Verben
Verben, die Sie in Ihren Policys verwenden können.
Oracle definiert die möglichen Verben, die Sie in Ihren Policys verwenden können. Die folgende Tabelle enthält eine Zusammenfassung der Verben, von der geringsten Zugriffsberechtigung bis zur höchsten:
| Verb | Abgedeckte Zugriffstypen | Zielbenutzer |
|---|---|---|
inspect
|
Möglichkeit, Ressourcen aufzulisten, ohne auf vertrauliche Informationen oder benutzerdefinierte Metadaten zuzugreifen, die Bestandteil dieser Ressource sein könnten. Wichtig: Der Vorgang zum Auflisten von Policys umfasst den Inhalt der Policys selbst, und die Auflistvorgänge für die Networking-Ressourcentypen geben alle Informationen zurück (z.B. den Inhalt von Sicherheitslisten und Routentabellen). | Unabhängige Auditoren |
read
|
Umfasst inspect sowie die Möglichkeit, benutzerdefinierte Metadaten und die Ressource selbst abzurufen. |
Interne Auditoren |
use
|
Umfasst read sowie die Möglichkeit, mit vorhandenen Ressourcen zu arbeiten (die Aktionen sind je nach Ressourcentyp unterschiedlich). Umfasst die Möglichkeit, die Ressource mit Ausnahme von Ressourcentypen zu aktualisieren, bei denen der "update"-Vorgang dieselbe Auswirkung wie der "create"-Vorgang hat (Beispiel: UpdatePolicy, UpdateSecurityList usw.). In diesem Fall ist die "update"-Möglichkeit nur mit dem Verb manage verfügbar. Im Allgemeinen beinhaltet dieses Verb nicht das Erstellen oder Löschen dieses Ressourcentyp. |
Alltägliche Endbenutzer von Ressourcen |
manage
|
Umfasst alle Berechtigungen für die Ressource. | Administratoren |
Das Verb erteilt einen bestimmten allgemeinen Zugriffstyp (Beispiel: Mit inspect können Sie Ressourcen auflisten und abrufen). Wenn Sie dann diesen Zugriffstyp mit einem bestimmten Ressourcentyp in einer Policy verknüpfen (z.B. Allow group XYZ to inspect compartments in the tenancy), erteilen Sie dieser Gruppe Zugriff auf bestimmte Berechtigungen und API-Vorgänge (z.B. ListCompartments, GetCompartment). Weitere Beispiele finden Sie unter Details für Kombinationen aus Verb + Ressourcentyp. Die Policy-Referenz enthält eine ähnliche Tabelle für jeden Service, in der genau angegeben ist, welche API-Vorgänge für jede Kombination aus Verb und Ressourcentyp abgedeckt sind.
Für bestimmte Ressourcentypen gibt es einige spezielle Ausnahmen oder Nuancen.
Benutzer: Mit Zugriff auf manage users und manage groups können Sie alle Aktionen für Benutzer und Gruppen ausführen, einschließlich Erstellen und Löschen von Benutzern und Gruppen sowie Hinzufügen/Entfernen von Benutzern zu/aus Gruppen. Um Benutzer ohne Zugriff auf das Erstellen und Löschen von Benutzern und Gruppen zu Gruppen hinzuzufügen bzw. daraus zu entfernen, sind nur use users und use groups erforderlich. Siehe Allgemeine Policys.
Policys: Die Möglichkeit, eine Policy zu aktualisieren, ist nur mit manage policies und nicht mit use policies verfügbar, da das Aktualisieren einer Policy ähnliche Auswirkungen wie das Erstellen einer neuen Policy hat (Sie können die vorhandenen Policy-Anweisungen überschreiben). Außerdem können Sie mit inspect policies den vollständigen Inhalt der Policys abrufen.
Object Storage-Objekte: Mit inspect objects können Sie alle Objekte in einem Bucket auflisten und für ein bestimmtes Objekt einen HEAD-Vorgang ausführen. Mit read objects können Sie hingegen das Objekt selbst herunterladen.
Load Balancer-Ressourcen: Beachten Sie, dass Sie mit inspect load-balancers alle Informationen zu Load Balancer und den zugehörigen Komponenten (Backend-Sets usw.) abrufen können.
Networking-Ressourcen:
Beachten Sie, dass das Verb inspect nicht nur allgemeine Informationen zu den Komponenten des Cloud-Netzwerks zurückgibt (Beispiel: Name und OCID einer Sicherheitsliste oder einer Routentabelle). Es ruft auch den Inhalt der Komponente (z.B. die eigentlichen Regeln in der Sicherheitsliste, die Routen in der Routentabelle usw.) ab.
Außerdem sind die folgenden Möglichkeiten nur mit dem Verb manage und nicht mit dem Verb use verfügbar:
- Aktualisieren (aktivieren/deaktivieren) von
internet-gateways security-listsaktualisierenroute-tablesaktualisierendhcp-optionsaktualisieren- Ein dynamisches Routinggateway (DRG) an ein virtuelles Cloud-Netzwerk (VCN) anhängen
- Eine IPSec-Verbindung zwischen einem DRG und Customer Premises Equipment (CPE) erstellen
- Peer-VCNs
Jedes VCN verfügt über verschiedene Komponenten, die sich direkt auf das Verhalten des Netzwerks auswirken (Routentabellen, Sicherheitslisten, DHCP-Optionen, Internetgateway usw.). Wenn Sie eine dieser Komponenten erstellen, richten Sie eine Beziehung zwischen dieser Komponente und dem VCN ein. Das heißt, Sie müssen in einer Policy sowohl die Komponente erstellen als auch das VCN selbst verwalten dürfen. Die Möglichkeit, diese Komponente zu aktualisieren (um die Routingregeln, Sicherheitslistenregeln usw. zu ändern) erfordert jedoch NICHT die Berechtigung zur Verwaltung des VCN selbst, auch wenn sich die Änderung dieser Komponente direkt auf das Verhalten des Netzwerks auswirkt. Diese Diskrepanz bietet Ihnen die Flexibilität, Benutzern die geringste Berechtigungsstufe zu erteilen, und Sie müssen dem VCN keinen übermäßigen Zugriff gewähren, damit der Benutzer andere Komponenten des Netzwerks verwalten kann. Wenn Sie jemandem die Möglichkeit geben, einen bestimmten Komponententyp zu aktualisieren, vertrauen Sie ihm implizit die Kontrolle über das Verhalten des Netzwerks an.