Lernen Sie die Details zu Berechtigungen für den Certificates-Service kennen, damit Sie Policys schreiben können, um den Zugriff auf seine Ressourcen zu kontrollieren.
In diesem Thema werden Details zum Certificates-Service beschrieben, darunter die Ressourcentypen, für die Sie Berechtigungen erteilen können, die speziellen Variablen, die Sie beim Hinzufügen von Bedingungen zu einer Policy verwenden können, die Hierarchie der Berechtigungen und die API-Vorgänge, die von jedem Verb für jeden Ressourcentyp abgedeckt werden, sowie die Berechtigungen für jeden API-Vorgang.
Individuelle Ressourcentypen
Mit einzelnen Ressourcentypen können Sie Policy-Anweisungen schreiben, die ausschließlich für den betreffenden Ressourcentyp gelten.
leaf-certificates
leaf-certificate-versions
leaf-certificate-bundles
certificate-authorities
certificate-authority-versions
certificate-authority-bundles
certificate-authority-delegates
cabundles
certificate-associations
certificate-authority-associations
cabundle-associations
Aggregierte Ressourcentypen 🔗
Mit aggregierten Ressourcentypen können Sie Policy-Anweisungen mit einem Geltungsbereich erstellen, der über einen einzelnen Ressourcentyp hinausgeht und sich auf alle vom aggregierten Ressourcentyp abgedeckten Ressourcentypen erstreckt.
leaf-certificate-family
certificate-authority-family
Eine Policy, die <verb> leaf-certificate-family verwendet, entspricht dem Schreiben einer Policy mit einer separaten <verb> <individual resource-type>-Anweisung für die folgenden individuellen Zertifikatsressourcentypen: leaf-certificates, leaf-certificate-versions, leaf-certificate-bundles, cabundles, certificate-associations und cabundle-associations.
Eine Policy, die <verb> certificate-authority-family verwendet, entspricht dem Schreiben einer Policy mit einer separaten <verb> <individual resource-type>-Anweisung für die folgenden einzelnen Certificate-Authority-(CA-) und Zertifikatsressourcentypen: certificate-authorities, certificate-authority-versions, certificate-authority-bundles, certificate-authority-delegates, leaf-certificates, leaf-certificate-versions, leaf-certificate-bundles, cabundles, certificate-associations, certificate-authority-associations und cabundle-associations.
Details zu den von den einzelnen Verben abgedeckten API-Vorgängen für jeden Ressourcentyp in leaf-certificate-family und certificate-authority-family finden Sie in der Tabelle unter Details für Kombinationen aus Verb + Ressourcentyp.
Unterstützte Variablen 🔗
Der Certificates-Service unterstützt alle allgemeinen Variablen sowie die hier aufgelisteten Variablen. Weitere Informationen zu allgemeinen Variablen, die von Oracle Cloud Infrastructure-Services unterstützt werden, finden Sie unter Allgemeine Variablen für alle Anforderungen.
Vorgänge für diesen Ressourcentyp...
Diese Variablen können verwendet werden...
Variablentyp
Kommentare
certificate-authorities
target.certificate-authority.id
Entity (OCID)
Mit dieser Variablen können Sie den Zugriff auf eine Certificate Authority (CA) basierend auf der OCID der CA kontrollieren. (Sie können diese Variable beim Erstellen einer CA nicht verwenden, da die CA noch keine OCID aufweist.)
target.certificate-authority.name
Zeichenfolge
Mit dieser Variablen können Sie den Zugriff auf einen bestimmten CA-Namen kontrollieren.
target.certificate-authority.subject
Zeichenfolge
Mit dieser Variablen können Sie den Zugriff auf eine CA basierend auf dem CA-Subject kontrollieren.
target.certificate-authority.type
Zeichenfolge
Mit dieser Variablen können Sie den Zugriff auf CAs eines bestimmten Typs begrenzen. CA-Typen umfassen ROOT_CA und SUBORDINATE_CA.
target.issuer-certificate-authority.id
Zeichenfolge
Mit dieser Variablen können Sie den Zugriff auf CAs basierend auf der OCID der Aussteller-CA begrenzen.
certificate-authority-versions
target.certificate-authority.id
Entity (OCID)
Mit dieser Variablen können Sie den Zugriff auf eine CA-Version basierend auf der OCID der entsprechenden CA kontrollieren.
target.certificate-authority.name
Zeichenfolge
Mit dieser Variablen können Sie den Zugriff auf eine CA-Version basierend auf dem Namen der CA kontrollieren.
certificate-authority-bundles
target.certificate-authority.id
Entity (OCID)
Mit dieser Variablen können Sie den Zugriff auf das Bundle einer CA basierend auf der OCID der CA des Bundles kontrollieren.
target.certificate-authority.name
Zeichenfolge
Mit dieser Variablen können Sie den Zugriff auf das Bundle einer CA nach dem Namen der CA des Bundles kontrollieren.
certificate-authority-associations
target.association.id
Entity (OCID)
Mit dieser Variablen können Sie den Zugriff auf eine CA-Verknüpfung basierend auf der OCID der Verknüpfung kontrollieren. (Diese Variable kann beim Erstellen einer CA-Verknüpfung nicht verwendet werden, da die Verknüpfung noch keine OCID aufweist.)
target.association.name
Zeichenfolge
Mit dieser Variablen können Sie den Zugriff auf eine CA-Verknüpfung basierend auf dem Namen der Verknüpfung steuern.
target.association.resourceid
Entity (OCID)
Mit dieser Variablen können Sie den Zugriff auf eine CA-Verknüpfung basierend auf der OCID der in der Verknüpfung konfigurierten Ressource kontrollieren.
target.leaf-certificate.id
Entity (OCID)
Mit dieser Variablen können Sie den Zugriff auf eine CA-Verknüpfung basierend auf der OCID des in der Verknüpfung konfigurierten Zertifikats kontrollieren.
target.leaf-certificate.name
Zeichenfolge
Mit dieser Variablen können Sie den Zugriff auf eine CA-Verknüpfung basierend auf dem Namen des in der Verknüpfung konfigurierten Zertifikats kontrollieren.
certificate-authority-delegates
target.certificate-authority.id
Entity (OCID)
Mit dieser Variablen können Sie den Zugriff auf einen CA-Delegaten basierend auf der OCID der CA kontrollieren.
target.certificate-authority.name
Zeichenfolge
Mit dieser Variablen können Sie den Zugriff auf einen CA-Delegaten basierend auf dem Namen der CA kontrollieren.
target.issuer-certificate-authority.id
Zeichenfolge
Mit dieser Variablen können Sie den Zugriff auf einen CA-Delegaten basierend auf der OCID der Aussteller-CA kontrollieren.
target.resource.type
Zeichenfolge
Mit dieser Variablen können Sie den Zugriff auf CA-Delegaten basierend auf dem Ressourcentyp des Delegaten kontrollieren, unabhängig davon, ob die Ressource leaf-certificate, certificate-authority oder cabundle ist.
leaf-certificates
target.leaf-certificate.allow-wildcard
Zeichenfolge
Mit dieser Variablen können Sie den Zugriff auf ein Zertifikat kontrollieren, je nachdem, ob der allgemeine Name des Zertifikats oder der alternative Name des Subjects einen Platzhalter enthält.
target.leaf-certificate.alt-subject
Liste
Mit dieser Variablen können Sie den Zugriff auf ein Zertifikat basierend auf dem alternativen Namen des Zertifikat-Subjects kontrollieren.
target.leaf-certificate.alt-subject-size
Zeichenfolge
Mit dieser Variablen können Sie den Zugriff auf ein Zertifikat basierend auf der Anzahl der alternativen Namen des Zertifikat-Subjects kontrollieren.
target.leaf-certificate.id
Entity (OCID)
Mit dieser Variablen können Sie den Zugriff auf ein Zertifikat basierend auf der Zertifikat-OCID kontrollieren. (Sie können diese Variable beim Erstellen eines Zertifikats nicht verwenden, da das Zertifikat noch keine OCID aufweist.)
target.leaf-certificate.name
Zeichenfolge
Mit dieser Variablen können Sie den Zugriff auf ein Zertifikat basierend auf dem Zertifikatnamen kontrollieren.
target.issuer-certificate-authority.id
Zeichenfolge
Mit dieser Variablen können Sie den Zugriff auf ein Zertifikat basierend auf der OCID der Aussteller-CA kontrollieren.
target.leaf-certificate.profile-type
Zeichenfolge
Mit dieser Variablen können Sie den Zugriff auf Zertifikate basierend auf dem Zertifikatsprofiltyp kontrollieren. Zertifikatsprofiltypen umfassen TLS_SERVER_OR_CLIENT, TLS_SERVER, TLS_CLIENT und TLS_CODE_SIGN.
target.leaf-certificate.subject
Zeichenfolge
Mit dieser Variablen können Sie den Zugriff auf Zertifikate basierend auf dem Zertifikat-Subject kontrollieren.
target.leaf-certificate.type
Zeichenfolge
Mit dieser Variablen können Sie den Zugriff auf Zertifikate basierend auf der Art und Weise kontrollieren, auf die das Zertifikat erstellt wurde. Zertifikatskonfigurationstypen umfassen MANAGED_EXTERNALLY_ISSUED_BY_INTERNAL_CA, ISSUED_BY_INTERNAL_CA und IMPORTED.
leaf-certificate-versions
target.leaf-certificate.id
Entity (OCID)
Mit dieser Variablen können Sie den Zugriff auf Zertifikatsversionen basierend auf der OCID des Zertifikats kontrollieren. Mit dieser Variablen können Sie kontrollieren, ob Block-Volumes oder Buckets ohne einen Vault-Masterverschlüsselungsschlüssel erstellt werden können.
target.leaf-certificate.name
Zeichenfolge
Mit dieser Variablen können Sie den Zugriff auf Zertifikatsversionen basierend auf dem Namen des Zertifikats kontrollieren.
leaf-certificate-bundles
target.leaf-certificate.id
Entity (OCID)
Mit dieser Variablen können Sie den Zugriff auf Zertifikats-Bundles basierend auf der OCID des Zertifikats kontrollieren.
target.leaf-certificate.name
Zeichenfolge
Mit dieser Variablen können Sie den Zugriff auf Zertifikats-Bundles basierend auf dem Namen des Zertifikats kontrollieren.
target.leaf-certificate.bundle-type
Zeichenfolge
Mit dieser Variablen können Sie den Zugriff auf ein Zertifikats-Bundle basierend auf dem Zertifikats-Bundle-Typ kontrollieren. Zertifikats-Pakettypen umfassen CERTIFICATE_CONTENT_PUBLIC_ONLY und CERTIFICATE_CONTENT_WITH_PRIVATE_KEY.
certificate-associations
target.association.id
Entity (OCID)
Mit dieser Variablen können Sie den Zugriff auf Zertifikatsverknüpfungen basierend auf der OCID der Verknüpfung kontrollieren. (Diese Variable kann beim Erstellen einer Zertifikatsverknüpfung nicht verwendet werden, da die Verknüpfung noch keine OCID aufweist.)
target.association.name
Zeichenfolge
Mit dieser Variablen können Sie den Zugriff auf Zertifikats-Bundles basierend auf dem Namen der Zertifikats-Bundle-Verknüpfung kontrollieren.
target.association.resourceid
Entity (OCID)
Mit dieser Variablen können Sie den Zugriff auf Zertifikats-Bundles basierend auf der OCID der Ressource kontrollieren, die in der Zertifikats-Bundle-Verknüpfung als Ziel festgelegt ist.
target.leaf-certificate.id
Entity (OCID)
Mit dieser Variablen können Sie den Zugriff auf Zertifikatsverknüpfungen basierend auf der OCID des Zertifikats kontrollieren.
target.leaf-certificate.name
Zeichenfolge
Mit dieser Variablen können Sie den Zugriff auf Zertifikatsverknüpfungen basierend auf dem Namen des Zertifikats kontrollieren.
cabundles
target.cabundle.id
Entity (OCID)
Mit dieser Variablen können Sie den Zugriff auf CA-Bundles basierend auf der OCID des CA-Bundles kontrollieren. (Sie können diese Variable beim Erstellen eines CA-Bundles nicht verwenden, da das CA-Bundle noch keine OCID aufweist.)
target.cabundle.name
Zeichenfolge
Mit dieser Variablen können Sie den Zugriff auf CA-Bundles basierend auf dem Namen des CA-Bundles kontrollieren.
cabundle-associations
target.association.id
Entity (OCID)
Mit dieser Variablen können Sie den Zugriff auf eine CA-Bundle-Verknüpfung basierend auf der OCID der Bundle-Verknüpfung kontrollieren.
target.association.name
Zeichenfolge
Mit dieser Variablen können Sie den Zugriff auf eine CA-Bundle-Verknüpfung basierend auf dem Namen der Bundle-Verknüpfung kontrollieren. (Sie können diese Variable beim Erstellen einer CA-Bundle-Verknüpfung nicht verwenden, da die Verknüpfung noch keine OCID aufweist.)
target.association.resourceid
Entity (OCID)
Mit dieser Variablen können Sie den Zugriff auf eine CA-Bundle-Verknüpfung basierend auf der OCID der in der Verknüpfung konfigurierten Ressource kontrollieren.
target.cabundle.id
Entity (OCID)
Mit dieser Variablen können Sie den Zugriff auf eine CA-Bundle-Verknüpfung basierend auf der OCID des Bundles kontrollieren.
target.cabundle.name
Zeichenfolge
Mit dieser Variablen können Sie den Zugriff auf eine CA-Bundle-Verknüpfung basierend auf dem Namen des Bundles kontrollieren.
Details für Kombinationen aus Verb + Ressourcentyp 🔗
Machen Sie sich mit dem inkrementellen Zugriff vertraut, den jedes Verb für jeden Ressourcentyp erteilt. So können Sie Policys schreiben, die ausschließlich den erforderlichen Zugriff erteilen.
In den folgenden Tabellen werden die Berechtigungen und API-Vorgänge angezeigt, die von jedem Verb abgedeckt werden. Die Zugriffsebene ist kumulativ: inspect > read > use > manage. Ein Pluszeichen (+) in einer Tabellenzelle gibt einen inkrementellen Zugriff im Vergleich zur direkt darüber liegenden Zelle an, während "keine zusätzlichen" keinen inkrementellen Zugriff angibt.
Beispiel: Das Verb use für den Ressourcentyp cabundles umfasst dieselben Berechtigungen und API-Vorgänge wie das Verb read sowie die Berechtigung CABUNDLE_UPDATE und den API-Vorgang UpdateCaBundl. Das Verb manage deckt sogar noch mehr Berechtigungen und API-Vorgänge im Vergleich zu dem Verb use ab.
RevokeCertificateVersion (erfordert auch manage leaf-certificate-versions und use certificate-authority-delegates sowie die Berechtigung update buckets für den Bucket, der mit der Zertifikatsversion und den use certificate-authorities-Berechtigungen für die Aussteller-CA verknüpft ist)
CancelCertificateVersionDeletion (erfordert auch die Berechtigung delete leaf-certificate-versions)
ScheduleCertificateVersionDeletion (erfordert auch die Berechtigung delete leaf-certificate-versions)
UpdateCertificate (erfordert auch use certificate-authority-delegates-Berechtigungen, außer bei importierten Zertifikaten, sowie die Berechtigung update buckets für den mit der Zertifikatsversion verknüpften Bucket, die Berechtigung use für die Aussteller-Certificate-Authority und die Berechtigung use keys)
manage
USE +
CERTIFICATE_CREATE
CERTIFICATE_DELETE
CERTIFICATE_MOVE
USE +
CancelCertificateDeletion
ScheduleCertificateDeletion
ChangeCertificateCompartment
CreateCertificate (erfordert auch use certificate-authority-delegates-Berechtigungen, außer beim Importieren eines Zertifikats, sowie die Berechtigung update buckets für den Bucket, der mit der Zertifikatsversion verknüpft ist, die Berechtigung use keys und die Berechtigung use certificate-authorities für die Aussteller-CA, außer beim Importieren eines Zertifikats)
Hinweis: Die für diesen Vorgang erforderliche Berechtigung ist vom Abfrageparameter certificateBundleType abhängig.
Wenn certificateBundleType auf CERTIFICATE_CONTENT_PUBLIC_ONLY gesetzt ist, können alle Benutzer mit der Berechtigung CERTIFICATE_BUNDLE_READ diesen Vorgang ausführen.
Wenn certificateBundleType auf CERTIFICATE_CONTENT_WITH_PRIVATE_KEY gesetzt ist, benötigen Sie eine Policy-Anweisung für die Gruppe, in der die Variable target.leaf-certificate.bundle-type auf CERTIFICATE_CONTENT_WITH_PRIVATE_KEY gesetzt ist.
kein Wert
use
READ +
keine zusätzlichen
kein Wert
kein Wert
manage
USE+
keine zusätzlichen
kein Wert
CancelCertificateAuthorityVersionDeletion (erfordert auch use certificate-authorities)
ScheduleCertificateAuthorityVersionDeletion (erfordert auch use certificate-authorities)
RevokeCertificateAuthorityVersion (erfordert auch use certificate-authorities)