Oracle Cloud Infrastructure - Dokumentation

Überblick über IAM-Policys

IAM-Policys regeln die Kontrolle über Ressourcen in Oracle Cloud Infrastructure-(OCI-)Mandanten.

Eine Policy enthält eine oder mehrere Policy-Anweisungen. Jede Anweisung verwendet eine allgemeine oder bedingte Syntax.

Basissyntax:

Allow <subject> to <verb> <resource> in <location>

Bedingte Syntax:

Allow <subject> to <verb> <resource> in <location> where <conditions>

In der folgenden Tabelle werden die Elemente in der Syntax kurz erläutert und Links zu detaillierten Informationen zu den einzelnen Elementen bereitgestellt.

Element Beschreibung
Zulassen Erforderliches Startwort. Eine Policy-Anweisung beginnt immer mit dem Wort Allow. Policys zulassen den Zugriff nur, sie können ihn nicht verweigern.
<Thema>

Ein Benutzer, eine Gruppe oder ein anderer Principal, dem Zugriff erteilt werden soll. Das Subject enthält den Principal-Typ und die ID (Name oder OCID) und wird durch den Namen der Identitätsdomain vorangestellt, es sei denn, die Standardidentitätsdomain wird verwendet.

Ein Administrator in Ihrer Organisation definiert die Gruppen und Compartments in Ihrem Mandanten. 

Allow group <identity_domain_name>/<group_name> to <verb> <resource-type> in tenancy
<verb> Die Zugriffsebene. Oracle definiert die möglichen Verben und Ressourcentypen, welche Sie in Policys verwenden können (siehe Verben).
<Ressource>

Ressourcen, auf die die Policy Zugriff erteilt. Oracle definiert die möglichen Ressourcentypen, die Sie in Policys verwenden können. Informationen hierzu finden Sie unter Ressourcen. Einige API-Vorgänge erfordern Zugriff auf verschiedene Ressourcentypen. Beispiel: LaunchInstance erfordert die Möglichkeit, Instanzen zu erstellen und mit einem Cloud-Netzwerk zu arbeiten. Für den Vorgang CreateVolumeBackup ist der Zugriff auf das Volume und das Volume-Backup erforderlich. Dazu sind separate Policy-Anweisungen erforderlich, um Zugriff auf jeden Ressourcentyp zu erteilen. Diese einzelnen Anweisungen müssen sich nicht in derselben Policy befinden. Ein Benutzer kann den erforderlichen Zugriff aus unterschiedlichen Gruppen erhalten.

<Standort>

(Optional) Ein Compartment oder Mandanten, für das die Policy gilt. Bei einem Compartment enthält der Wert eine ID (Name oder OCID).

Manchmal muss die Policy auf den gesamten Mandanten und nicht auf ein Compartment innerhalb des Mandanten angewendet werden. Im Folgenden finden Sie ein Beispiel für eine compartment-spezifische Policy-Anweisung, in der <location> ein bestimmtes Compartment ist:

Allow group <identifier> to <verb> <resource> in compartment <identifier>

Im Folgenden finden Sie ein Beispiel für eine mandantenweite Policy-Anweisung, bei der <location> der Mandant ist:

Allow group <identifier> to <verb> <resource> in tenancy
<Bedingung> (Optional) Begrenzt den Zugriff auf eine Ressource.
Railroad-Diagramm der IAM-Policy-Struktur

Mit OCI können Sie auch mandantenübergreifende Policys erstellen. Weitere Informationen finden Sie unter Mandantenübergreifende Zugriffs-Policys.

Mandantenübergreifende Policys

Mandantenübergreifende Policy-Anweisungen erteilen Subjects die Berechtigung, Ressourcen in anderen Mandanten zu verwenden. Siehe Cross-Tenancy Access Policys.