Diese Seite wurde maschinell übersetzt.
Sie zeigen die OCI-IAM-Dokumentation für neue Mandanten in Regionen an, die zur Verwendung von Identitätsdomains aktualisiert wurden.

Aktualisiert 2024-06-27

Details zum Certificates-Service

Lernen Sie die Details zu Berechtigungen für den Certificates-Service kennen, damit Sie Policys schreiben können, um den Zugriff auf seine Ressourcen zu kontrollieren.

In diesem Thema werden Details zum Certificates-Service beschrieben, darunter die Ressourcentypen, für die Sie Berechtigungen erteilen können, die speziellen Variablen, die Sie beim Hinzufügen von Bedingungen zu einer Policy verwenden können, die Hierarchie der Berechtigungen und die API-Vorgänge, die von jedem Verb für jeden Ressourcentyp abgedeckt werden, sowie die Berechtigungen für jeden API-Vorgang.

Individuelle Ressourcentypen

Mit einzelnen Ressourcentypen können Sie Policy-Anweisungen schreiben, die ausschließlich für den betreffenden Ressourcentyp gelten.

leaf-certificates

leaf-certificate-versions

leaf-certificate-bundles

certificate-authorities

certificate-authority-versions

certificate-authority-bundles

certificate-authority-delegates

cabundles

certificate-associations

certificate-authority-associations

cabundle-associations

Aggregierte Ressourcentypen

Mit aggregierten Ressourcentypen können Sie Policy-Anweisungen mit einem Geltungsbereich erstellen, der über einen einzelnen Ressourcentyp hinausgeht und sich auf alle vom aggregierten Ressourcentyp abgedeckten Ressourcentypen erstreckt.

leaf-certificate-family

certificate-authority-family

Eine Policy, die <verb> leaf-certificate-family verwendet, entspricht dem Schreiben einer Policy mit einer separaten <verb> <individual resource-type>-Anweisung für die folgenden individuellen Zertifikatsressourcentypen: leaf-certificates, leaf-certificate-versions, leaf-certificate-bundles, cabundles, certificate-associations und cabundle-associations.

Eine Policy, die <verb> certificate-authority-family verwendet, entspricht dem Schreiben einer Policy mit einer separaten <verb> <individual resource-type>-Anweisung für die folgenden einzelnen Certificate-Authority-(CA-) und Zertifikatsressourcentypen: certificate-authorities, certificate-authority-versions, certificate-authority-bundles, certificate-authority-delegates, leaf-certificates, leaf-certificate-versions, leaf-certificate-bundles, cabundles, certificate-associations, certificate-authority-associations und cabundle-associations.

Details zu den von den einzelnen Verben abgedeckten API-Vorgängen für jeden Ressourcentyp in leaf-certificate-family und certificate-authority-family finden Sie in der Tabelle unter Details für Kombinationen aus Verb + Ressourcentyp.

Unterstützte Variablen

Der Certificates-Service unterstützt alle allgemeinen Variablen sowie die hier aufgelisteten Variablen. Weitere Informationen zu allgemeinen Variablen, die von Oracle Cloud Infrastructure-Services unterstützt werden, finden Sie unter Allgemeine Variablen für alle Anforderungen.

Vorgänge für diesen Ressourcentyp... Diese Variablen können verwendet werden... Variablentyp Kommentare
certificate-authorities target.certificate-authority.id Entity (OCID) Mit dieser Variablen können Sie den Zugriff auf eine Certificate Authority (CA) basierend auf der OCID der CA kontrollieren. (Sie können diese Variable beim Erstellen einer CA nicht verwenden, da die CA noch keine OCID aufweist.)
target.certificate-authority.name Zeichenfolge Mit dieser Variablen können Sie den Zugriff auf einen bestimmten CA-Namen kontrollieren.
target.certificate-authority.subject Zeichenfolge Mit dieser Variablen können Sie den Zugriff auf eine CA basierend auf dem CA-Subject kontrollieren.
target.certificate-authority.type Zeichenfolge Mit dieser Variablen können Sie den Zugriff auf CAs eines bestimmten Typs begrenzen. CA-Typen umfassen ROOT_CA und SUBORDINATE_CA.
target.issuer-certificate-authority.id Zeichenfolge Mit dieser Variablen können Sie den Zugriff auf CAs basierend auf der OCID der Aussteller-CA begrenzen.
certificate-authority-versions target.certificate-authority.id Entity (OCID) Mit dieser Variablen können Sie den Zugriff auf eine CA-Version basierend auf der OCID der entsprechenden CA kontrollieren.
target.certificate-authority.name Zeichenfolge Mit dieser Variablen können Sie den Zugriff auf eine CA-Version basierend auf dem Namen der CA kontrollieren.
certificate-authority-bundles target.certificate-authority.id Entity (OCID) Mit dieser Variablen können Sie den Zugriff auf das Bundle einer CA basierend auf der OCID der CA des Bundles kontrollieren.
target.certificate-authority.name Zeichenfolge Mit dieser Variablen können Sie den Zugriff auf das Bundle einer CA nach dem Namen der CA des Bundles kontrollieren.
certificate-authority-associations target.association.id Entity (OCID) Mit dieser Variablen können Sie den Zugriff auf eine CA-Verknüpfung basierend auf der OCID der Verknüpfung kontrollieren. (Diese Variable kann beim Erstellen einer CA-Verknüpfung nicht verwendet werden, da die Verknüpfung noch keine OCID aufweist.)
target.association.name Zeichenfolge Mit dieser Variablen können Sie den Zugriff auf eine CA-Verknüpfung basierend auf dem Namen der Verknüpfung steuern.
target.association.resourceid Entity (OCID) Mit dieser Variablen können Sie den Zugriff auf eine CA-Verknüpfung basierend auf der OCID der in der Verknüpfung konfigurierten Ressource kontrollieren.
target.leaf-certificate.id Entity (OCID) Mit dieser Variablen können Sie den Zugriff auf eine CA-Verknüpfung basierend auf der OCID des in der Verknüpfung konfigurierten Zertifikats kontrollieren.
target.leaf-certificate.name Zeichenfolge Mit dieser Variablen können Sie den Zugriff auf eine CA-Verknüpfung basierend auf dem Namen des in der Verknüpfung konfigurierten Zertifikats kontrollieren.
certificate-authority-delegates target.certificate-authority.id Entity (OCID) Mit dieser Variablen können Sie den Zugriff auf einen CA-Delegaten basierend auf der OCID der CA kontrollieren.
target.certificate-authority.name Zeichenfolge Mit dieser Variablen können Sie den Zugriff auf einen CA-Delegaten basierend auf dem Namen der CA kontrollieren.
target.issuer-certificate-authority.id Zeichenfolge Mit dieser Variablen können Sie den Zugriff auf einen CA-Delegaten basierend auf der OCID der Aussteller-CA kontrollieren.
target.resource.type Zeichenfolge Mit dieser Variablen können Sie den Zugriff auf CA-Delegaten basierend auf dem Ressourcentyp des Delegaten kontrollieren, unabhängig davon, ob die Ressource leaf-certificate, certificate-authority oder cabundle ist.
leaf-certificates target.leaf-certificate.allow-wildcard Zeichenfolge Mit dieser Variablen können Sie den Zugriff auf ein Zertifikat kontrollieren, je nachdem, ob der allgemeine Name des Zertifikats oder der alternative Name des Subjects einen Platzhalter enthält.
target.leaf-certificate.alt-subject Liste Mit dieser Variablen können Sie den Zugriff auf ein Zertifikat basierend auf dem alternativen Namen des Zertifikat-Subjects kontrollieren.
target.leaf-certificate.alt-subject-size Zeichenfolge Mit dieser Variablen können Sie den Zugriff auf ein Zertifikat basierend auf der Anzahl der alternativen Namen des Zertifikat-Subjects kontrollieren.
target.leaf-certificate.id Entity (OCID) Mit dieser Variablen können Sie den Zugriff auf ein Zertifikat basierend auf der Zertifikat-OCID kontrollieren. (Sie können diese Variable beim Erstellen eines Zertifikats nicht verwenden, da das Zertifikat noch keine OCID aufweist.)
target.leaf-certificate.name Zeichenfolge Mit dieser Variablen können Sie den Zugriff auf ein Zertifikat basierend auf dem Zertifikatnamen kontrollieren.
target.issuer-certificate-authority.id Zeichenfolge Mit dieser Variablen können Sie den Zugriff auf ein Zertifikat basierend auf der OCID der Aussteller-CA kontrollieren.
target.leaf-certificate.profile-type Zeichenfolge Mit dieser Variablen können Sie den Zugriff auf Zertifikate basierend auf dem Zertifikatsprofiltyp kontrollieren. Zertifikatsprofiltypen umfassen TLS_SERVER_OR_CLIENT, TLS_SERVER, TLS_CLIENT und TLS_CODE_SIGN.
target.leaf-certificate.subject Zeichenfolge Mit dieser Variablen können Sie den Zugriff auf Zertifikate basierend auf dem Zertifikat-Subject kontrollieren.
target.leaf-certificate.type Zeichenfolge Mit dieser Variablen können Sie den Zugriff auf Zertifikate basierend auf der Art und Weise kontrollieren, auf die das Zertifikat erstellt wurde. Zertifikatskonfigurationstypen umfassen MANAGED_EXTERNALLY_ISSUED_BY_INTERNAL_CA, ISSUED_BY_INTERNAL_CA und IMPORTED.
leaf-certificate-versions target.leaf-certificate.id Entity (OCID) Mit dieser Variablen können Sie den Zugriff auf Zertifikatsversionen basierend auf der OCID des Zertifikats kontrollieren. Mit dieser Variablen können Sie kontrollieren, ob Block-Volumes oder Buckets ohne einen Vault-Masterverschlüsselungsschlüssel erstellt werden können.
target.leaf-certificate.name Zeichenfolge Mit dieser Variablen können Sie den Zugriff auf Zertifikatsversionen basierend auf dem Namen des Zertifikats kontrollieren.
leaf-certificate-bundles target.leaf-certificate.id Entity (OCID) Mit dieser Variablen können Sie den Zugriff auf Zertifikats-Bundles basierend auf der OCID des Zertifikats kontrollieren.
target.leaf-certificate.name Zeichenfolge Mit dieser Variablen können Sie den Zugriff auf Zertifikats-Bundles basierend auf dem Namen des Zertifikats kontrollieren.
target.leaf-certificate.bundle-type Zeichenfolge Mit dieser Variablen können Sie den Zugriff auf ein Zertifikats-Bundle basierend auf dem Zertifikats-Bundle-Typ kontrollieren. Zertifikats-Pakettypen umfassen CERTIFICATE_CONTENT_PUBLIC_ONLY und CERTIFICATE_CONTENT_WITH_PRIVATE_KEY.
certificate-associations target.association.id Entity (OCID) Mit dieser Variablen können Sie den Zugriff auf Zertifikatsverknüpfungen basierend auf der OCID der Verknüpfung kontrollieren. (Diese Variable kann beim Erstellen einer Zertifikatsverknüpfung nicht verwendet werden, da die Verknüpfung noch keine OCID aufweist.)
target.association.name Zeichenfolge Mit dieser Variablen können Sie den Zugriff auf Zertifikats-Bundles basierend auf dem Namen der Zertifikats-Bundle-Verknüpfung kontrollieren.
target.association.resourceid Entity (OCID) Mit dieser Variablen können Sie den Zugriff auf Zertifikats-Bundles basierend auf der OCID der Ressource kontrollieren, die in der Zertifikats-Bundle-Verknüpfung als Ziel festgelegt ist.
target.leaf-certificate.id Entity (OCID) Mit dieser Variablen können Sie den Zugriff auf Zertifikatsverknüpfungen basierend auf der OCID des Zertifikats kontrollieren.
target.leaf-certificate.name Zeichenfolge Mit dieser Variablen können Sie den Zugriff auf Zertifikatsverknüpfungen basierend auf dem Namen des Zertifikats kontrollieren.
cabundles target.cabundle.id Entity (OCID) Mit dieser Variablen können Sie den Zugriff auf CA-Bundles basierend auf der OCID des CA-Bundles kontrollieren. (Sie können diese Variable beim Erstellen eines CA-Bundles nicht verwenden, da das CA-Bundle noch keine OCID aufweist.)
target.cabundle.name Zeichenfolge Mit dieser Variablen können Sie den Zugriff auf CA-Bundles basierend auf dem Namen des CA-Bundles kontrollieren.
cabundle-associations target.association.id Entity (OCID) Mit dieser Variablen können Sie den Zugriff auf eine CA-Bundle-Verknüpfung basierend auf der OCID der Bundle-Verknüpfung kontrollieren.
target.association.name Zeichenfolge Mit dieser Variablen können Sie den Zugriff auf eine CA-Bundle-Verknüpfung basierend auf dem Namen der Bundle-Verknüpfung kontrollieren. (Sie können diese Variable beim Erstellen einer CA-Bundle-Verknüpfung nicht verwenden, da die Verknüpfung noch keine OCID aufweist.)
target.association.resourceid Entity (OCID) Mit dieser Variablen können Sie den Zugriff auf eine CA-Bundle-Verknüpfung basierend auf der OCID der in der Verknüpfung konfigurierten Ressource kontrollieren.
target.cabundle.id Entity (OCID) Mit dieser Variablen können Sie den Zugriff auf eine CA-Bundle-Verknüpfung basierend auf der OCID des Bundles kontrollieren.
target.cabundle.name Zeichenfolge Mit dieser Variablen können Sie den Zugriff auf eine CA-Bundle-Verknüpfung basierend auf dem Namen des Bundles kontrollieren.

Details für Kombinationen aus Verb + Ressourcentyp

Machen Sie sich mit dem inkrementellen Zugriff vertraut, den jedes Verb für jeden Ressourcentyp erteilt. So können Sie Policys schreiben, die ausschließlich den erforderlichen Zugriff erteilen.

In den folgenden Tabellen werden die Berechtigungen und API-Vorgänge angezeigt, die von jedem Verb abgedeckt werden. Die Zugriffsebene ist kumulativ: inspect > read > use > manage. Ein Pluszeichen (+) in einer Tabellenzelle gibt einen inkrementellen Zugriff im Vergleich zur direkt darüber liegenden Zelle an, während "keine zusätzlichen" keinen inkrementellen Zugriff angibt.

Beispiel: Das Verb use für den Ressourcentyp cabundles umfasst dieselben Berechtigungen und API-Vorgänge wie das Verb read sowie die Berechtigung CABUNDLE_UPDATE und den API-Vorgang UpdateCaBundl. Das Verb manage deckt sogar noch mehr Berechtigungen und API-Vorgänge im Vergleich zu dem Verb use ab.

Für jeden API-Vorgang erforderliche Berechtigungen

In der folgenden Tabelle werden die API-Vorgänge in einer logischen Reihenfolge nach Ressourcentyp gruppiert aufgeführt.

Informationen zu Berechtigungen finden Sie unter Berechtigungen.

API-Vorgang Erforderliche Berechtigungen für den Vorgang
ListCertificateAuthorities CERTIFICATE_AUTHORITY_INSPECT
GetCertificateAuthority CERTIFICATE_AUTHORITY_READ
CreateCertificateAuthority CERTIFICATE_AUTHORITY_CREATE und CERTIFICATE_AUTHORITY_APPLY
UpdateCertificateAuthority CERTIFICATE_AUTHORITY_UPDATE und CERTIFICATE_AUTHORITY_APPLY
ChangeCertificateAuthorityCompartment CERTIFICATE_AUTHORITY_MOVE
ScheduleCertificateAuthorityDeletion CERTIFICATE_AUTHORITY_DELETE
CancelCertificateAuthorityDeletion CERTIFICATE_AUTHORITY_DELETE
ListCertificateAuthorityVersions CERTIFICATE_AUTHORITY_VERSION_INSPECT
GetCertificateAuthorityVersion CERTIFICATE_AUTHORITY_VERSION_READ
RevokeCertificateAuthorityVersion CERTIFICATE_AUTHORITY_VERSION_REVOKE, CERTIFICATE_AUTHORITY_UPDATE und CERTIFICATE_AUTHORITY_APPLY
ScheduleCertificateAuthorityVersionDeletion CERTIFICATE_AUTHORITY_VERSION_DELETE und CERTIFICATE_AUTHORITY_UPDATE
CancelCertificateAuthorityVersionDeletion CERTIFICATE_AUTHORITY_VERSION_DELETE und CERTIFICATE_AUTHORITY_UPDATE
ListCertificateAuthorityBundleVersions CERTIFICATE_AUTHORITY_BUNDLE_INSPECT
GetCertificateAuthorityBundle CERTIFICATE_AUTHORITY_BUNDLE_READ
ListCertificates CERTIFICATE_INSPECT
GetCertificate CERTIFICATE_READ
CreateCertificate CERTIFICATE_CREATE und CERTIFICATE_AUTHORITY_APPLY
UpdateCertificate CERTIFICATE_UPDATE und CERTIFICATE_AUTHORITY_APPLY
ChangeCertificateCompartment CERTIFICATE_MOVE
ScheduleCertificateDeletion CERTIFICATE_DELETE
CancelCertificateDeletion CERTIFICATE_DELETE
ListCertificateVersions CERTIFICATE_VERSION_INSPECT
GetCertificateVersion CERTIFICATE_VERSION_READ
RevokeCertificateVersion CERTIFICATE_VERSION_REVOKE, CERTIFICATE_UPDATE und CERTIFICATE_AUTHORITY_APPLY
ScheduleCertificateVersionDeletion CERTIFICATE_VERSION_DELETE und CERTIFICATE_UPDATE
CancelCertificateVersionDeletion CERTIFICATE_VERSION_DELETE und CERTIFICATE_UPDATE
ListCertificateBundleVersions CERTIFICATE_BUNDLE_INSPECT
GetCertificateBundle CERTIFICATE_BUNDLE_READ

Weitere Informationen finden Sie unter leaf-certificate-bundles.

ListCaBundles CABUNDLE_INSPECT
GetCaBundle CABUNDLE_READ
CreateCaBundle CABUNDLE_CREATE
UpdateCaBundle CABUNDLE_UPDATE
ChangeCaBundleCompartment CABUNDLE_MOVE
DeleteCaBundle CABUNDLE_DELETE
ListAssociations CERTIFICATE_AUTHORITY_ASSOCIATION_INSPECT (für certificate-authorities), CERTIFICATE_ASSOCIATION_INSPECT (für leaf-certificates) oder CABUNDLE_ASSOCIATION_INSPECT (für cabundles)
GetAssociation CERTIFICATE_AUTHORITY_ASSOCIATION_READ (für certificate-authorities), CERTIFICATE_ASSOCIATION_READ (für leaf-certificates) oder CABUNDLE_ASSOCIATION_READ (für cabundles)
DeleteAssociation CERTIFICATE_AUTHORITY_ASSOCIATION_DELETE (für certificate-authorities), CERTIFICATE_ASSOCIATION_DELETE (für leaf-certificates) oder CABUNDLE_ASSOCIATION_DELETE (für cabundles)