Oracle Cloud Infrastructure - Dokumentation

IAM-Policys - Überblick

IAM-Policys steuern die Kontrolle über Ressourcen in Oracle Cloud Infrastructure-(OCI-)Mandanten.

Eine Policy enthält mindestens eine Policy-Anweisung. Jede Anweisung verwendet grundlegende oder bedingte Syntax.

Einfache Syntax:

Allow <subject> to <verb> <resource> in <location>

Bedingte Syntax:

Allow <subject> to <verb> <resource> in <location> where <conditions>

Die folgende Tabelle erläutert kurz die Elemente in der Syntax und enthält Links zu ausführlichen Informationen zu den einzelnen Elementen.

Element Beschreibung
Zulassen Erforderliches Anfangswort. Eine Policy-Anweisung beginnt immer mit dem Wort Allow. Policys ermöglichen nur Zugriff. Sie können ihn nicht verweigern.
<subject>

Einem Benutzer, einer Gruppe oder einem anderen Principal, dem Zugriff erteilt werden soll. Das Subject enthält den Principal-Typ und die ID (Name oder OCID) sowie den Namen der Identitätsdomain, sofern nicht die Standardidentitätsdomain verwendet wird.

Ein Administrator in Ihrer Organisation definiert die Gruppen und Compartments in Ihrem Mandanten. 

Allow group <identity_domain_name>/<group_name> to <verb> <resource-type> in tenancy
<verb> Die Zugriffsebene. Oracle definiert die möglichen Verben und Ressourcentypen, die Sie in Policys verwenden können. Informationen hierzu finden Sie unter Verben.
<resource>

Ressourcen, auf die diese Policy Zugriff gewährt. Oracle definiert die möglichen Ressourcentypen, die Sie in Policys verwenden können. Informationen hierzu finden Sie unter Ressourcen. Einige API-Vorgänge erfordern Zugriff auf mehrere Ressourcentypen. Beispiel: LaunchInstance erfordert die Möglichkeit, Instanzen zu erstellen und mit einem Cloud-Netzwerk zu arbeiten. Für den Vorgang CreateVolumeBackup ist der Zugriff auf das Volume und das Volume-Backup erforderlich. Dies erfordert separate Policy-Anweisungen, um Zugriff auf jeden Ressourcentyp zu erteilen. Diese einzelnen Anweisungen müssen sich nicht in derselben Policy befinden. Ein Benutzer kann den erforderlichen Zugriff aus verschiedenen Gruppen erhalten.

<location>

(Optional) Ein Compartment oder ein Mandant, für das bzw. den die Policy gilt. Bei einem Compartment enthält der Wert eine ID (Name oder OCID).

Manchmal muss die Policy auf den gesamten Mandanten und nicht auf ein Compartment innerhalb des Mandanten angewendet werden. Im Folgenden finden Sie ein Beispiel für eine Compartment-spezifische Policy-Anweisung, in der <location> ein bestimmtes Compartment ist:

Allow group <identifier> to <verb> <resource> in compartment <identifier>

Im Folgenden finden Sie ein Beispiel für eine mandantenweite Policy-Anweisung, in der <location> ein Mandant ist:

Allow group <identifier> to <verb> <resource> in tenancy
<Bedingung> (Optional) Schränkt den Zugriff auf eine Ressource ein.
Eisenbahndiagramm der IAM-Policy-Struktur

Mit OCI können Sie auch mandantenübergreifende Policys erstellen. Weitere Informationen finden Sie unter Mandantenübergreifende Zugriffs-Policys.

Mandantenübergreifende Policys

Mandantenübergreifende Policy-Anweisungen erteilen Subjects die Berechtigung, Ressourcen in anderen Mandanten zu verwenden. Siehe Mandantenübergreifende Zugriffs-Policys.