Mandantenübergreifende Zugriffs-Policys
Verwenden Sie mandantenübergreifende Policy-Anweisungen, um IAM-Policys zu erstellen, die mandantenübergreifend funktionieren.
Sie können mandantenübergreifende Policy-Anweisungen zusätzlich zu den erforderlichen Benutzer- und Service-Policy-Anweisungen erstellen, um Ressourcen für eine andere Organisation mit einem eigenen Mandanten freizugeben. Dabei kann es sich um eine andere Geschäftseinheit in Ihrem Unternehmen, einen Firmenkunden, ein Unternehmen, das Services für Sie bereitstellt, usw. handeln.
Um auf Ressourcen zuzugreifen und diese freizugeben, müssen die Administratoren beider Mandanten spezielle Policy-Anweisungen erstellen, die explizit angeben, auf welche Ressourcen zugegriffen werden kann und welche Ressourcen freigegeben werden können. Diese speziellen Anweisungen verwenden die Wörter Define, Endorse und Admit.
Anweisungen "Endorse", "Admit" und "Define"
Verwenden Sie die folgenden speziellen Startwörter in mandantenübergreifenden Anweisungen:
- Endorse: Gibt das allgemeine Set von Aktionen an, die eine in Ihrem eigenen Mandanten enthaltene Gruppe in anderen Mandanten ausführen kann. Die Endorse-Anweisung gehört immer zum Mandanten, der die Gruppe von Benutzern enthält, die über die Grenzen hinausgehen, um mit den Ressourcen eines anderen Mandanten zu arbeiten. In den Beispielen wird dieser Mandant als Quellmandant bezeichnet.
- Admit: Gibt die Art der Funktionen in Ihrem eigenen Mandanten an, für die Sie einer Gruppe aus dem anderen Mandanten die Berechtigung erteilen möchten. Die Admit-Anweisung befindet sich in dem Mandanten, der den Zugriff auf den Mandanten gewährt. Die Admit-Anweisung identifiziert die Benutzergruppe, die Ressourcenzugriff vom Quellmandanten benötigt und mit einer entsprechenden Endorse-Anweisung identifiziert wird. In den Beispielen wird dieser Mandant als Zielmandant bezeichnet.
-
Define: Weist einer Mandanten-OCID für die Endorse- und Admit-Policy-Anweisungen einen Aliasnamen zu. Die Define-Anweisung ist auch im Zielmandanten erforderlich, um der Quell-IAM-Gruppen-OCID für Admit-Anweisungen einen Aliasnamen zuzuweisen.
Fügen Sie eine Define-Anweisung in derselben Policy-Anweisung wie die Endorse- oder Admit-Policy-Anweisung ein.
Die Anweisungen Endorse und Admit arbeiten zusammen. Eine Endorse-Anweisung befindet sich im Quellmandanten, und eine Admit-Anweisung befindet sich im Zielmandanten. Ohne eine entsprechende Anweisung, die den Zugriff angibt, erteilt eine bestimmte Endorse- oder Admit-Anweisung keinerlei Zugriff. Beide Mandanten müssen dem Zugriff zustimmen.
Zusätzlich zu Policy-Anweisungen müssen Ziel- und Quellmandanten dieselben Regionen abonnieren, um Ressourcen gemeinsam nutzen zu können.
Mandantenübergreifende Beispiele
-
Mit der folgenden Policy kann die Gruppe
StorageAdmins
Ressourcen in Object Storage-Zielmandantenressourcen verwalten:Endorse group StorageAdmins to manage object-family in any-tenancy
Die folgenden Policy-Anweisungen bestätigen die IAM-Gruppe
StorageAdmins
im Quellmandanten, um alle Aktionen mit allen Object Storage-Ressourcen in Ihrem Zielmandanten auszuführen:Define tenancy SourceTenancy as ocid1.tenancy.oc1.exampleuniqueID Define group StorageAdmins as ocid1.group.oc1.exampleuniqueID Admit group StorageAdmins of tenancy SourceTenancy to manage object-family in tenancy
-
Um eine Policy zu schreiben, die den Geltungsbereich des Mandantenzugriffs reduziert, muss der Quelladministrator die Zielmandanten-OCID angeben, die vom Zieladministrator bereitgestellt wird. Die folgenden Policy-Anweisungen bestätigen die IAM-Gruppe
StorageAdmins
, um Object Storage-Ressourcen nur inDestinationTenancy
zu verwalten:Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID> Endorse group StorageAdmins to manage object-family in tenancy DestinationTenancy
In diesen Beispiel-Policy-Anweisungen wird die IAM-Gruppe
StorageAdmins
im Quellmandanten unterstützt, um Object Storage-Ressourcen nur im CompartmentSharedBuckets
zu verwalten:Define tenancy SourceTenancy as ocid1.tenancy.oc1..exampleuniqueID Define group StorageAdmins as ocid1.group.oc1..exampleuniqueID Admit group StorageAdmins of tenancy SourceTenancy to manage object-family in compartment SharedBuckets