IAM-Policys - Überblick
IAM-Policys steuern die Kontrolle über Ressourcen in Oracle Cloud Infrastructure-(OCI-)Mandanten.
Eine Policy enthält mindestens eine Policy-Anweisung. Jede Anweisung verwendet grundlegende oder bedingte Syntax.
Einfache Syntax:
Allow <subject> to <verb> <resource> in <location>
Bedingte Syntax:
Allow <subject> to <verb> <resource> in <location> where <conditions>
Die folgende Tabelle erläutert kurz die Elemente in der Syntax und enthält Links zu ausführlichen Informationen zu den einzelnen Elementen.
Element | Beschreibung |
---|---|
Zulassen | Erforderliches Anfangswort. Eine Policy-Anweisung beginnt immer mit dem Wort Allow . Policys ermöglichen nur Zugriff. Sie können ihn nicht verweigern. |
<subject> |
Einem Benutzer, einer Gruppe oder einem anderen Principal, dem Zugriff erteilt werden soll. Das Subject enthält den Principal-Typ und die ID (Name oder OCID) sowie den Namen der Identitätsdomain, sofern nicht die Standardidentitätsdomain verwendet wird. Ein Administrator in Ihrer Organisation definiert die Gruppen und Compartments in Ihrem Mandanten.
|
<verb> | Die Zugriffsebene. Oracle definiert die möglichen Verben und Ressourcentypen, die Sie in Policys verwenden können. Informationen hierzu finden Sie unter Verben. |
<resource> |
Ressourcen, auf die diese Policy Zugriff gewährt. Oracle definiert die möglichen Ressourcentypen, die Sie in Policys verwenden können. Informationen hierzu finden Sie unter Ressourcen. Einige API-Vorgänge erfordern Zugriff auf mehrere Ressourcentypen. Beispiel: |
<location> |
(Optional) Ein Compartment oder ein Mandant, für das bzw. den die Policy gilt. Bei einem Compartment enthält der Wert eine ID (Name oder OCID). Manchmal muss die Policy auf den gesamten Mandanten und nicht auf ein Compartment innerhalb des Mandanten angewendet werden. Im Folgenden finden Sie ein Beispiel für eine Compartment-spezifische Policy-Anweisung, in der <location> ein bestimmtes Compartment ist:
Im Folgenden finden Sie ein Beispiel für eine mandantenweite Policy-Anweisung, in der <location> ein Mandant ist:
|
<Bedingung> | (Optional) Schränkt den Zugriff auf eine Ressource ein. |
Mit OCI können Sie auch mandantenübergreifende Policys erstellen. Weitere Informationen finden Sie unter Mandantenübergreifende Zugriffs-Policys.
Mandantenübergreifende Policys
Mandantenübergreifende Policy-Anweisungen erteilen Subjects die Berechtigung, Ressourcen in anderen Mandanten zu verwenden. Siehe Mandantenübergreifende Zugriffs-Policys.