Verben
Das Verb-Element einer Policy-Anweisung gibt den Zugriffstyp an. Beispiel: Verwenden Sie inspect, damit externe Auditoren die angegebenen Ressourcen auflisten können.
Verben zum Erstellen von IAM-Policys werden von Oracle definiert.
Von den wenigsten bis zu den meisten Zugriffen sind folgende Verben möglich:
- inspect
- read
- use
- manage
Von jedem Verb abgedeckter allgemeiner Zugriff
Im Folgenden werden allgemeine Typen von Zugriffs- und Zielbenutzern für jedes mögliche Verb aufgeführt, die vom niedrigsten bis zum meisten Zugriff angeordnet sind. Einige Ressourcen unterstützen Ausnahmen. Siehe
| Verb | Zielbenutzer | Abgedeckte Zugriffstypen |
|---|---|---|
inspect
|
Unabhängige Auditoren | Funktion zum Auflisten von Ressourcen, ohne auf vertrauliche Informationen oder benutzerdefinierte Metadaten zuzugreifen, die Bestandteil dieser Ressource sein könnten. Wichtig: Der Vorgang zum Auflisten von Policys umfasst die Inhalte der Policys selbst. Die Auflistenvorgänge für die Networking-Ressourcentypen geben alle Informationen zurück (z.B. die Inhalte der Sicherheitslisten und Routentabellen). |
read
|
Interne Auditoren | Umfasst inspect sowie die Möglichkeit, benutzerdefinierte Metadaten und die Ressource selbst abzurufen. |
use
|
Alltägliche Endbenutzer von Ressourcen | Umfasst read sowie die Möglichkeit, mit vorhandenen Ressourcen zu arbeiten (die Aktionen sind je nach Ressourcentyp unterschiedlich). Umfasst die Möglichkeit, die Ressource mit Ausnahme von Ressourcenarten zu aktualisieren, bei denen der "update"-Vorgang dieselben Auswirkungen hat wie der "create"-Vorgang (Beispiel: UpdatePolicy, UpdateSecurityList und mehr). In diesem Fall ist die "update"-Funktion nur mit dem Verb manage verfügbar. Im Allgemeinen umfasst dieses Verb nicht die Möglichkeit, diesen Ressourcentyp zu erstellen oder zu löschen. |
manage
|
Administratoren | Umfasst alle Berechtigungen für die Ressource. |
Das Verb erteilt einen bestimmten allgemeinen Zugriffstyp (Beispiel: Mit inspect können Sie Ressourcen auflisten und abrufen). Wenn Sie dann diesen Zugriffstyp mit einem bestimmten Ressourcentyp in einer Policy verknüpfen (z.B. Allow group XYZ to inspect compartments in the tenancy), erteilen Sie dieser Gruppe Zugriff auf bestimmte Berechtigungen und API-Vorgänge (z.B. ListCompartments, GetCompartment). Weitere Beispiele finden Sie unter Details für Kombinationen aus Verb + Ressourcentyp. Die Policy-Referenz enthält eine ähnliche Tabelle für jeden Service, in der genau angegeben ist, welche API-Vorgänge für jede Kombination aus Verb und Ressourcentyp abgedeckt sind.
Für bestimmte Ressourcentypen gibt es einige spezielle Ausnahmen oder Nuancen.
Benutzer: Mit Zugriff auf manage users und manage groups können Sie alle Aktionen für Benutzer und Gruppen ausführen, einschließlich Erstellen und Löschen von Benutzern und Gruppen sowie Hinzufügen/Entfernen von Benutzern zu/aus Gruppen. Um Benutzer ohne Zugriff auf das Erstellen und Löschen von Benutzern und Gruppen zu Gruppen hinzuzufügen bzw. daraus zu entfernen, sind nur use users und use groups erforderlich. Siehe Policy Builder-Policy-Vorlagen.
Policys: Die Möglichkeit, eine Policy zu aktualisieren, ist nur mit manage policies und nicht mit use policies verfügbar, da das Aktualisieren einer Policy ähnliche Auswirkungen wie das Erstellen einer neuen Policy hat (Sie können die vorhandenen Policy-Anweisungen überschreiben). Außerdem können Sie mit inspect policies den vollständigen Inhalt der Policys abrufen.
Object Storage-Objekte: Mit inspect objects können Sie alle Objekte in einem Bucket auflisten und für ein bestimmtes Objekt einen HEAD-Vorgang ausführen. Mit read objects können Sie hingegen das Objekt selbst herunterladen.
Load Balancer-Ressourcen: Beachten Sie, dass Sie mit inspect load-balancers alle Informationen zu Load Balancern und den zugehörigen Komponenten (Backend-Sets usw.) abrufen können.
Netzwerkressourcen:
Beachten Sie, dass das Verb inspect nicht nur allgemeine Informationen zu den Komponenten des Cloud-Netzwerks zurückgibt (Beispiel: Name und OCID einer Sicherheitsliste oder einer Routentabelle). Es ruft auch den Inhalt der Komponente (z.B. die eigentlichen Regeln in der Sicherheitsliste, die Routen in der Routentabelle usw.) ab.
Außerdem sind die folgenden Möglichkeiten nur mit dem Verb manage und nicht mit dem Verb use verfügbar:
- Aktualisieren (aktivieren/deaktivieren) von
internet-gateways security-listsaktualisierenroute-tablesaktualisierendhcp-optionsaktualisieren- Ein dynamisches Routinggateway (DRG) an ein virtuelles Cloud-Netzwerk (VCN) anhängen
- Eine IPSec-Verbindung zwischen einem DRG und Customer Premises Equipment (CPE) erstellen
- Peer-VCNs
Jedes VCN verfügt über verschiedene Komponenten, die sich direkt auf das Verhalten des Netzwerks auswirken (Routentabellen, Sicherheitslisten, DHCP-Optionen, Internetgateway usw.). Wenn Sie eine dieser Komponenten erstellen, richten Sie eine Beziehung zwischen dieser Komponente und dem VCN ein. Das heißt, Sie müssen in einer Policy sowohl die Komponente erstellen als auch das VCN selbst verwalten dürfen. Die Möglichkeit, diese Komponente zu aktualisieren (um die Routingregeln, Sicherheitslistenregeln usw. zu ändern) erfordert jedoch NICHT die Berechtigung zur Verwaltung des VCN selbst, auch wenn sich die Änderung dieser Komponente direkt auf das Verhalten des Netzwerks auswirkt. Diese Diskrepanz bietet Ihnen die Flexibilität, Benutzern die geringste Berechtigungsstufe zu erteilen, und Sie müssen dem VCN keinen übermäßigen Zugriff gewähren, damit der Benutzer andere Komponenten des Netzwerks verwalten kann. Wenn Sie jemandem die Möglichkeit geben, einen bestimmten Komponententyp zu aktualisieren, vertrauen Sie ihm implizit die Kontrolle über das Verhalten des Netzwerks an.