Oracle Cloud Infrastructure - Dokumentation

Mandantenübergreifende Zugriffs-Policys

Verwenden Sie mandantenübergreifende Policy-Anweisungen, um IAM-Policys zu erstellen, die mandantenübergreifend funktionieren.

Sie können mandantenübergreifende Policy-Anweisungen zusätzlich zu den erforderlichen Benutzer- und Service-Policy-Anweisungen erstellen, um Ressourcen für eine andere Organisation mit einem eigenen Mandanten freizugeben. Diese Organisation kann eine andere Geschäftseinheit in Ihrem Unternehmen sein, ein Firmenkunde, ein Unternehmen, das Services für Sie bereitstellt usw.

Um auf Ressourcen zuzugreifen und diese freizugeben, müssen die Administratoren beider Mandanten spezielle Policy-Anweisungen erstellen, die explizit angeben, auf welche Ressourcen zugegriffen werden kann und welche Ressourcen freigegeben werden können. Diese speziellen Anweisungen verwenden die Wörter Define, Endorse und Admit.

Anweisungen "Endorse", "Admit" und "Define"

Verwenden Sie die folgenden speziellen Startwörter in mandantenübergreifenden Anweisungen:

  • Endorse: Gibt das allgemeine Set von Aktionen an, die eine in Ihrem eigenen Mandanten enthaltene Gruppe in anderen Mandanten ausführen kann. Die Endorse-Anweisung gehört immer zu dem Mandanten, der die Benutzergruppe enthält, die die Grenzen überschreitet, um mit den Ressourcen eines anderen Mandanten zu arbeiten. In den Beispielen wird dieser Mandant als Quellmandant bezeichnet.
  • Admit: Gibt die Art der Fähigkeit an, in Ihrem eigenen Mandanten die Sie einer Gruppe aus dem anderen Mandanten die Berechtigung erteilen möchten. Die Admit-Anweisung ist in dem Mandanten vorhanden, der den Zugriff auf den Mandanten gewährt. Die Admit-Anweisung identifiziert die Benutzergruppen, die Ressourcenzugriff vom Quellmandanten benötigt und mit einer entsprechenden Endorse-Anweisung identifiziert wird. In den Beispielen wird dieser Mandant als Zielmandant bezeichnet.

  • Define: Weist einer Mandanten-OCID für die Endorse- und Admit-Policy-Anweisungen einen Aliasnamen zu. Eine Define-Anweisung ist zudem im Zielmandanten erforderlich, um der Quell-IAM-Gruppen-OC-ID für Admit-Anweisungen einen Aliasnamen zuzuweisen.

    Nehmen Sie eine Define-Anweisung in dieselbe Policy-Anweisung wie die Endorse- oder Admit-Policy-Anweisung auf.

Die Anweisungen Endorse und Admit arbeiten zusammen. Eine Endorse-Anweisung befindet sich im Quellmandanten, und eine Admit-Anweisung befindet sich im Zielmandanten. Ohne eine entsprechende Anweisung, die den Zugriff angibt, erteilt eine bestimmte Endorse- oder Admit-Anweisung keinerlei Zugriff. Beide Mandanten müssen dem Zugriff zustimmen.

Wichtig

Zusätzlich zu Policy-Anweisungen müssen Ziel- und Quellmandanten dieselben Regionen abonnieren, um Ressourcen gemeinsam zu nutzen.

Mandantenübergreifende Beispiele

  • Mit der folgenden Policy kann die Gruppe StorageAdmins Ressourcen in den Objektspeicherressourcen des Zielmandanten verwalten:

    Endorse group StorageAdmins to manage object-family in any-tenancy

    Die folgenden Policy-Anweisungen bestätigen die IAM-Gruppe StorageAdmins im Quellmandanten, um alle Aktionen mit allen Object Storage-Ressourcen in Ihrem Zielmandanten auszuführen:

    Define tenancy SourceTenancy as ocid1.tenancy.oc1.exampleuniqueID
Define group StorageAdmins as ocid1.group.oc1.exampleuniqueID
Admit group StorageAdmins of tenancy SourceTenancy to manage object-family in tenancy

  • Um eine Policy zu schreiben, die den Geltungsbereich des Mandantenzugriffs reduziert, muss der Quelladministrator die Zielmandanten-OCID angeben, die vom Zieladministrator bereitgestellt wird. Die folgenden Policy-Anweisungen bestätigen die IAM-Gruppe StorageAdmins, um Object Storage-Ressourcen nur in DestinationTenancy zu verwalten:

    Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group StorageAdmins to manage object-family in tenancy DestinationTenancy

    Diese Beispiel-Policy-Anweisungen bestätigen die IAM-Gruppe StorageAdmins im Quellmandanten, um Object Storage-Ressourcen nur im Compartment SharedBuckets zu verwalten:

    Define tenancy SourceTenancy as ocid1.tenancy.oc1..exampleuniqueID
Define group StorageAdmins as ocid1.group.oc1..exampleuniqueID
Admit group StorageAdmins of tenancy SourceTenancy to manage object-family in compartment SharedBuckets