Oracle Cloud Infrastructure - Dokumentation

Mandantenübergreifende Zugriffs-Policys

Verwenden Sie mandantenübergreifende Policy-Anweisungen, um IAM-Policys zu erstellen, die mandantenübergreifend funktionieren.

Sie können mandantenübergreifende Policy-Anweisungen zusätzlich zu den erforderlichen Benutzer- und Service-Policy-Anweisungen erstellen, um Ressourcen für eine andere Organisation mit einem eigenen Mandanten freizugeben. Dabei kann es sich um eine andere Geschäftseinheit in Ihrem Unternehmen, einen Firmenkunden, ein Unternehmen, das Services für Sie bereitstellt, usw. handeln.

Um auf Ressourcen zuzugreifen und diese freizugeben, müssen die Administratoren beider Mandanten spezielle Policy-Anweisungen erstellen, die explizit angeben, auf welche Ressourcen zugegriffen werden kann und welche Ressourcen freigegeben werden können. Diese speziellen Anweisungen verwenden die Wörter Define, Endorse und Admit.

Anweisungen "Endorse", "Admit" und "Define"

Verwenden Sie die folgenden speziellen Startwörter in mandantenübergreifenden Anweisungen:

  • Endorse: Gibt das allgemeine Set von Aktionen an, die eine in Ihrem eigenen Mandanten enthaltene Gruppe in anderen Mandanten ausführen kann. Die Endorse-Anweisung gehört immer zum Mandanten, der die Gruppe von Benutzern enthält, die über die Grenzen hinausgehen, um mit den Ressourcen eines anderen Mandanten zu arbeiten. In den Beispielen wird dieser Mandant als Quellmandant bezeichnet.
  • Admit: Gibt die Art der Funktionen in Ihrem eigenen Mandanten an, für die Sie einer Gruppe aus dem anderen Mandanten die Berechtigung erteilen möchten. Die Admit-Anweisung befindet sich in dem Mandanten, der den Zugriff auf den Mandanten gewährt. Die Admit-Anweisung identifiziert die Benutzergruppe, die Ressourcenzugriff vom Quellmandanten benötigt und mit einer entsprechenden Endorse-Anweisung identifiziert wird. In den Beispielen wird dieser Mandant als Zielmandant bezeichnet.

  • Define: Weist einer Mandanten-OCID für die Endorse- und Admit-Policy-Anweisungen einen Aliasnamen zu. Die Define-Anweisung ist auch im Zielmandanten erforderlich, um der Quell-IAM-Gruppen-OCID für Admit-Anweisungen einen Aliasnamen zuzuweisen.

    Fügen Sie eine Define-Anweisung in derselben Policy-Anweisung wie die Endorse- oder Admit-Policy-Anweisung ein.

Die Anweisungen Endorse und Admit arbeiten zusammen. Eine Endorse-Anweisung befindet sich im Quellmandanten, und eine Admit-Anweisung befindet sich im Zielmandanten. Ohne eine entsprechende Anweisung, die den Zugriff angibt, erteilt eine bestimmte Endorse- oder Admit-Anweisung keinerlei Zugriff. Beide Mandanten müssen dem Zugriff zustimmen.

Wichtig

Zusätzlich zu Policy-Anweisungen müssen Ziel- und Quellmandanten dieselben Regionen abonnieren, um Ressourcen gemeinsam nutzen zu können.

Mandantenübergreifende Beispiele

  • Mit der folgenden Policy kann die Gruppe StorageAdmins Ressourcen in Object Storage-Zielmandantenressourcen verwalten:

    Endorse group StorageAdmins to manage object-family in any-tenancy

    Die folgenden Policy-Anweisungen bestätigen die IAM-Gruppe StorageAdmins im Quellmandanten, um alle Aktionen mit allen Object Storage-Ressourcen in Ihrem Zielmandanten auszuführen:

    Define tenancy SourceTenancy as ocid1.tenancy.oc1.exampleuniqueID
Define group StorageAdmins as ocid1.group.oc1.exampleuniqueID
Admit group StorageAdmins of tenancy SourceTenancy to manage object-family in tenancy

  • Um eine Policy zu schreiben, die den Geltungsbereich des Mandantenzugriffs reduziert, muss der Quelladministrator die Zielmandanten-OCID angeben, die vom Zieladministrator bereitgestellt wird. Die folgenden Policy-Anweisungen bestätigen die IAM-Gruppe StorageAdmins, um Object Storage-Ressourcen nur in DestinationTenancy zu verwalten:

    Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group StorageAdmins to manage object-family in tenancy DestinationTenancy

    In diesen Beispiel-Policy-Anweisungen wird die IAM-Gruppe StorageAdmins im Quellmandanten unterstützt, um Object Storage-Ressourcen nur im Compartment SharedBuckets zu verwalten:

    Define tenancy SourceTenancy as ocid1.tenancy.oc1..exampleuniqueID
Define group StorageAdmins as ocid1.group.oc1..exampleuniqueID
Admit group StorageAdmins of tenancy SourceTenancy to manage object-family in compartment SharedBuckets