sie weitere Informationen dazu unter Policy-Vererbung.

Allow group ImageAdmins to manage instances in compartment X
Allow group ImageAdmins to manage instance-images in compartment X
Allow group ImageAdmins to read app-catalog-listing in tenancy
Allow group ImageAdmins to manage object-family in compartment Y
Allow group ImageAdmins to use volume-family in compartment X
Allow group ImageAdmins to use virtual-network-family in compartment Z

Verwalten von Compute-Instanzkonfigurationen, Instanzpools und Clusternetzwerken durch Benutzer zulassen

Zugriffstyp: Bietet die Möglichkeit, alle Aktionen in Bezug auf Instanzkonfigurationen, Instanzpools und Clusternetzwerke in allen Compartments auszuführen.

Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Übernahme erteilt wird Um den Geltungsbereich des Zugriffs nur auf die Instanzkonfigurationen, Instanzpools und Clusternetzwerke in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.

Allow group InstancePoolAdmins to manage compute-management-family in tenancy

Wenn eine Gruppe Instanzkonfigurationen mit vorhandenen Instanzen als Vorlage erstellen muss und dazu die API, SDKs oder Befehlszeilenschnittstelle (CLI) verwendet, fügen Sie die folgenden Anweisungen zur Policy hinzu:

Allow group InstancePoolAdmins to read instance-family in tenancy
Allow group InstancePoolAdmins to inspect volumes in tenancy

Wenn eine bestimmte Gruppe die Instanzen in vorhandenen Instanzpools starten, stoppen oder zurücksetzen, aber keine Instanzpools erstellen oder löschen muss, verwenden Sie diese Anweisung:

Allow group InstancePoolUsers to use instance-pools in tenancy

Wenn vom Instanzpool verwendete Ressourcen Standardtags enthalten, fügen Sie der Policy die folgende Anweisung hinzu, um der Gruppe die Berechtigung für den Tag-Namespace Oracle-Tags zu erteilen:

Allow group InstancePoolUsers to use tag-namespaces in tenancy where target.tag-namespace.name = 'oracle-tags'

Wenn die vom Instanzpool verwendete Instanzkonfiguration Instanzen in einer Kapazitätsreservierung startet, fügen Sie die folgende Anweisung zur Policy hinzu:

Allow service compute_management to use compute-capacity-reservations in tenancy

Wenn das Boot-Volume, das in der Instanzkonfiguration zum Erstellen eines Instanzpools verwendet wird, mit einem KMS-Schlüssel verschlüsselt ist, fügen Sie der Policy die folgende Anweisung hinzu:

allow service compute, blockstorage, compute_management to use key-family in compartment <compartment_id/<tenant_id>>

Verwalten von Compute-Autoscaling-Konfigurationen durch Benutzer zulassen

Zugriffstyp: Bietet die Möglichkeit, Autoscaling-Konfigurationen zu erstellen, zu aktualisieren und zu löschen.

Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Übernahme erteilt wird Um den Geltungsbereich des Zugriffs nur auf die Autoscaling-Konfigurationen in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.

Allow group AutoscalingAdmins to manage auto-scaling-configurations in tenancy
Allow group AutoscalingAdmins to manage instance-pools in tenancy

Auflisten und Abonnieren von Images aus dem Partnerimagekatalog durch Benutzer zulassen

Zugriffstyp: Bietet die Möglichkeit, Abonnements für Images im Partnerimagekatalog aufzulisten und zu erstellen. Beinhaltet nicht das Erstellen von Instanzen mit Images aus dem Partnerimagekatalog (siehe Starten von Compute-Instanzen durch Benutzer zulassen).

Wo wird die Policy erstellt: Im Mandanten. Um den Geltungsbereich des Zugriffs nur auf das Erstellen von Abonnements in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten in der dritten Anweisung an.

Allow group CatalogSubscribers to inspect app-catalog-listing in tenancy
Allow group CatalogSubscribers to read app-catalog-listing in tenancy
Allow group CatalogSubscribers to manage app-catalog-listing in tenancy

Erstellen von Konsolenverbindungen für Compute-Instanzen durch Benutzer zulassen

Zugriffstyp: Bietet die Möglichkeit, Instanzkonsolenverbindungen zu erstellen.

Wo wird die Policy erstellt: Im Mandanten.

Allow group <group_name> to manage instance-console-connection in tenancy
Allow group <group_name> to read instance in tenancy

Verwalten dedizierter Compute-Hosts für virtuelle Maschinen durch Benutzer zulassen

Zugriffstyp: Bietet die Möglichkeit, dedizierte Hosts für virtuelle Maschinen zu erstellen, zu aktualisieren und zu löschen sowie Instanzen auf dedizierten Hosts für virtuelle Maschinen zu starten.

Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Übernahme erteilt wird Um den Geltungsbereich des Zugriffs nur auf die dedizierten Hosts für virtuelle Maschinen und Instanzen in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.

Allow group DedicatedVMHostAdmins to manage dedicated-vm-hosts in tenancy
Allow group DedicatedVMHostAdmins to manage instances in tenancy

Starten von Compute-Instanzen auf dedizierten Hosts für virtuelle Maschinen durch Benutzer zulassen

Zugriffstyp: Bietet die Möglichkeit, Instanzen auf dedizierten Hosts für virtuelle Maschinen zu starten.

Allow group DedicatedVMHostAdmins to use dedicated-vm-hosts in tenancy
Allow group DedicatedVMHostAdmins to manage instances in tenancy

Verwalten von Block-Volumes, Backups und Volume-Gruppen durch Volume-Administratoren zulassen

Zugriffstyp: Bietet die Möglichkeit, alle Aktionen in Bezug auf Blockspeicher-Volumes, Volume-Backups und Volume-Gruppen in allen Compartments auszuführen, beinhaltet aber nicht das regionsübergreifende Kopieren von Volume-Backups. Dies ist sinnvoll, wenn eine einzelne Gruppe von Volume-Administratoren alle Volumes, Volume-Backups und Volume-Gruppen in allen Compartments verwalten soll. Die zweite Anweisung ist erforderlich, um die Volumes Instanzen zuzuordnen bzw. die Zuordnung aufzuheben.

Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Übernahme erteilt wird Um den Geltungsbereich des Zugriffs nur auf die Volumes/Backups und Instanzen in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.

Allow group VolumeAdmins to manage volume-family in tenancy

Allow group VolumeAdmins to use instance-family in tenancy

Wenn die Gruppe auch Volume-Backups und Boot-Volume-Backups regionsübergreifend kopieren muss, fügen Sie der Policy die folgenden Anweisungen hinzu:

Allow group VolumeAdmins to use volume-backups in tenancy where request.permission='VOLUME_BACKUP_COPY'
Allow group VolumeAdmins to use boot-volume-backups in tenancy where request.permission='BOOT_VOLUME_BACKUP_COPY'

Nur das Verwalten von Backups durch Volume-Backupadministratoren zulassen

Zugriffstyp: Bietet die Möglichkeit, alle Aktionen in Bezug auf Volume-Backups auszuführen, beinhaltet aber nicht das Erstellen und Verwalten der Volumes selbst. Dies ist sinnvoll, wenn eine einzelne Gruppe von Volume-Backupadministratoren alle Volume-Backups in allen Compartments verwalten soll. Die erste Anweisung erteilt den erforderlichen Zugriff auf das zu sichernde Volume. Die zweite Anweisung ermöglicht das Erstellen des Backups sowie das Löschen von Backups. Die dritte Anweisung ermöglicht das Erstellen und Verwalten benutzerdefinierter Backup-Policys. Die vierte Anweisung ermöglicht das Zuweisen und Aufheben der Zuweisung von Backup-Policys.

Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Übernahme erteilt wird Um den Geltungsbereich des Zugriffs nur auf die Volumes und Backups in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.

Allow group VolumeBackupAdmins to use volumes in tenancy

Allow group VolumeBackupAdmins to manage volume-backups in tenancy

Allow group VolumeBackupAdmins to manage backup-policies in tenancy

Allow group VolumeBackupAdmins to manage backup-policy-assignments in tenancy

Wenn die Gruppe die Konsole verwendet, bietet die folgende Policy eine bessere Benutzererfahrung:

Allow group VolumeBackupAdmins to use volumes in tenancy

Allow group VolumeBackupAdmins to manage volume-backups in tenancy

Allow group VolumeBackupAdmins to inspect volume-attachments in tenancy

Allow group VolumeBackupAdmins to inspect instances in tenancy

Allow group VolumeBackupAdmins to manage backup-policies in tenancy

Allow group VolumeBackupAdmins to manage backup-policy-assignments in tenancy

Die letzten beiden Anweisungen sind zum Verwalten von Volume-Backups nicht erforderlich. Allerdings können damit alle Informationen zu einem bestimmten Volume und den verfügbaren Backup-Policys in der Konsole angezeigt werden.

Nur das Verwalten von Backups durch Boot-Volume-Backupadministratoren zulassen

Zugriffstyp: Bietet die Möglichkeit, alle Aktionen in Bezug auf Boot-Volume-Backups auszuführen, beinhaltet aber nicht das Erstellen und Verwalten der Boot-Volumes selbst. Dies ist sinnvoll, wenn eine einzelne Gruppe von Boot-Volume-Backupadministratoren alle Boot-Volume-Backups in allen Compartments verwalten soll. Die erste Anweisung erteilt den erforderlichen Zugriff auf das zu sichernde Boot-Volume. Die zweite Anweisung ermöglicht das Erstellen des Backups sowie das Löschen von Backups. Die dritte Anweisung ermöglicht das Erstellen und Verwalten benutzerdefinierter Backup-Policys. Die vierte Anweisung ermöglicht das Zuweisen und Aufheben der Zuweisung von Backup-Policys.

Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Übernahme erteilt wird Um den Geltungsbereich des Zugriffs nur auf die Boot-Volumes und Backups in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.

Allow group BootVolumeBackupAdmins to use volumes in tenancy

Allow group BootVolumeBackupAdmins to manage boot-volume-backups in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policies in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policy-assignments in tenancy

Wenn die Gruppe die Konsole verwendet, bietet die folgende Policy eine bessere Benutzererfahrung:

Allow group BootVolumeBackupAdmins to use volumes in tenancy

Allow group BootVolumeBackupAdmins to manage boot-volume-backups in tenancy

Allow group BootVolumeBackupAdmins to inspect instances in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policies in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policy-assignments in tenancy

Die letzten beiden Anweisungen sind für die Verwaltung von Volume-Backups nicht erforderlich. Allerdings können damit alle Informationen zu einem bestimmten Boot-Volume und den verfügbaren Backup-Policys in der Konsole angezeigt werden.

Erstellen einer Volume-Gruppe durch Benutzer zulassen

Zugriffstyp: Bietet die Möglichkeit, eine Volume-Gruppe aus einem Set von Volumes zu erstellen.

Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Übernahme erteilt wird Um den Geltungsbereich des Zugriffs nur auf die Volumes und Volume-Gruppen in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.

Allow group VolumeGroupCreators to inspect volumes in tenancy
Allow group VolumeGroupCreators to manage volume-groups in tenancy

Klonen einer Volume-Gruppe durch Benutzer zulassen

Zugriffstyp: Bietet die Möglichkeit, eine Volume-Gruppe aus einer vorhandenen Volume-Gruppe zu klonen.

Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Übernahme erteilt wird Um den Geltungsbereich des Zugriffs nur auf die Volumes und Volume-Gruppen in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.

Allow group VolumeGroupCloners to inspect volumes in tenancy
Allow group VolumeGroupCloners to manage volume-groups in tenancy
Allow group VolumeGroupCloners to manage volumes in tenancy

Erstellen eines Volume-Gruppenbackups durch Benutzer zulassen

Zugriffstyp: Bietet die Möglichkeit, ein Volume-Gruppenbackup zu erstellen.

Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Übernahme erteilt wird Um den Geltungsbereich des Zugriffs nur auf die Volumes/Backups und Volume-Gruppen/Volume-Gruppenbackups in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.

Allow group VolumeGroupBackupAdmins to inspect volume-groups in tenancy
Allow group VolumeGroupBackupAdmins to manage volumes in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-group-backups in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-backups in tenancy

Wiederherstellen eines Volume-Gruppenbackups durch Benutzer zulassen

Zugriffstyp: Bietet die Möglichkeit, eine Volume-Gruppe durch Wiederherstellung eines Volume-Gruppenbackups zu erstellen.

Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Übernahme erteilt wird Um den Geltungsbereich des Zugriffs nur auf die Volumes/Backups und Volume-Gruppen/Volume-Gruppenbackups in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.

Allow group VolumeGroupBackupAdmins to inspect volume-group-backups in tenancy
Allow group VolumeGroupBackupAdmins to read volume-backups in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-groups in tenancy
Allow group VolumeGroupBackupAdmins to manage volumes in tenancy

Erstellen, Verwalten und Löschen von Dateisystemen durch Benutzer zulassen

Zugriffstyp: Bietet die Möglichkeit, ein Dateisystem oder einen Dateisystemklon zu erstellen, zu verwalten oder zu löschen. Zu den administrativen Aufgaben für ein Dateisystem gehören das Umbenennen oder Löschen eines Dateisystems sowie das Trennen der Verbindung.

Where to create the policy: In the tenancy, so that the ability to create, manage, or delete a file system is easily granted to all compartments by way of Policy Inheritance. Um den Geltungsbereich dieser administrativen Aufgaben auf Dateisysteme in einem bestimmten Compartment einzuschränken, geben Sie das betreffende Compartment anstelle des Mandanten an.

Allow group StorageAdmins to manage file-family in tenancy

Erstellen von Dateisystemen durch Benutzer zulassen

Zugriffstyp: Bietet die Möglichkeit, ein Dateisystem oder einen Dateisystemklon zu erstellen.

Where to create the policy: In the tenancy, so that the ability to create a file system is easily granted to all compartments by way of Policy Inheritance. Um den Geltungsbereich dieser administrativen Aufgaben auf Dateisysteme in einem bestimmten Compartment einzuschränken, geben Sie das betreffende Compartment anstelle des Mandanten an.

Allow group Managers to manage file-systems in tenancy

Allow group Managers to read mount-targets in tenancy

Die zweite Anweisung ist erforderlich, wenn Benutzer ein Dateisystem mit der Konsole erstellen. Damit wird in der Konsole eine Liste der Mountziele angezeigt, mit denen das neue Dateisystem verknüpft werden kann.

Verwalten von Buckets und Objekten durch Object Storage-Administratoren zulassen

Zugriffstyp: Bietet die Möglichkeit, alle Aktionen mit Object Storage-Buckets und -Objekten in allen Compartments auszuführen.

Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Übernahme erteilt wird Um den Geltungsbereich des Zugriffs nur auf die Buckets und Objekte in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.

Allow group ObjectAdmins to manage buckets in tenancy

Allow group ObjectAdmins to manage objects in tenancy

Schreiben von Objekten in Objektspeicher-Buckets durch Benutzer zulassen

Zugriffstyp: Bietet die Möglichkeit, Objekte zu einem beliebigen Object Storage-Bucket in Compartment "ABC" zu schreiben (stellen Sie sich eine Situation vor, in der ein Client regelmäßig Protokolldateien in einen Bucket schreiben muss). Dazu gehört das Auflisten von Buckets im Compartment, das Auflisten von Objekten in einem Bucket und das Erstellen eines neuen Objekts in einem Bucket. Obwohl die zweite Anweisung mit dem Verb manage einen umfassenden Zugriff gewährt, wird der Geltungsbereich dieses Zugriffs gleichzeitig durch die Bedingung am Ende der Anweisung auf die Berechtigungen OBJECT_INSPECT und OBJECT_CREATE eingeschränkt.

Wo kann die Policy erstellt werden: Am einfachsten ist sie, diese Policy im Mandanten zu verwenden. Wenn die Administratoren von Compartment ABC die Policy selber kontrollieren sollen, finden Sie weitere Informationen dazu unter Überblick über IAM-Policys.

Allow group ObjectWriters to read buckets in compartment ABC

Allow group ObjectWriters to manage objects in compartment ABC where any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}

Zugriff eingeschränkt auf einen bestimmten Bucket: Um den Zugriff auf einen bestimmten Bucket in einem bestimmten Compartment einzuschränken, fügen Sie die Bedingung where target.bucket.name='<bucket_name>' hinzu. Mit der folgenden Policy kann der Benutzer alle Buckets in einem bestimmten Compartment auflisten, kann jedoch nur die Objekte in "BucketA" auflisten und hochladen:

Allow group ObjectWriters to read buckets in compartment ABC

Allow group ObjectWriters to manage objects in compartment ABC where all {target.bucket.name='BucketA', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

Zugriff eingeschränkt auf Buckets mit einem bestimmten definierten Tag: Wenn Sie den Zugriff auf die Buckets mit einem bestimmten Tag in einem bestimmten Compartment einschränken möchten, fügen Sie die Bedingung where target.bucket.tag.<TagNamespace>.<TagKeyDefinition>='<TagValue>' hinzu. Mit der folgenden Policy kann der Benutzer alle Buckets in Compartment "ABC" auflisten. Es können jedoch nur die Objekte im Bucket mit dem Tag MyTagNamespace.TagKey='MyTagValue' aufgelistet und hochgeladen werden:

Allow group ObjectWriters to read buckets in compartment ABC
Allow group ObjectWriters to manage objects in compartment ABC where all {target.bucket.tag.MyTagNamespace.TagKey='MyTagValue', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

Weitere Informationen zur Verwendung von Bedingungen finden Sie unter Bedingungen.

Herunterladen von Objekten aus Objektspeicher-Buckets durch Benutzer zulassen

Zugriffstyp: Bietet die Möglichkeit, Objekte aus jedem beliebigen Object Storage-Bucket in Compartment ABC herunterzuladen. Dazu gehört das Auflisten von Buckets im Compartment, das Auflisten von Objekten in einem Bucket und das Lesen vorhandener Objekte in einem Bucket.

Wo wird die Policy erstellt: Am einfachsten ist es, diese Policy im Mandanten zu erstellen. Wenn die Administratoren von Compartment ABC die Policy selber kontrollieren sollen, finden Sie weitere Informationen dazu unter Überblick über IAM-Policys.

Allow group ObjectReaders to read buckets in compartment ABC

Allow group ObjectReaders to read objects in compartment ABC

Zugriff eingeschränkt auf einen bestimmten Bucket: Um den Zugriff auf einen bestimmten Bucket in einem bestimmten Compartment einzuschränken, fügen Sie die Bedingung where target.bucket.name='<bucket_name>' hinzu. Mit der folgenden Policy kann der Benutzer alle Buckets in einem bestimmten Compartment auflisten, die Objekte können jedoch nur in "BucketA" gelesen und heruntergeladen werden:

Allow group ObjectReaders to read buckets in compartment ABC

Allow group ObjectReaders to read objects in compartment ABC where target.bucket.name='BucketA'

Zugriff eingeschränkt auf Buckets mit einem bestimmten definierten Tag

Wenn Sie den Zugriff auf die Buckets mit einem bestimmten Tag in einem bestimmten Compartment einschränken möchten, fügen Sie die Bedingung where target.bucket.tag.<TagNamespace>.<TagKeyDefinition>='<TagValue>' hinzu. Mit der folgenden Policy kann der Benutzer alle Buckets in Compartment "ABC" auflisten. Es können jedoch nur die Objekte im Bucket mit dem Tag MyTagNamespace.TagKey='MyTagValue' gelesen und heruntergeladen werden:

Allow group ObjectReaders to read buckets in compartment ABC
Allow group ObjectReaders to read objects in compartment ABC where target.bucket.tag.MyTagNamespace.TagKey='MyTagValue'

Weitere Informationen zur Verwendung von Bedingungen finden Sie unter Bedingungen.

Benutzern vollständigen Zugriff auf einen Ordner in einem Object Storage-Bucket erteilen

Zugriffstyp: Bietet einer Benutzergruppe die Möglichkeit, alle Aktionen für einen Objektspeicher-Bucket und die zugehörigen Objekte auszuführen.

Wo wird die Policy erstellt: Im Mandanten, in dem sich die Benutzer befinden.

ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*'}

Schreibgeschützten Zugriff auf einen Ordner in einem Object Storage-Bucket zulassen

Zugriffstyp: Bietet einer Benutzergruppe Lesezugriff auf einen Object Storage-Bucket und die zugehörigen Objekte.

Wo wird die Policy erstellt: Im Mandanten, in dem die Benutzer gespeichert sind.

ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*', any{request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}

Benutzern einmaligen Schreibzugriff auf einen Ordner in einem Object Storage-Bucket erteilen (kein Lesen oder Löschen)

Zugriffstyp: Bietet einer Benutzergruppe Schreibzugriff auf einen Ordner mit Objekten in einem Bucket. Benutzer können weder eine Liste mit Objekten im Bucket anzeigen noch darin enthaltene Objekte löschen.

Wo wird die Policy erstellt: Im Mandanten, in dem sich die Benutzer befinden.

ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*', any{request.permission='OBJECT_CREATE'}}

Benutzern Lese-/Schreibzugriff auf einen Ordner in einem Object Storage-Bucket erteilen (keine Auflistung oder Überschreibung)

Zugriffstyp: Bietet einer Benutzergruppe Lese- und Schreibzugriff auf einen Ordner mit Objekten in einem Objektspeicher-Bucket. Benutzer können weder eine Liste mit Objekten im Ordner generieren noch vorhandene Objekte im Ordner überschreiben.

Wo wird die Policy erstellt: Im Mandanten, in dem die Benutzer gespeichert sind.

ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*', any{request.permission='OBJECT_CREATE', request.permission='OBJECT_READ'}}

Benutzern Zugriff auf ein Objektmuster in einem Objektspeicher-Bucket erteilen

Zugriffstyp: Bietet einem angegebenen Benutzer die Möglichkeit, vollständigen Zugriff auf alle Objekte zu haben, die einem angegebenen Muster in einem Objektspeicher-Bucket entsprechen.

Wo wird die Policy erstellt: Im Mandanten, in dem der Benutzer gespeichert ist.

ALLOW any-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = '*.pdf', request.user.id='ocid1.user.oc1..exampleuniqueID'}

Verwalten von Oracle Cloud-Datenbanksystemen durch Datenbankadministratoren zulassen

Zugriffstyp: Bietet die Möglichkeit, alle Aktionen in Bezug auf die folgenden Systemtypen und damit verknüpften Ressourcen in allen Compartments auszuführen:

Exadata Database Service on Dedicated Infrastructure-Instanzen
Bare-Metal-DB-Systeme
Virtual-Machine-DB-Systeme

Das ist sinnvoll, wenn eine einzelne Gruppe von Datenbankadministratoren alle Bare-Metal-, Virtual-Machine- und Exadata-Systeme in allen Compartments verwalten soll.

Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Übernahme erteilt wird Um den Geltungsbereich des Zugriffs nur auf die Datenbanksysteme in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.

Allow group DatabaseAdmins to manage database-family in tenancy

Verwalten von Exadata Database Service on Cloud@Customer-Instanzen durch Datenbankadministratoren zulassen

Zugriffstyp: Bietet die Möglichkeit, alle Aktionen mit den Exadata Database Service on Cloud@Customer-Ressourcen in allen Compartments durchzuführen. Dies ist sinnvoll, wenn eine einzelne Gruppe von Datenbankadministratoren alle Exadata Database Service on Cloud@Customer-Systeme in allen Compartments verwalten soll.

Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Übernahme erteilt wird So reduzieren Sie den Geltungsbereich für den Zugriff auf nur Exadata Database Service on Cloud@Customer

Systeme in einem bestimmten Compartment zu beschränken, geben Sie dieses Compartment anstelle des Mandanten an.

Allow group ExaCCAdmins to manage database-family in tenancy

Verwalten von MySQL Database-Ressourcen durch Datenbankadministratoren zulassen

Zugriffstyp:

Bietet die Möglichkeit, alle Aktionen mit MySQL Database- und MySQL HeatWave-Ressourcen in allen Compartments auszuführen. Das Erstellen und Verwalten von MySQL Database-DB-Systemen erfordert außerdem begrenzten Zugriff auf VCNs, Subnetze und Tag-Namespaces im Mandanten.

Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Vererbung erteilt wird

Allow group <group_name> to {
  	COMPARTMENT_INSPECT, 
    VCN_READ, 
    SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH, 
    NETWORK_SECURITY_GROUP_UPDATE_MEMBERS,
    VNIC_CREATE, VNIC_UPDATE, VNIC_DELETE, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP
  } in tenancy | compartment <compartment_name> | compartment <compartment_ocid>
  Allow group <group_name> to manage mysql-family in tenancy | compartment <compartment_name> | compartment <compartment_ocid>
  Allow group <group_name> to use tag-namespaces in tenancy

Verwalten von externen Oracle Cloud-Datenbankressourcen durch Datenbankadministratoren zulassen

Zugriffstyp: Bietet eine Möglichkeit, alle Aktionen mit den folgenden OCI externen Datenbankressourcen in allen Compartments durchzuführen:

Externe OCI-Containerdatenbankressourcen
Externe integrierbare OCI-Datenbankressourcen
Externe OCI-Nicht-Containerdatenbankressourcen
Externe OCI-Datenbank-Connectors

Das ist sinnvoll, wenn eine einzelne Gruppe von Datenbankadministratoren alle externen OCI-Datenbankressourcen in allen Compartments verwalten soll.

Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Übernahme erteilt wird Um den Geltungsbereich des Zugriffs nur auf die OCI-externen Datenbankressourcen in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten ein.

Allow group OnPremDatabaseAdmins to manage external-database-family in tenancy

Verwalten von autonomen KI-Datenbanken durch Datenbank- und Flottenadministratoren zulassen

Zugriffstyp: Bietet die Möglichkeit, autonome KI-Datenbankressourcen in allen Compartments zu verwalten. Anwendbar, wenn eine einzelne Gruppe von Datenbankadministratoren alle autonomen KI-Datenbankressourcen in allen Compartments verwalten soll.

Where to create the policy: In the tenancy, so that the access is granted to all compartments by way of Policy Inheritance. Um den Geltungsbereich des Zugriffs nur auf die autonomen KI-Datenbanken in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten ein.

Beispiel 1: Für Benutzerrollen, die mit einer autonomen KI-Datenbank auf einer dedizierten Exadata-Infrastruktur verknüpft sind. Ermöglicht dem Flottenadministrator von Autonomous AI Database Zugriff auf alle Workload-Typen sowie die Verwaltung der folgenden dedizierten Exadata-Infrastrukturressourcen: autonome Containerdatenbanken und autonome VM-Cluster.

Allow group DatabaseAdmins to manage autonomous-database-family in tenancy

Tipp

Der aggregierte Ressourcentyp autonomous-database-family deckt nicht den Ressourcentyp cloud-exadata-infrastructures ab, die zum Provisioning der autonomen KI-Datenbank in einer dedizierten Exadata-Infrastruktur erforderlich sind. Informationen zu den Berechtigungen, die für die Verwaltung von Cloud-Exadata-Infrastrukturressourcen erforderlich sind, finden Sie unter Policy-Details für Exadata Database Service on Dedicated Infrastructure. Eine Beispiel-Policy für Cloud-Exadata-Infrastrukturressourcen finden Sie unter Verwalten von Oracle Cloud-Datenbanksystemen durch Datenbankadministratoren zulassen.

Wenn Sie den Zugriff auf die Ressourcentypen "Autonomes VM-Cluster" und "Autonome Containerdatenbank" einschränken müssen (nur für dedizierte Exadata-Infrastruktur anwendbar), können Sie separate Policy-Anweisungen für Datenbankadministratoren erstellen, die nur Zugriff auf autonome KI-Datenbanken und deren Backups zulassen. Weil eine Policy-Anweisung nur einen Ressourcentyp angeben kann, müssen Sie separate Anweisungen für die Datenbank- und Backupressourcen erstellen.

Beispiel 2: Für Autonomous AI Database on Dedicated Exadata Infrastructure. Ermöglicht den Datenbankadministratoren der autonomen KI-Datenbank den Zugriff auf Datenbanken und Backups der verschiedenen Workload-Typs, verweigert aber den Zugriff auf autonome Containerdatenbanken, autonome VM-Cluster und Cloud-Exadata-Infrastrukturressourcen.

Allow group ADB-Admins to manage autonomous-database in tenancy

Allow group ADB-Admins to manage autonomous-backup in tenancy

Um den Geltungsbereich des Zugriffs für Datenbanken und Backups auf einen bestimmten Workload-Typ zu reduzieren, verwenden Sie eine where-Klausel.

Beispiel 3: Für Autonomous AI Database on Dedicated Exadata Infrastructure. Beschränkt den Zugriff auf Datenbanken und Backups für einen bestimmten Workload-Typ.

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'workload_type'

Allow group ADB-Admins to manage autonomous-backups in tenancy where target.workloadType = 'workload_type'

In den obigen Codebeispielen ist workload_type eine der Zeichenfolgen, die in der folgenden Tabelle aufgeführt sind.

Zeichenfolgen für Workload-Typ der autonomen KI-Datenbank
Datenbank-Workload-Typ	workload_type-Zeichenfolge für Policys
Autonome KI-Transaktionsverarbeitung	`OLTP`
Autonomes KI-Lakehouse	`DW`
Autonome KI-JSON-Datenbank	`AJD`
Oracle APEX Application Development	`APEX`

Verwalten von Vaults, Schlüsseln und Secrets durch Sicherheitsadministratoren zulassen

Zugriffstyp: Bietet die Möglichkeit, alle Aktionen mit dem Vault-Service in allen Compartments auszuführen. Dies ist sinnvoll, wenn eine einzelne Gruppe von Sicherheitsadministratoren alle Vaults, Schlüssel und Secret-Komponenten (einschließlich Secrets, Secret-Versionen und Secret Bundles) in allen Compartments verwalten soll.

Where to create the policy: In the tenancy, so that access is easily granted to all compartments by way of Policy Inheritance. Um den Geltungsbereich des Zugriffs nur auf die Vaults, Schlüssel und Secret-Komponenten in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an. Um den Geltungsbereich des Zugriffs nur auf Vaults, Schlüssel oder Secret-Komponenten zu reduzieren, nehmen Sie nur die Policy-Anweisung auf, die sich auf den jeweiligen individuellen oder aggregierten Ressourcentyp bezieht.

Allow group SecurityAdmins to manage vaults in tenancy

Allow group SecurityAdmins to manage keys in tenancy

Allow group SecurityAdmins to manage secret-family in tenancy

Verwalten aller Schlüssel in einem bestimmten Vault in einem Compartment durch Sicherheitsadministratoren zulassen

Zugriffstyp: Bietet die Möglichkeit, alle Aktionen mit Schlüsseln in einem bestimmten Vault in Compartment "ABC" auszuführen.

Wo wird die Policy erstellt: Am einfachsten ist es, diese Policy im Mandanten zu erstellen. Wenn die Administratoren eines einzelnen Compartments ("ABC") die jeweiligen Policy-Anweisungen für ihr Compartment selbst kontrollieren sollen, finden Sie weitere Informationen hierzu unter Policy-Zuordnung.

Allow group SecurityAdmins to manage keys in compartment ABC where target.vault.id='<vault_OCID>'

Verwenden eines bestimmten Schlüssels in einem Compartment durch Sicherheitsadministratoren zulassen

Zugriffstyp: Bietet die Möglichkeit, kryptografische Vorgänge mit einem bestimmten Schlüssel in einem Compartment aufzulisten, anzuzeigen und auszuführen.

Allow group SecurityAdmins to use keys in compartment ABC where target.key.id='<key_OCID>'

Delegieren der Schlüsselverwendung in einem Compartment durch eine Benutzergruppe zulassen

Zugriffstyp: Bietet die Möglichkeit, einen Object Storage-Bucket, ein Block-Volume, ein File Storage-Dateisystem, ein Kubernetes-Cluster oder ein Streaming-Streampool mit einem bestimmten Schlüssel zu verknüpfen, der zur Verwendung in einem bestimmten Compartment autorisiert sind. Gemäß dieser Policy ist ein Benutzer in der angegebenen Gruppe nicht zur Verwendung des Schlüssels berechtigt. Vielmehr kann der Schlüssel durch Verknüpfung in Object Storage, Block Volume, File Storage, Kubernetes Engine oder Streaming im Namen des Benutzers verwendet werden, um:

einen verschlüsselten Bucket, ein Volume oder ein Dateisystem zu erstellen oder zu aktualisieren, und Daten im Bucket, im Volume oder im Dateisystem zu verschlüsseln oder zu entschlüsseln.
Kubernetes-Cluster mit verschlüsselten Kubernetes-Secrets im Ruhezustand im Key-Value Store "etcd" zu erstellen.
Streampool erstellen, um Daten in den Streams im Streampool zu verschlüsseln.

Für diese Policy ist eine Neben-Policy erforderlich, mit der der Schlüssel zur Ausführung kryptografischer Vorgänge in Object Storage, Block Volume, File Storage, Kubernetes Engine oder Streaming verwendet werden kann.

Allow group ObjectWriters, VolumeWriters, FileWriters, ClusterWriters, StreamWriters to use key-delegate in compartment ABC where target.key.id = '<key_OCID>'

Verschlüsseln und Entschlüsseln von Volumes, Volume-Backups, Buckets, Kubernetes-Secrets und Streampools durch Block Volume-, Object Storage-, Kubernetes Engine- und Streaming-Services zulassen

Zugriffstyp: Bietet die Möglichkeit, kryptografische Vorgänge mit allen Schlüsseln in Compartment "ABC" aufzulisten, anzuzeigen und auszuführen. Da Object Storage ein regionaler Service ist, verfügt er über regionale Endpunkte. Daher müssen Sie für jede Region, in der Sie Object Storage mit Vault-Verschlüsselung nutzen, den regionalen Servicenamen angeben. Voraussetzung Für diese Policy ist auch eine Begleit-Policy, die einer Benutzergruppe das Verwenden des delegierten Schlüssels ermöglicht, den Object Storage, Block Volume, Kubernetes Engine oder Streaming verwenden.

Allow service blockstorage, objectstorage-<region_name>, oke, streaming to use keys in compartment ABC where target.key.id = '<key_OCID>'

Ersetzen Sie bei Object Storage <region_name> durch die entsprechende Regions-ID. Beispiel:

objectstorage-us-phoenix-1
objectstorage-us-ashburn-1
objectstorage-eu-frankfurt-1
objectstorage-uk-london-1
objectstorage-ap-tokyo-1

Informationen zu Ermitteln des Wertes für den Regionsnamen einer Oracle Cloud Infrastructure-Region finden Sie unter Regionen und Availability-Domains.

Bei Kubernetes Engine lautet der in der Policy verwendete Servicename oke.

Für Streaming lautet der in der Policy verwendete Servicename streaming.

Verschlüsseln und Entschlüsseln von Dateisystemen durch File Storage zulassen

Zugriffstyp: Bietet die Möglichkeit, kryptografische Vorgänge mit allen Schlüsseln in Compartment "ABC" aufzulisten, anzuzeigen und auszuführen. Für diese Policy ist auch eine Begleit-Policy erforderlich, die einer Benutzergruppe das Verwenden des delegierten Schlüssels ermöglicht, den File Storage verwendet.

Erstellen Sie eine dynamische Gruppe für die Dateisysteme mit einer Regel wie der Folgenden:
```
ALL { resource.type='filesystem', resource.compartment.id = '<file_system_compartment_OCID>' }
```
Hinweis

Wenn mehr als eine Regel in der dynamischen Gruppe vorhanden ist, stellen Sie sicher, dass Sie die Option Match any rules defined below verwenden.

Erstellen Sie eine IAM-Policy, die der dynamischen Gruppe von Dateisystemen Zugriff auf Vault-Schlüssel erteilt:

allow dynamic-group <dynamic_group_name> to use keys in compartment ABC

Verwalten aller Secrets in einem bestimmten Vault in einem Compartment durch Sicherheitsadministratoren zulassen

Zugriffstyp: Bietet die Möglichkeit, alle Aktionen mit Secrets in einem bestimmten Vault in Compartment "ABC" auszuführen.

Allow group SecurityAdmins to manage secret-family in compartment ABC where target.vault.id='<vault_OCID>'

Lesen, Aktualisieren und Rotieren aller Secrets durch Benutzer zulassen

Zugriffstyp: Bietet die Möglichkeit, alle Secrets in einem beliebigen Vault im Mandanten zu lesen, zu aktualisieren und zu rotieren.

Allow group SecretsUsers to use secret-family in tenancy

Verwalten von Gruppenmitgliedschaften durch Gruppenadministratoren zulassen

Zugriffstyp: Bietet die Möglichkeit, die Mitgliedschaft einer Gruppe zu verwalten. Beinhaltet nicht das Erstellen oder Löschen von Benutzern oder das Verwalten ihrer Zugangsdaten (siehe Verwalten von Benutzern durch Helpdesk zulassen).

Die ersten beiden Anweisungen ermöglichen "GroupAdmins" das Auflisten aller Benutzer und Gruppen im Mandanten. Außerdem wird aufgelistet, welche Benutzer zu einer bestimmten Gruppe gehören und welchen Gruppen ein bestimmter Benutzer angehört.

Mit den letzten beiden Anweisungen kann "GroupAdmins" die Mitgliedschaft einer Gruppe ändern. Mit der Bedingung am Ende der letzten beiden Anweisungen kann "GroupAdmins" die Mitgliedschaft bei allen Gruppen verwalten, mit Ausnahme der Administratorengruppe (siehe Administratorengruppe, Policy und Administratorrollen). Die Mitgliedschaft bei dieser Gruppe sollte aufgrund ihrer umfassenden Rechte im gesamten Mandanten besonders geschützt werden.

Auf den ersten Blick scheinen die letzten beiden Anweisungen auch die grundlegende Auflistungsfunktionalität aus den ersten beiden Anweisungen abzudecken. Informationen dazu, wie die Bedingungen funktionieren und warum auch die ersten beiden Anweisungen erforderlich ist, finden Sie unter Variablen, die in einer abgelehnten Anforderung nicht auf ein Anforderungsergebnis anwendbar ist.

Wo wird die Policy erstellt: Im Mandanten, da sich Benutzer und Gruppen im Mandanten befinden.

Allow group GroupAdmins to inspect users in tenancy

Allow group GroupAdmins to inspect groups in tenancy

Allow group GroupAdmins to use users in tenancy where target.group.name != 'Administrators'

Allow group GroupAdmins to use groups in tenancy where target.group.name != 'Administrators'

Verwalten eigener Kennwörter und Zugangsdaten durch Benutzer zulassen

Es ist keine Policy erforderlich, um das Verwalten eigener Zugangsdaten durch Benutzer zuzulassen. Alle Benutzer können ihre eigenen Kennwörter ändern und zurücksetzen, ihre eigenen API-Schlüssel verwalten und ihre eigenen Authentifizierungstokens verwalten. Weitere Informationen finden Sie unter Arbeiten mit Benutzerzugangsdaten.

Verwalten des Compartments durch einen Compartment-Administrator zulassen

Zugriffstyp: Bietet die Möglichkeit, alle Aspekte eines bestimmten Compartments zu verwalten. Beispiel: Eine Gruppe mit dem Namen "A-Admins" kann alle Aspekte eines Compartments mit dem Namen "Project-A" verwalten. Dazu gehört auch das Schreiben zusätzlicher Policys, die das Compartment betreffen. Weitere Informationen finden Sie unter Policy-Zuordnung.

Wo wird die Policy erstellt: Im Mandanten.

Allow group A-Admins to manage all-resources in compartment Project-A

Administratorzugriff auf eine bestimmte Region einschränken

Zugriffstyp: Bietet die Möglichkeit, Ressourcen in einer bestimmten Region zu verwalten. Beachten Sie, dass IAM-Ressourcen in der Hauptregion verwaltet werden müssen. Wenn die angegebene Region nicht die Hauptregion ist, kann der Administrator keine IAM-Ressourcen verwalten. Weitere Informationen zur Hauptregion finden Sie unter Regionen verwalten.

Wo wird die Policy erstellt: Im Mandanten.

Allow group PHX-Admins to manage all-resources in tenancy where request.region='phx'

Mit der oben dargestellten Policy kann die Gruppe "PHX-Admins" alle Aspekte aller Ressourcen in der Region "US West (Phoenix)" verwalten.

Mitglieder der Gruppe "PHX-Admins" können nur IAM-Ressourcen verwalten, wenn die Hauptregion des Mandanten "US West" (Phoenix) lautet.

Benutzerzugriff auf das Anzeigen von Kurzfassungen von Ankündigungen einschränken

Zugriffstyp: Bietet die Möglichkeit, Kurzfassungen von Ankündigungen zum Betriebsstatus von Oracle Cloud Infrastructure-Services anzuzeigen.

Wo wird die Policy erstellt: Im Mandanten.

Allow group AnnouncementListers to inspect announcements in tenancy

Mit der oben dargestellten Policy kann die Gruppe "AnnouncementListers" eine Liste mit Kurzfassungen von Ankündigungen anzeigen.

Anzeigen der Details von Ankündigungen durch Benutzer zulassen

Zugriffstyp: Bietet eine Möglichkeit, die Details von Ankündigungen zum Betriebsstatus von Oracle Cloud Infrastructure-Services anzuzeigen.

Wo wird die Policy erstellt: Im Mandanten.

Allow group AnnouncementReaders to read announcements in tenancy

Mit der oben dargestellten Policy kann die Gruppe "AnnouncementReaders" eine Liste mit Kurzfassungen von Ankündigungen sowie die Details bestimmter Ankündigungen anzeigen.

Verwalten von Ankündigungsabonnements durch Administratoren zulassen

Zugriffstyp: Bietet die Möglichkeit, Abonnements zu verwalten, die Ankündigungen zum Betriebsstatus von Oracle Cloud Infrastructure-Services bereitstellen.

Wo wird die Policy erstellt: Am einfachsten ist es, diese Policy im Mandanten zu erstellen. Aufgrund des Konzepts der Policy-Vererbung kann die Gruppe, der Sie Zugriff erteilen, dann Ankündigungsabonnements in jedem Compartment verwalten. Um den Geltungsbereich des Zugriffs auf Ankündigungen für ein bestimmtes Compartment einzuschränken, geben Sie das Compartment anstelle des Mandanten an.

Allow group AnnouncementAdmins to manage announcement-subscriptions in tenancy

Mit der oben dargestellten Policy kann die Gruppe "AnnouncementAdmins" eine Liste mit Kurzfassungen von Ankündigungen sowie die Details bestimmter Ankündigungen anzeigen.

Verwalten von Streamingressourcen durch Streamingadministratoren zulassen

Zugriffstyp: Bietet die Möglichkeit, alle Aktionen mit dem Streaming-Service in allen Compartments auszuführen.

Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Übernahme erteilt wird Um den Geltungsbereich des Zugriffs nur auf die Streams in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.

Allow group StreamAdmins to manage stream-family in tenancy

Veröffentlichen von Nachrichten in Streams durch Streaming-Benutzer zulassen

Zugriffstyp: Bietet die Möglichkeit, Nachrichten mit dem Streaming-Service in allen Compartments in Streams zu erstellen.

Allow group StreamUsers to use stream-push in tenancy

Veröffentlichen von Nachrichten in einem bestimmten Stream durch Streaming-Benutzer zulassen

Zugriffstyp: Bietet die Möglichkeit, Nachrichten mit dem Streaming-Service in einem Stream zu erstellen.

Allow group StreamUsers to use stream-push in tenancy where target.stream.id = '<stream_OCID>'

Veröffentlichen von Nachrichten in einem Stream in einem bestimmten Streampool durch Streamingbenutzer zulassen

Zugriffstyp: Bietet die Möglichkeit, Nachrichten mit dem Streaming-Service in einem Stream zu erstellen.

Allow group StreamUsers to use stream-push in tenancy where target.streampool.id = '<streampool_OCID>'

Konsumieren von Nachrichten aus Streams durch Streaming-Benutzer zulassen

Zugriffstyp: Bietet die Möglichkeit, Nachrichten aus Streams mit dem Streaming-Service in allen Compartments zu konsumieren.

Allow group StreamUsers to use stream-pull in tenancy

Anzeigen von Metrikdefinitionen in einem Compartment durch Benutzer zulassen

Zugriffstyp: Bietet die Möglichkeit, Metrikdefinitionen in einem bestimmten Compartment anzuzeigen. Weitere Informationen zu Metriken finden Sie unter Überblick über das Feature "Metriken".

Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Übernahme erteilt wird Um den Geltungsbereich des Zugriffs nur auf die Metrikdefinitionen in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.

Allow group MetricReaders to inspect metrics in compartment ABC

Zugreifen auf Monitoring-Metriken in einem Compartment durch Benutzer zulassen

Zugriffstyp: Bietet die Möglichkeit, Monitoring-Metriken für unterstützte Ressourcen in einem bestimmten Compartment anzuzeigen und abzurufen. Weitere Informationen zu Metriken finden Sie unter Überblick über das Feature "Metriken".

Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Übernahme erteilt wird Um den Geltungsbereich des Zugriffs nur auf die Metriken in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.

Allow group MetricReaders to read metrics in compartment ABC

Benutzerzugriff auf einen bestimmten Metrik-Namespace einschränken

Zugriffstyp: Bietet die Möglichkeit, Monitoring-Metriken für Ressourcen unter einem bestimmten Metrik-Namespace anzuzeigen und abzurufen. Weitere Informationen zu Metriken finden Sie unter Überblick über das Feature "Metriken".

Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Übernahme erteilt wird Um den Geltungsbereich des Zugriffs auf den angegebenen Metrik-Namespace nur innerhalb eines bestimmten Compartments einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.

Allow group MetricReaders to read metrics in compartment ABC where target.metrics.namespace='oci_computeagent'

Mit der oben dargestellten Policy kann MetricReaders Metrikdatenpunkte aus allen Compute-Instanzen im Compartment ABC anzeigen und abrufen, für die Monitoring aktiviert ist.

Veröffentlichen benutzerdefinierter Metriken durch Benutzer zulassen

Zugriffstyp: Bietet die Möglichkeit, benutzerdefinierte Metriken unter einem bestimmten Metrik-Namespace im Monitoring-Service zu veröffentlichen. Anweisungen finden Sie unter Benutzerdefinierte Metriken veröffentlichen.

Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Übernahme erteilt wird Um den Geltungsbereich des Zugriffs nur auf Metriken in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.

Allow group MetricPublishers to use metrics in tenancy where target.metrics.namespace='mycustomnamespace'

Mit der oben dargestellten Policy kann die Gruppe MetricPublishers Datenpunkte für den benutzerdefinierten Metrik-Namespace mycustomnamespace im Mandanten veröffentlichen.

Ausführen von API-Aufrufen für den Zugriff auf Monitoring-Metriken im Mandanten durch Instanzen zulassen

Zugriffstyp: Bietet die Möglichkeit, die Monitoring-API für einen Zugriff auf Monitoring-Metriken aufzurufen. Die Instanzen, aus denen API-Anforderungen stammen, müssen Mitglieder der in der Policy angegebenen dynamischen Gruppe sein. Weitere Informationen finden Sie unter Services von einer Instanz aufrufen und Überblick über das Feature "Metriken".

Wo wird die Policy erstellt: Im Mandanten.

Allow dynamic-group MetricInstances to read metrics in tenancy

Mit der oben dargestellten Policy können Anwendungen, die auf Compute-Instanzen in der dynamischen Gruppe MetricInstances ausgeführt werden, API-Anforderungen an den Monitoring-Service im Mandanten senden.

Anzeigen von Alarmen durch Benutzer zulassen

Zugriffstyp: Bietet die Möglichkeit, Alarme für unterstützte Ressourcen im Mandanten anzuzeigen. Beinhaltet nicht das Erstellen von Alarmen oder das Erstellen bzw. Löschen von Themen. Weitere Informationen zu Alarmen finden Sie unter Überblick über Alarmefeature.

Wo wird die Policy erstellt: Im Mandanten. Dank des Konzepts der Policy-Übernahme kann die Gruppe AlarmUsers dann Alarme in jedem Compartment anzeigen. Um den Geltungsbereich des Zugriffs auf ein bestimmtes Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.

Allow group AlarmUsers to read alarms in tenancy

Allow group AlarmUsers to read metrics in tenancy

Verwalten von Alarmen durch Benutzer zulassen

Zugriffstyp: Bietet die Möglichkeit, Alarme mit vorhandenen Benachrichtigungsthemen für unterstützte Ressourcen im Mandanten anzuzeigen und zu erstellen. Beinhaltet nicht das Erstellen oder Löschen von Themen. Weitere Informationen zu Alarmen finden Sie unter Überblick über Alarmefeature.

Alle Anweisungen sind erforderlich, damit die Gruppe "AlarmUsers" Alarme erstellen kann.

Wo wird die Policy erstellt: Im Mandanten. Dank des Konzepts der Policy-Übernahme kann die Gruppe AlarmUsers dann Alarme in jedem Compartment anzeigen und erstellen. Um den Geltungsbereich des Zugriffs auf ein bestimmtes Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.

Allow group AlarmUsers to manage alarms in tenancy

Allow group AlarmUsers to read metrics in tenancy

Allow group AlarmUsers to use ons-topics in tenancy

Verwalten von Alarmen und Erstellen von Themen durch Benutzer zulassen

Zugriffstyp: Bietet die Möglichkeit, Alarme (mit neuen oder vorhandenen Themen ) für unterstützte Ressourcen im Mandanten anzuzeigen und zu erstellen. Außerdem können Sie Abonnements im Mandanten erstellen, Nachrichten (Broadcast-Benachrichtigungen) für alle Abonnements im Mandanten veröffentlichen und Alarme in andere Compartments im Mandanten verschieben. Weitere Informationen zu Alarmen finden Sie unter Überblick über Alarmefeature.

Allow group AlarmUsers to manage alarms in tenancy

Allow group AlarmUsers to read metrics in tenancy

Allow group AlarmUsers to manage ons-topics in tenancy

Zugreifen auf Nutzungsberichte durch Benutzer zulassen

Zugriffstyp: Bietet die Möglichkeit, Nutzungsberichte für Ihren Mandanten anzuzeigen. Weitere Informationen zu Nutzungsberichten finden Sie unter Kosten- und Nutzungsberichte - Überblick.

Wo wird die Policy erstellt: Hierbei handelt es sich um eine spezielle mandantenübergreifende Policy, die im Mandanten erstellt werden muss. Weitere Informationen finden Sie unter Auf Kosten- und Nutzungsberichte zugreifen.

define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
				endorse group Administrators to read objects in tenancy usage-report

Kostenanalyse durch Benutzer zulassen

Zugriffstyp: Möglichkeit, Kosten für den Mandanten anzuzeigen. Siehe Ausgaben und Nutzung prüfen.

Erstellungsort der Policy: Im Mandanten, damit die Benutzer der <Example_Group> die Kosten für den gesamten Account anzeigen können.

Allow group <Example_Group> to read usage-reports in tenancy

Verwalten von Themen durch eine Gruppe zulassen

Zugriffstyp: Bietet die Möglichkeit, Themen im Mandanten abzurufen, zu erstellen, zu aktualisieren und zu löschen und Themen in andere Compartments im Mandanten zu verschieben. Außerdem können Sie Abonnements im Mandanten erstellen und Nachrichten (Broadcast-Benachrichtigungen) für alle Abonnements im Mandanten veröffentlichen.

Wo wird die Policy erstellt: Im Mandanten.

Allow group A-Admins to manage ons-topics in tenancy

Verwalten von Themaabonnements durch eine Gruppe zulassen

Zugriffstyp: Bietet die Möglichkeit, Abonnements für Themen im Mandanten aufzulisten, zu erstellen, zu aktualisieren und zu löschen. Möglichkeit, Abonnements in andere Compartments im Mandanten zu verschieben.

Wo wird die Policy erstellt: Im Mandanten.

Allow group A-Admins to manage ons-subscriptions in tenancy

Veröffentlichen von Nachrichten in Themen durch eine Gruppe zulassen

Zugriffstyp: Bietet die Möglichkeit, Benachrichtigungen an alle Abonnements im Mandanten zu übertragen sowie Abonnements im Mandanten aufzulisten, zu erstellen, zu aktualisieren und zu löschen.

Wo wird die Policy erstellt: Im Mandanten.

Allow group A-Admins to use ons-topics in tenancy

Erstellen, Bereitstellen und Verwalten von Funktionen und Anwendungen durch Benutzer mit Cloud Shell zulassen

Zugriffstyp: Bietet die Möglichkeit, OCI Functions-Anwendungen und -Funktionen mit Cloud Shell zu erstellen, bereitzustellen undzu verwalten. Diese Policy-Anweisungen erteilen der Gruppe Zugriff auf Cloud Shell, Repositorys in Oracle Cloud Infrastructure Registry, Logs, Metriken, Funktionen, Netzwerke und Tracing.

Wo wird die Policy erstellt: Im Mandanten, sodass der Zugriff allen Compartments durch Policy-Übernahme erteilt wird Um den Geltungsbereich des Zugriffs nur auf die Ressourcen in einem bestimmten Compartment einzuschränken, können Sie bei den meisten Policy-Anweisungen das Compartment anstelle des Mandanten angeben. to use cloud-shell, to manage repos und to read objectstorage-namespaces müssen jedoch immer für den Mandanten bestehen.


Allow group functions-developers to use cloud-shell in tenancy
Allow group functions-developers to manage repos in tenancy
Allow group functions-developers to read objectstorage-namespaces in tenancy
Allow group functions-developers to manage logging-family in tenancy
Allow group functions-developers to read metrics in tenancy
Allow group functions-developers to manage functions-family in tenancy
Allow group functions-developers to use virtual-network-family in tenancy
Allow group functions-developers to use apm-domains in tenancy
Allow group functions-developers to read vaults in tenancy
Allow group functions-developers to use keys in tenancy
Allow service faas to use apm-domains in tenancy
Allow service faas to read repos in tenancy where request.operation='ListContainerImageSignatures'
Allow service faas to {KEY_READ} in tenancy where request.operation='GetKeyVersion'
Allow service faas to {KEY_VERIFY} in tenancy where request.operation='Verify'

Auflisten von Ereignisregeln in einem Compartment durch Benutzer zulassen

Zugriffstyp: Bietet die Möglichkeit, Ereignisregeln aufzulistet.

Wo wird die Policy erstellt: Im Mandanten.

Allow group RuleReaders to read cloudevents-rules in tenancy

Mit der oben dargestellten Policy kann die Gruppe "RuleReaders" Regeln im Mandanten auflisten.

Verwalten von Ereignisregeln in einem Compartment durch Administratoren zulassen

Zugriffstyp: Bietet die Möglichkeit, Ereignisregeln zu verwalten, einschließlich Erstellen, Löschen und Aktualisieren der Regeln.

Wo wird die Policy erstellt: Im Mandanten.

Mit dieser Anweisung erhält der Benutzer inspect-Zugriff auf Ressourcen in Compartments zur Auswahl von Aktionen.

allow group <RuleAdmins> to inspect compartments in tenancy

Mit dieser Anweisung erhält der Benutzer Zugriff auf definierte Tags, um Filtertags auf Regeln anzuwenden.

allow group <RuleAdmins> to use tag-namespaces in tenancy

Diese Zeilen gewähren dem Benutzer Zugriff auf Streaming-Ressourcen für Aktionen

allow group <RuleAdmins> to inspect streams in tenancy
allow group <RuleAdmins> to use stream-push in tenancy
allow group <RuleAdmins> to use stream-pull in tenancy

Diese Zeilen ermöglichen dem Benutzer Zugriff auf Functions-Ressourcen für Aktionen.

allow group <RuleAdmins> to use virtual-network-family in tenancy
allow group <RuleAdmins> to manage function-family in tenancy

Diese Zeile ermöglicht dem Benutzer Zugriff auf Notifications-Themen für Aktionen.

allow group <RuleAdmins> to use ons-topic in tenancy

Diese Zeile ermöglicht dem Benutzer Zugriff auf Regeln für Ereignisse.

allow group <RuleAdmins> to manage cloudevents-rules in tenancy

Gruppen Zugriff auf alle Cloud Guard-Komponenten gewähren

Zugriffstyp: Schreibgeschützter Zugriff auf alle Cloud Guard-Komponenten. In der Beispiel-Policy lautet die Gruppe "CloudGuard_ReadOnly".

allow group CloudGuard_ReadOnly to read cloud-guard-family in tenancy
allow group CloudGuard_ReadOnly to read compartments in tenancy
allow group CloudGuard_ReadOnly to read announcements in tenancy

Gruppen Zugriff auf Cloud Guard-Probleme gewähren

Zugriffstyp: Schreibgeschützter Zugriff auf Cloud Guard-Probleme. In der Beispiel-Policy lautet die Gruppe "CloudGuard_ReadOnlyProblems".

allow group CloudGuard_ReadOnlyProblems to read cloud-guard-family in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-detectors in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-targets in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-resource-types in tenancy
allow group CloudGuard_ReadOnlyProblems to read announcements in tenancy
allow group CloudGuard_ReadOnlyProblems to read compartments in tenancy
allow group CloudGuard_ReadOnlyProblems to read cloud-guard-config in tenancy

Gruppen Zugriff auf Cloud Guard-Detektorrezepte gewähren

Zugriffstyp: Schreibgeschützter Zugriff auf Cloud Guard-Detektorrezepte. In der Beispiel-Policy lautet die Gruppe "CloudGuard_ReadOnlyDetectors".

allow group CloudGuard_ReadOnlyDetectors to read cloud-guard-detector-recipes in tenancy
allow group CloudGuard_ReadOnlyDetectors to read announcements in tenancy
allow group CloudGuard_ReadOnlyDetectors to read compartments in tenancy
allow group CloudGuard_ReadOnlyDetectors to read cloud-guard-config in tenancy

Gruppen Zugriff auf Cloud Guard in einem einzelnen Compartment gewähren

Zugriffstyp: Schreibgeschützter Zugriff auf Cloud Guard in einem einzelnen Compartment. In der Beispiel-Policy lautet die Gruppe "CloudGuard_ReadOnly_SingleCompartment", und der Compartment-Name lautet "cgDemo_RestrictedAccess".

allow group CloudGuard_ReadOnly_SingleCompartment to read compartments in tenancy where target.compartment.name = 'cgDemo_RestrictedAccess'
allow group CloudGuard_ReadOnly_SingleCompartment to read cloud-guard-family in compartment cgDemo_RestrictedAccess
allow group CloudGuard_ReadOnly_SingleCompartment to read announcements in compartment cgDemo_RestrictedAccess
allow group CloudGuard_ReadOnly_SingleCompartment to read cloud-guard-config in tenancy

Verwalten aller Bastionen und Sessions durch Sicherheitsadministratoren zulassen

Zugriffstyp: Bietet eine Möglichkeit, alle Ressourcen im Bastion-Service in allen Compartments zu verwalten. Dies ist sinnvoll, wenn eine einzelne Gruppe von Sicherheitsadministratoren alle Bastionen und Sessions in allen Compartments verwalten soll.

Where to create the policy: In the tenancy, so that access is easily granted to all compartments by way of Policy Inheritance. Um den Geltungsbereich des Zugriffs nur auf die Bastionen und Bastionsessions in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.

Allow group SecurityAdmins to manage bastion in tenancy
Allow group SecurityAdmins to manage bastion-session in tenancy
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy

Verwalten von Bastionsessions durch Sicherheitsadministratoren zulassen

Zugriffstyp: Bietet die Möglichkeit, alle Sessions auf allen Bastionen und in allen Compartments zu verwalten, einschließlich Erstellen, Aufbauen und Beenden von Sessions.

Where to create the policy: In the tenancy, so that access is easily granted to all compartments by way of Policy Inheritance. Um den Geltungsbereich des Zugriffs nur auf die Bastionsessions in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.

Allow group SecurityAdmins to use bastion in tenancy
Allow group SecurityAdmins to manage bastion-session in tenancy
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy

Verwalten von Bastionsessions für einen bestimmten Zielhost in einem Compartment durch Sicherheitsadministratoren zulassen

Zugriffstyp: Bietet die Möglichkeit, Sessions auf einer Bastion in einem bestimmten Compartment und nur für Sessions zu verwalten, die Konnektivität zu einer bestimmten Compute-Instanz bereitstellen.

Where to create the policy: In the tenancy, so that access is easily granted to all compartments by way of Policy Inheritance.

Allow group SecurityAdmins to use bastion in compartment ABC
Allow group SecurityAdmins to manage bastion-session in compartment ABC where ALL {target.resource.ocid='<instance_OCID>', target.bastion-session.username='<session_username>'}
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy

Verwalten von Connectors durch eine Gruppe zulassen

Zugriffstyp: Bietet die Möglichkeit, Connectors im Mandanten aufzulisten, zu erstellen, aufzulisten oder zu löschen. Möglichkeit, Connectors in andere Compartments im Mandanten zu verschieben.

Wo wird die Policy erstellt: Im Mandanten.

Allow group A-Admins to manage serviceconnectors in tenancy

Aufrufen von Ops Insights-Aufnahmevorgängen im Mandanten von einer Gruppe zulassen

Zugriffstyp: Bietet die Möglichkeit, Ops Insights-Aufnahmevorgänge nur auf Mandantenebene aufzurufen.

Wo wird die Policy erstellt: Im Mandanten.

allow group opsi-users to use opsi-database-insights in tenancy 
where any 
{request.operation='IngestSqlBucket', 
request.operation='IngestSqlText',
request.operation='IngestSqlPlanLines'}

Erstellen und Löschen von Workspaces ohne Networking durch Benutzer zulassen (Data Integration)

Bietet die Möglichkeit, Workspaces in einem Compartment zu erstellen, zu löschen und zu ändern.

allow group <group-name> to manage dis-workspaces in <compartment-name>
allow group <group-name> to manage dis-work-requests in <compartment-name>
allow group <group-name> to manage tag-namespaces in <compartment-name>

Erstellen und Löschen von Workspaces mit Networking durch Benutzer zulassen (Data Integration)

Bietet die Möglichkeit, Workspaces in einem virtuellen Netzwerk zu erstellen, zu löschen und zu ändern.

allow service dataintegration to use virtual-network-family in <compartment-name>
allow group <group-name> to manage dis-workspaces in <compartment-name>
allow group <group-name> to manage dis-work-requests in <compartment-name>
allow group <group-name> to use virtual-network-family in <compartment-name>
allow group <group-name> to manage tag-namespaces in <compartment-name>

Aufrufen und Verwenden von Object Storage für einen angegebenen Workspace durch Benutzer und Resource Principal zulassen (Datenintegration)

Bietet die Möglichkeit, Object Storage-Datenassets in allen Workspaces zu erstellen und verwenden.

allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to use object-family in <compartment-name>

Um Zugriff auf einen einzelnen Workspace zu erteilen, geben Sie die OCID für den Workspace an, auf den Sie Zugriff erteilen möchten. Beispiel:

allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}

Benutzer- und Resource Principal-Zugriff und Verwendung von autonomen Datenbanken als Ziel für einen bestimmten Workspace zulassen (Data Integration)

Bietet die Möglichkeit zum Erstellen und Verwenden von Datenassets autonomer Datenbanken in allen Workspaces.

allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to use object-family in <compartment-name>
allow any-group to manage buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.permission='PAR_MANAGE'}

Um Zugriff auf einen einzelnen Workspace zu erteilen, geben Sie die OCID für den Workspace an, auf den Sie Zugriff erteilen möchten. Beispiel:

allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-group to manage buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>', request.permission='PAR_MANAGE'}

Durchsuchen von Objekten in einem Workspace durch Benutzer zulassen (Data Integration)

Möglichkeit, die Komponenten von Data Integration in einem angegebenen Workspace zu durchsuchen.

Diese Policy muss auf Mandantenebene (Root Compartment) angewendet werden.

allow service dataintegration to {TENANCY_INSPECT} in tenancy
allow service dataintegration to {DIS_METADATA_INSPECT} in tenancy

Verschieben von Workspace in ein neues Compartment durch Benutzer zulassen (Data Integration)

Bietet die Möglichkeit, Workspaces in ein neues Compartment zu verschieben.

allow service dataintegration to inspect compartments in <compartment-name>
allow group <group-name> to manage dis-workspaces in <compartment-name>

Veröffentlichen von Aufgaben in OCI Data Flow-Service durch Benutzer zulassen (Data Integration)

Möglichkeit, die verschiedenen Aufgaben in allen Workspaces im OCI Data Flow-Service zu veröffentlichen.

allow any-group to manage dataflow-application in <compartment-name> where ALL {request.principal.type='disworkspace'}

Um Zugriff auf einen einzelnen Workspace zu erteilen, geben Sie die OCID für den Workspace an, auf den Sie Zugriff erteilen möchten. Beispiel:

allow any-group to manage dataflow-application in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}

Zugriff auf OCI Vault-Service für einen bestimmten Workspace durch Benutzer zulassen (Data Integration)

Bietet die Möglichkeit, OCI Vault-Secrets in allen Workspaces zu verwenden.

allow any-group to read secret-bundles in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to read secret-bundles in <compartment-name>

Um Zugriff auf einen einzelnen Workspace zu gewähren, geben Sie die OCID für den Workspace an. Beispiel:

allow any-group to read secret-bundles in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}

Oracle Cloud Infrastructure - Dokumentation

Policy-Vorlagen für Policy Builder