Oracle Cloud Infrastructure - Dokumentation

Policy-Anweisungen mit Policy Builder erstellen

Mit Policy Builder arbeiten

Mit dem Policy Builder in der Konsole können Sie schnell allgemeine Policys erstellen, ohne die Policy-Anweisungen manuell eingeben zu müssen. Der Policy Builder schlägt automatisch die Berechtigungen vor, die Administratoren Gruppen von Benutzern oder Ressourcen in ihren Mandanten sowie Zielressourcen wie Instanzen, Netzwerken und Buckets erteilen können. Die meisten im Policy Builder vorgeschlagenen Policys finden Sie auch unter Allgemeine Policys. Dort erhalten Sie weitere Details zum Zugriff, der von jeder Policy und den jeweiligen Anwendungsfällen erteilt wird. Benutzer, die keine Vorschläge des Policy Builders benötigen oder komplexere Policy-Anforderungen haben, können die Option "Einfach" des Builders umgehen und direkt den erweiterten Editor verwenden. Dort können Sie die Policy-Anweisungen direkt in ein Textfeld in beliebigem Format eingeben.

Features des Policy Builders

Der Policy Builder stellt Policy-Vorlagen bereit, die Sie zum Erstellen von Policys für Ihren Mandanten ausfüllen können. Eine Policy-Vorlage enthält alle Anweisungen, die erforderlich sind, um die Berechtigungen zum Ausführen einer Aufgabe oder einer Gruppe von zugehörigen Aufgaben in einem Service in OCI bereitzustellen. Um die Vorlage auszufüllen, wählen Sie die Gruppe in einem Menü mit im Mandanten vorhandenen Gruppen aus, und wählen Sie den Speicherort aus einer Liste mit Compartments im Mandanten aus.

Die Policy-Vorlagen im Policy Builder werden nach Anwendungsfall gruppiert, z.B. Netzwerkmanagement, Speicherverwaltung und Accountverwaltung, damit sie einfach durchsucht werden können und das erforderliche Berechtigungsset leicht zu finden ist.

Beispiel: Angenommen, Sie richten die Netzwerkadministratoren für Ihren Mandanten ein. Sie müssen einer Benutzergruppe die Berechtigungen erteilen, die für die Arbeit mit allen Ressourcen im Networking-Service erforderlich sind. So erstellen Sie diese Policy im Policy Builder:

  • Suchen Sie zunächst die gewünschte Policy: Wählen Sie im Menü Policy-Anwendungsfälle die Option Netzwerkmanagement aus. Wenn Sie nicht sicher sind, zu welchem Anwendungsfall eine Policy gehört, können Sie diese Option auf Alle setzen, um alle Vorlagen zu durchsuchen.
  • Wählen Sie im Menü Allgemeine Policy-Vorlagen die Option Verwalten eines Cloud-Netzwerks durch Netzwerkadministratoren zulassen aus.

    Der Policy Builder zeigt die Policy-Anweisungen an, die erstellt werden. In diesem Fall gibt es nur eine Anweisung:

    Allow {group name} to manage virtual-network-family in {location}
  • Jetzt müssen Sie nur noch die Identitätsdomain und die Gruppe für die Policy auswählen: Wenn Sie eine Gruppe auswählen, wird auch der {group name} in der angezeigten Policy-Anweisung mit Ihrer Auswahl aktualisiert.
  • Wählen Sie zum Schluss den Speicherort aus. Sie können die Compartment-Hierarchie durchgehen, um das entsprechende Compartment zu suchen und auszuwählen. Um die Policy im Mandanten zu erstellen, wählen Sie das Root Compartment aus.

Policys anpassen

Wenn Sie feststellen, dass eine Vorlage nicht Ihren Anforderungen entspricht, können Sie die bereitgestellten Policys anpassen, indem Sie Anweisungen hinzufügen oder entfernen, Bedingungen hinzufügen oder andere Änderungen vornehmen, um die erforderliche Policy zu erstellen. Klicken Sie auf Manuellen Editor anzeigen, um die Anweisungen in einem Freitextfeld zu bearbeiten. Wenn Sie Anweisungen direkt in das Textfeld eingeben, müssen Sie die Regeln der Policy-Syntax befolgen.

Beispiele für die Anpassung der Policy für Netzwerkadministratoren:

  • Sie müssen GroupB (aus der Standardidentitätsdomain) als weitere Gruppe in diese Policy aufnehmen. So fügen Sie eine Gruppe hinzu:

    Klicken Sie auf Manuellen Editor anzeigen. Geben Sie im Textfeld die Änderungen an der Policy ein (nach der erforderlichen Syntax). 

    Allow group 'Default'/'GroupA', 'Default'/'GroupB' to manage virtual-network-family in compartment CompartmentA

    Diese Abbildung zeigt das Textfeld im erweiterten Policy Builder mit bearbeiteter Anweisung

    Hinweis

    Wenn Sie nur den Gruppennamen ohne Identitätsdomain angeben, geht der Policy Builder davon aus, dass sich die Gruppe in der Standardidentitätsdomain befindet.
  • Sie müssen der Anweisung eine Bedingung hinzufügen. Beispiel: Sie möchten sicherstellen, dass nur Benutzer, die mit MFA verifiziert wurden, Ihre Netzwerke verwalten können. Sie können diese Bedingung wie folgt zur Anweisung hinzufügen:
    Allow group GroupA to manage virtual-network-family in compartment CompartmentA where request.user.mfaTotpVerified='true'
  • Sie möchten der Policy eine weitere Anweisung hinzufügen. Beispiel: Sie möchten, dass GroupA Instanzen verwenden darf. Um eine weitere Anweisung hinzuzufügen, geben Sie sie in die nächste Zeile ein:
    Allow group GroupA to manage virtual-network-family in compartment CompartmentA
Allow group GroupA to use instance-family in compartment CompartmentA

Policys mit dem Policy Builder bearbeiten

Nachdem Sie die Policy erstellt haben, können Sie alle erforderlichen Anweisungsänderungen direkt im Policy-Text eingeben. Die Vorlagenauswahl ist nur beim Erstellen einer neuen Policy verfügbar. Mit dem Editor können Sie Anweisungen löschen, hinzufügen, bearbeiten oder ihre Reihenfolge ändern.