Details zum File Storage-Service

In diesem Thema werden Details zum Schreiben von Policys beschrieben, die den Zugriff auf den File Storage-Service kontrollieren.

Aggregierter Ressourcentyp

file-family

Individuelle Ressourcentypen

file-systems
mount-targets
export-sets
outbound-connectors
replications
replication-targets
filesystem-snapshot-policies

Kommentare

Eine Policy, die <verb> file-family verwendet, entspricht dem Schreiben einer Policy mit einer separaten <verb> <individual resource-type>-Anweisung für die einzelnen individuellen Ressourcentypen.

Details zu den von den einzelnen Verben abgedeckten API-Vorgängen für jeden Ressourcentyp in file-family finden Sie in der Tabelle unter Details für Kombinationen aus Verb + Ressourcentyp.

Unterstützte Variablen

Nur die allgemeinen Variablen werden unterstützt (siehe Allgemeine Variablen für alle Anforderungen).

Details für Kombinationen aus Verb + Ressourcentyp

In den folgenden Tabellen werden die Berechtigungen und API-Vorgänge angezeigt, die von jedem Verb abgedeckt werden. Die Zugriffsebene ist kumulativ: inspect > read > use > manage. Beispiel: Eine Gruppe, die eine Ressource verwenden kann, kann diese Ressource auch prüfen und lesen. Ein Pluszeichen (+) in einer Tabellenzelle gibt einen inkrementellen Zugriff im Vergleich zur direkt darüber liegenden Zelle an, während "keine zusätzlichen" keinen inkrementellen Zugriff angibt.

Beispiel: Das Verb read für den Ressourcentyp file-systems umfasst dieselben Berechtigungen und API-Vorgänge wie das Verb inspect sowie die Berechtigung "FILE_SYSTEM_READ" und eine Reihe von API-Vorgängen (z.B. GetFileSystem, ListMountTargets usw.). Das Verb use deckt im Vergleich zu read noch eine weitere Berechtigung und weitere API-Vorgänge ab. Zuletzt deckt manage im Vergleich zu use zwei weitere Berechtigungen und Vorgänge ab.

export-sets


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	EXPORT_SET_INSPECT	`ListExportSets`	kein Wert
read	INSPECT + EXPORT_SET_READ	INSPECT + `GetExport` `GetExportSet` `ListExports`	kein Wert
use	keine zusätzlichen	keine zusätzlichen	kein Wert
manage	USE + EXPORT_SET_CREATE EXPORT_SET_UPDATE EXPORT_SET_DELETE	USE + `CreateExportSet` `UpdateExportSet` `DeleteExportSet`	`CreateExport` `DeleteExport` (Beide benötigen auch `use file-systems`.)

file-systems


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	FILE_SYSTEM_INSPECT	`ListFileSystems`	kein Wert
read	INSPECT + FILE_SYSTEM_READ	INSPECT + `GetFileSystem` `GetSnapshot` `ListSnapshots`	kein Wert
use	READ + FILE_SYSTEM_NFSv3_EXPORT FILE_SYSTEM_NFSv3_UNEXPORT FILE_SYSTEM_CLONE FILE_SYSTEM_REPLICATION_SOURCE FILE_SYSTEM_UPDATE_FILESYSTEM_SNAPSHOT_POLICY	keine zusätzlichen	`DeleteExport` (Beide benötigen auch `manage export-sets`.)
manage	USE + FILE_SYSTEM_CREATE FILE_SYSTEM_UPDATE FILE_SYSTEM_DELETE FILE_SYSTEM_MOVE FILE_SYSTEM_CREATE_SNAPSHOT FILE_SYSTEM_DELETE_SNAPSHOT FILE_SYSTEM_CLONE FILE_SYSTEM_REPLICATION_TARGET	USE + `CreateFileSystem` `UpdateFileSystem` `DeleteFileSystem` `ChangeFileSystemCompartment` `CreateSnapshot` `DeleteSnapshot`	Wenn Sie ein Dateisystem erstellen oder klonen, das mit einem Key Management-Masterverschlüsselungsschlüssel verschlüsselt wurde, benötigen Sie auch `use key-delegate` (für den Aufrufer) und `read keys` (für den Service-Principal). Weitere Informationen finden Sie unter Details zum Vault Service. Beim Klonen eines Dateisystems wird die `CreateFileSystem`-API verwendet, und FILE_SYSTEM_CLONE wird benötigt.

Dateisystem-Snapshot-Policys


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	FILESYSTEM_SNAPSHOT_POLICY_INSPECT	`ListFilesystemSnapshotPolicies`	kein Wert
read	INSPECT + FILESYSTEM_SNAPSHOT_POLICY_READ	`ListFilesystemSnapshotPolicies` `GetFilesystemSnapshotPolicy`	kein Wert
use	READ + FILE_SYSTEM_UPDATE_FILESYSTEM_SNAPSHOT_POLICY	`ListFilesystemSnapshotPolicies` `GetFilesystemSnapshotPolicy`	`UpdateFileSystem`
manage	USE + FILESYSTEM_SNAPSHOT_POLICY_CREATE FILESYSTEM_SNAPSHOT_POLICY_UPDATE FILESYSTEM_SNAPSHOT_POLICY_MOVE FILESYSTEM_SNAPSHOT_POLICY_DELETE	`ListFilesystemSnapshotPolicies` `GetFilesystemSnapshotPolicy` `UpdateFilesystemSnapshotPolicy` `CreateFilesystemSnapshotPolicy` `MoveFilesystemSnapshotPolicy` `DeleteFilesystemSnapshotPolicy`	kein Wert

mount-targets


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	MOUNT_TARGET_INSPECT	`ListMountTargets`	kein Wert
read	INSPECT + MOUNT_TARGET_READ	INSPECT + `GetMountTarget`	kein Wert
use	keine zusätzlichen	keine zusätzlichen	kein Wert
manage	USE + MOUNT_TARGET_CREATE MOUNT_TARGET_UPDATE MOUNT_TARGET_DELETE MOUNT_TARGET_MOVE		USE + `CreateMountTarget` `DeleteMountTarget` (Beide benötigen auch `use vnics`, `use private-ips` und `use subnets`.) `ChangeMountTargetCompartment`

ausgehende Verbindungen


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	OUTBOUND_CONNECTOR_INSPECT	`ListOutboundConnectors`	kein Wert
read	INSPECT + OUTBOUND_CONNECTOR_READ	INSPECT + `GetOutboundConnector`	kein Wert
use	keine zusätzlichen	keine zusätzlichen	kein Wert
manage	USE + OUTBOUND_CONNECTOR_CREATE OUTBOUND_CONNECTOR_UPDATE OUTBOUND_CONNECTOR_DELETE OUTBOUND_CONNECTOR_MOVE	USE + `CreateOutboundConnector` `UpdateOutboundConnector` `DeleteOutboundConnector` `ChangeOutboundConnectorCompartment`	kein Wert

Replikationen und Replikationsziele


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	REPLICATION_INSPECT	`ListReplications`	kein Wert
read	INSPECT + REPLICATION_READ	INSPECT + `GetReplication`	kein Wert
use	keine zusätzlichen	keine zusätzlichen	kein Wert
manage	USE + REPLICATION_CREATE REPLICATION_UPDATE REPLICATION_DELETE REPLICATION_MOVE	USE + `CreateReplication` `UpdateReplication` `ChangeReplicationCompartment` `DeleteReplication` `DeleteReplicationTarget`	kein Wert

Für jeden API-Vorgang erforderliche Berechtigungen

In der folgenden Tabelle werden die API-Vorgänge in einer logischen Reihenfolge nach Ressourcentyp gruppiert aufgeführt.

Tipp

Wenn eine Gruppe die Konsole zum Erstellen von Dateisystemen verwendet, sind Berechtigungen zum Lesen von Mountzielen erforderlich. Weitere Informationen finden Sie in den Beispielen zur File Storage-Policy.

Informationen zu Berechtigungen finden Sie unter Berechtigungen.


API-Vorgang	Erforderliche Berechtigungen für den Vorgang
`ListExports`	EXPORT_SET_READ
`CreateExport`	EXPORT_SET_UPDATE + FILE_SYSTEM_NFSv3_EXPORT
`GetExport`	EXPORT_SET_READ
`DeleteExport`	EXPORT_SET_UPDATE + FILE_SYSTEM_NFSv3_UNEXPORT
`ListExportSets`	EXPORT_SET_INSPECT
`CreateExportSet`	EXPORT_SET_CREATE
`GetExportSet`	EXPORT_SET_READ
`UpdateExportSet`	EXPORT_SET_UPDATE
`DeleteExportSet`	EXPORT_SET_DELETE
`ListFileSystems`	FILE_SYSTEM_INSPECT
`CreateFileSystem`	FILE_SYSTEM_CREATE Für das Klonen eines Dateisystems ist auch FILE_SYSTEM_CLONE erforderlich. Für die Zuordnung des Dateisystems zu einer Snapshot Policy ist auch FILE_SYSTEM_UPDATE_FILESYSTEM_SNAPSHOT_POLICY erforderlich
`GetFileSystem`	FILE_SYSTEM_READ
`UpdateFileSystem`	FILE_SYSTEM_UPDATE Für die Zuordnung des Dateisystems zu einer Snapshot Policy ist auch FILE_SYSTEM_UPDATE_FILESYSTEM_SNAPSHOT_POLICY erforderlich
`DeleteFileSystem`	FILE_SYSTEM_DELETE
`ChangeFileSystemCompartment`	FILE_SYSTEM_MOVE
`GetFilesystemSnapshotPolicy`	FILESYSTEM_SNAPSHOT_POLICY_READ
`ListFilesystemSnapshotPolicies`	FILESYSTEM_SNAPSHOT_POLICY_INSPECT
`CreateFilesystemSnapshotPolicy`	FILESYSTEM_SNAPSHOT_POLICY_CREATE
`UpdateFilesystemSnapshotPolicy`	FILESYSTEM_SNAPSHOT_POLICY_UPDATE
`DeleteFilesystemSnapshotPolicy`	FILESYSTEM_SNAPSHOT_POLICY_DELETE
`MoveFilesystemSnapshotPolicy`	FILESYSTEM_SNAPSHOT_POLICY_MOVE
`ListMountTargets`	MOUNT_TARGET_INSPECT
`CreateMountTarget`	MOUNT_TARGET_CREATE + VNIC_CREATE(vnicCompartment) + SUBNET_ATTACH(subnetCompartment) + VNIC_ATTACH(vnicCompartment) + PRIVATE _IP_CREATE(subnetCompartment) + PRIVATE_IP_ASSIGN(subnetCompartment) + VNIC_ASSIGN(subnetCompartment)
`GetMountTarget`	MOUNT_TARGET_READ
`UpdateMountTarget`	MOUNT_TARGET_UPDATE
`DeleteMountTarget`	MOUNT_TARGET_DELETE + VNIC_DELETE(vnicCompartment) + SUBNET_DETACH(subnetCompartment) + VNIC_DETACH(vnicCompartment) + PRIVATE_IP_DELETE(subnetCompartment) + PRIVATE_IP_UNASSIGN(subnetCompartment) + VNIC_UNASSIGN(vnicCompartment)
`ChangeMountTargetCompartment`	MOUNT_TARGET_MOVE
`ListOutboundConnectors`	OUTBOUND_CONNECTOR_INSPECT
`CreateOutboundConnector`	OUTBOUND_CONNECTOR_CREATE
`GetOutboundConnector`	OUTBOUND_CONNECTOR_READ
`UpdateOutboundConnector`	OUTBOUND_CONNECTOR_UPDATE
`DeleteOutboundConnector`	OUTBOUND_CONNECTOR_DELETE
`ChangeOutboundConnectorCompartment`	OUTBOUND_CONNECTOR_MOVE
`ListSnapshots`	FILE_SYSTEM_READ
`CreateSnapshot`	FILE_SYSTEM_CREATE_SNAPSHOT
`GetSnapshot`	FILE_SYSTEM_READ
`DeleteSnapshot`	FILE_SYSTEM_DELETE_SNAPSHOT
`GetReplication`	REPLICATION_READ
`ListReplications`	REPLICATION_INSPECT
`CreateReplication`	REPLICATION_CREATE + FILE_SYSTEM_REPLICATION_SOURCE (Quelldateisystem) + FILE_SYSTEM_REPLICATION_TARGET (Zieldateisystem)
`UpdateReplication`	REPLICATION_UPDATE
`ChangeReplicationCompartment`	REPLICATION_MOVE
`DeleteReplication`	REPLICATION_DELETE
`DeleteReplicationTarget`	REPLICATION_DELETE