Details zu IAM mit Identitätsdomains
In diesem Thema wird beschrieben, wie Sie Policys schreiben, um den Zugriff auf IAM (für Mandanten mit Identitätsdomains) zu kontrollieren.
Ressourcentypen
authentication-policies
compartments
credentials
domains
dynamic-groups
groups
iamworkrequest
identity-providers
network-sources
policies
tag-defaults
tag-namespaces
tenancies
users
workrequest
Unterstützte Variablen
IAM unterstützt alle allgemeinen Variablen (siehe Allgemeine Variablen für alle Anforderungen) sowie die hier aufgelisteten zusätzlichen Variablen:
Vorgänge für diesen Ressourcentyp... | Diese Variablen können verwendet werden... | Variablentyp | Kommentare |
---|---|---|---|
users
|
target.user.id
|
Entity (OCID) | Nicht für die Verwendung mit CreateUser oder ListUsers verfügbar. |
target.user.name
|
Zeichenfolge | Nicht für die Verwendung mit ListUsers verfügbar | |
target.resource.domain.id |
Entity (OCID) | ||
target.resource.domain.name |
Zeichenfolge | ||
groups
|
target.group.id
|
Entity (OCID) | Nicht für die Verwendung mit CreateGroupr oder ListGroups verfügbar. |
target.group.name
|
Zeichenfolge | Nicht für die Verwendung mit ListGroups verfügbar. | |
target.group.member
|
Boolescher Wert |
"True", wenn "request.user" ein Mitglied von "target.group" ist. "False", wenn der Service die target.group erstellt. Nicht für die Verwendung mit ListGroups verfügbar. |
|
target.resource.domain.id |
Entity (OCID) | ||
target.resource.domain.name |
Zeichenfolge | ||
dynamic-groups
|
target.dynamicgroup.id
|
Entity (OCID) | Nicht für die Verwendung mit CreateDynamicGroup oder ListDynamicGroups verfügbar. |
target.dynamicgroup.name |
Zeichenfolge | Nicht für die Verwendung mit CreateDynamicGroup oder ListDynamicGroups verfügbar. | |
target.resource.domain.id |
Entity (OCID) | ||
target.resource.domain.name |
Zeichenfolge | ||
policies
|
target.policy.id
|
Entity (OCID) | Nicht für die Verwendung mit CreatePolicy oder ListPolicies verfügbar. |
target.policy.name
|
Zeichenfolge | Nicht für die Verwendung mit ListPolicies verfügbar. | |
target.policy.autoupdate |
Boolescher Wert | Nicht für die Verwendung mit ListPolicies verfügbar. | |
compartments
|
target.compartment.id
|
Entity (OCID) |
Dies ist eine universelle Variable, die für jede Anforderung in allen Services verfügbar ist (siehe Allgemeine Variablen für alle Anforderungen). Nur mit ListCompartments kann sie nicht verwendet werden. Für CreateCompartment ist dies der Wert des übergeordneten Compartments (z.B. das Root Compartment). |
target.compartment.name
|
Zeichenfolge | Dies ist eine universelle Variable, die für jede Anforderung in allen Services verfügbar ist (siehe Allgemeine Variablen für alle Anforderungen). Nur mit ListCompartments kann sie nicht verwendet werden. |
|
credentials |
target.credential.type |
Zeichenfolge | Beispiel: "smtp", "switft", "secretkey". |
target.user.id |
Entity (OCID) | ||
target.user.name |
Zeichenfolge | ||
target.resource.domain.id |
Entity (OCID) | ||
target.resource.domain.name |
Zeichenfolge | ||
domain
|
target.domain.id
|
Entity (OCID) | Nicht für die Verwendung mit CreateDomain oder ListDomains verfügbar. |
target.domain.name
|
Zeichenfolge | Nicht für die Verwendung mit ListDomains verfügbar. | |
tag-namespace
|
target.tag-namespace.id
|
Entity (OCID) |
Diese Variable wird nur in Anweisungen unterstützt, die Berechtigungen für den Ressourcentyp |
target.tag-namespace.name
|
Zeichenfolge | Nicht für die Verwendung mit ListTagNamespaces verfügbar. |
Details für Kombinationen aus Verb + Ressourcentyp
In den folgenden Tabellen werden die Berechtigungen und API-Vorgänge angezeigt, die von jedem Verb abgedeckt werden. Die Zugriffsebene ist kumulativ: inspect
> read
> use
> manage
. Beispiel: Eine Gruppe, die eine Ressource verwenden kann, kann diese Ressource auch prüfen und lesen. Ein Pluszeichen (+) in einer Tabellenzelle gibt einen inkrementellen Zugriff im Vergleich zur direkt darüber liegenden Zelle an, während "keine zusätzlichen" keinen inkrementellen Zugriff angibt.
Beispiel: Das Verb read
für Compartments umfasst keine zusätzlichen Berechtigungen oder API-Vorgänge im Vergleich zu dem Verb inspect
. Das Verb use
umfasst dieselben Berechtigungen wie das Verb read
sowie die Berechtigung "COMPARTMENT_UPDATE" und den API-Vorgang UpdateCompartment
. Das Verb manage
umfasst dieselben Berechtigungen und API-Vorgänge wie das Verb use
sowie die Berechtigung "COMPARTMENT_CREATE" und zwei API-Vorgänge: CreateCompartment
und DeleteCompartment
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | AUTHENTICATION_POLICY_INSPECT |
|
kein Wert |
read | keine zusätzlichen |
keine zusätzlichen |
kein Wert |
use | keine zusätzlichen |
keine zusätzlichen |
kein Wert |
manage | USE + AUTHENTICATION_POLICY_UPDATE |
USE +
|
kein Wert |
Um ein Compartment zu verschieben (d.h. den Vorgang MoveCompartment
verwenden), müssen Sie zu einer Gruppe gehören, die über die Berechtigung manage all-resources
für das niedrigste gemeinsame übergeordnete Compartment des aktuellen Compartments und des Ziel-Compartments verfügt.
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | COMPARTMENT_INSPECT |
|
kein Wert |
read | keine zusätzlichen |
keine zusätzlichen |
kein Wert |
use | READ + COMPARTMENT_UPDATE |
READ +
|
kein Wert |
manage | USE + COMPARTMENT_CREATE COMPARTMENT_DELETE COMPARTMENT_RECOVER |
USE +
|
kein Wert |
Der Ressourcentyp credentials
bezieht sich nur auf die SMTP-Zugangsdaten. Berechtigungen zum Arbeiten mit anderen Zugangsdaten, die einem Benutzer hinzugefügt werden können (wie Authentifizierungstoken, API-Schlüssel und Kunden-Secret-Keys), sind in users
-Ressourcenberechtigungen enthalten.
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | CREDENTIAL_INSPECT |
ListSmtpCredentials
|
kein Wert |
read | keine zusätzlichen |
keine zusätzlichen |
kein Wert |
use | keine zusätzlichen |
keine zusätzlichen |
kein Wert |
manage | USE + CREDENTIAL_ADD CREDENTIAL_UPDATE CREDENTIAL_REMOVE |
USE +
|
kein Wert |
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect |
DOMAIN_INSPECT |
|
kein Wert |
read |
INSPECT + DOMAIN_READ DOMAIN_LICENSETYPE_READ |
|
kein Wert |
use |
READ + DOMAIN_UPDATE IAM_WORKREQUEST_READ |
READ +
|
kein Wert |
manage |
USE + DOMAIN_CREATE DOMAIN_DELETE DOMAIN_MOVE DOMAIN_REPLICATE DOMAIN_ACTIVATE DOMAIN_DEACTIVATE |
USE +
|
kein Wert |
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | DYNAMIC_GROUP_INSPECT |
|
Keine zusätzlichen |
read | keine zusätzlichen |
keine zusätzlichen |
keine zusätzlichen |
use | READ + DYNAMIC_GROUP_UPDATE |
READ +
|
Keine zusätzlichen |
manage | USE + DYNAMIC_GROUP_CREATE DYNAMIC_GROUP_DELETE |
USE +
|
keine zusätzlichen |
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | GROUP_INSPECT |
|
|
read | keine zusätzlichen |
keine zusätzlichen |
keine zusätzlichen |
use | READ + GROUP_UPDATE |
READ +
|
READ +
|
manage | USE + GROUP_CREATE GROUP_DELETE |
USE +
|
keine zusätzlichen |
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | IDENTITY_PROVIDER_INSPECT |
|
ListIdpGroupMappings , GetIdpGroupMapping (beide benötigen auch inspect groups )
|
read | keine zusätzlichen |
keine zusätzlichen |
keine zusätzlichen |
use | keine zusätzlichen |
keine zusätzlichen |
keine zusätzlichen |
manage | USE + IDENTITY_PROVIDER_UPDATE IDENTITY_PROVIDER_CREATE IDENTITY_PROVIDER_DELETE |
USE +
|
USE +
|
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | NETWORK_SOURCE_INSPECT |
|
Keine zusätzlichen |
read | keine zusätzlichen |
keine zusätzlichen |
keine zusätzlichen |
use | READ + NETWORK_SOURCE_UPDATE |
READ +
|
Keine zusätzlichen |
manage | USE + NETWORK_SOURCE_CREATE NETWORK_SOURCE_DELETE |
USE +
|
keine zusätzlichen |
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | POLICY_READ |
|
kein Wert |
read | keine zusätzlichen |
keine zusätzlichen |
kein Wert |
use | keine zusätzlichen |
keine zusätzlichen Hinweis: Die Möglichkeit, Policys zu aktualisieren, ist nur mit |
kein Wert |
manage | USE + POLICY_UPDATE POLICY_CREATE POLICY_DELETE |
USE +
|
kein Wert |
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | TAG_NAMESPACE_INSPECT |
|
kein Wert |
read | keine zusätzlichen |
keine zusätzlichen |
kein Wert |
use | READ + TAG_NAMESPACE_USE Hinweis: Um definierte Tags für eine Ressource anzuwenden, zu aktualisieren oder zu entfernen, müssen einem Benutzer Berechtigungen für die Ressource und Berechtigungen zur Verwendung des Tag-Namespace erteilt werden. |
READ +
|
kein Wert |
manage | USE + TAG_NAMESPACE_UPDATE TAG_NAMESPACE_CREATE TAG_NAMESPACE_MOVE TAG_NAMESPACE_DELETE |
USE +
|
kein Wert |
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect |
TAG_DEFAULT_INSPECT TAG_NAMESPACE_READ (Beide Berechtigungen verwenden) |
|
kein Wert |
read | keine zusätzlichen |
keine zusätzlichen |
kein Wert |
use | keine zusätzlichen |
keine zusätzlichen |
kein Wert |
manage | INSPECT + TAG_DEFAULT_CREATE TAG_DEFAULT_UPDATE TAG_DEFAULT_DELETE |
USE +
|
kein Wert |
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | TENANCY_INSPECT |
|
kein Wert |
read | keine zusätzlichen |
keine zusätzlichen |
kein Wert |
use | READ + TENANCY_UPDATE |
keine zusätzlichen |
kein Wert |
manage | USE + TENANCY_UPDATE |
USE +
|
kein Wert |
Um mit den SMTP-Zugangsdaten für einen Benutzer zu arbeiten, müssen Sie Berechtigungen für den Ressourcentyp credentials
haben.
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | USER_INSPECT |
|
GetUserGroupMembership (benötigt auch inspect groups )
|
read | INSPECT + USER_READ |
INSPECT +
|
keine zusätzlichen |
use | READ + USER_UPDATE |
READ +
|
READ +
|
manage | USE + USER_CREATE USER_DELETE USER_UNBLOCK USER_APIKEY_ADD USER_APIKEY_REMOVE USER_UIPASS_SET USER_UIPASS_RESET USER_SWIFTPASS_SET USER_SWIFTPASS_RESET USER_SWIFTPASS_REMOVE USER_AUTHTOKEN_SET USER_AUTHTOKEN_RESET USER_AUTHTOKEN_REMOVE USER_OAUTH2_CLIENT_CRED_CREATE USER_OAUTH2_CLIENT_CRED_UPDATE USER_OAUTH2_CLIENT_CRED_REMOVE USER_SECRETKEY_ADD USER_SECRETKEY_UPDATE USER_SECRETKEY_REMOVE USER_SUPPORT_ACCOUNT_LINK USER_SUPPORT_ACCOUNT_UNLINK USER_TOTPDEVICE_ADD USER_TOTPDEVICE_REMOVE USER_TOTPDEVICE_UPDATE |
USE +
|
keine zusätzlichen |
Für jeden API-Vorgang erforderliche Berechtigungen
In der folgenden Tabelle werden die API-Vorgänge in einer logischen Reihenfolge nach Ressourcentyp gruppiert aufgeführt.
Informationen zu Berechtigungen finden Sie unter Berechtigungen.
API-Vorgang | Erforderliche Berechtigungen für den Vorgang |
---|---|
ListRegions
|
TENANCY_INSPECT |
ListRegionSubscriptions
|
TENANCY_INSPECT |
CreateRegionSubscription
|
TENANCY_UPDATE |
GetTenancy
|
TENANCY_INSPECT |
ListDomains |
DOMAIN_INSPECT |
GetDomain |
DOMAIN_READ |
CreateDomain |
DOMAIN_CREATE |
ActivateDomain |
DOMAIN_ACTIVATE |
UpdateDomain |
DOMAIN_UPDATE |
ReplicateDomainRegion |
DOMAIN_REPLICATE |
ChangeDomainCompartment |
DOMAIN_MOVE |
GetDomainLicenseTypes |
DOMAIN_LICENSETYPE_READ |
ChangeSku |
DOMAIN_MOVE |
DeactivateDomain |
DOMAIN_DEACTIVATE |
DeleteDomain |
DOMAIN_DELETE |
GetAuthenticationPolicy
|
AUTHENTICATION_POLICY_INSPECT |
UpdateAuthenticationPolicy
|
AUTHENTICATION_POLICY_UPDATE |
ListAvailabilityDomains
|
COMPARTMENT_INSPECT |
ListFaultDomains
|
COMPARTMENT_INSPECT |
ListCompartments
|
COMPARTMENT_INSPECT |
GetCompartment
|
COMPARTMENT_INSPECT |
UpdateCompartment
|
COMPARTMENT_UPDATE |
CreateCompartment
|
COMPARTMENT_CREATE |
RecoverCompartment
|
COMPARTMENT_RECOVER |
DeleteCompartment
|
COMPARTMENT_DELETE |
MoveCompartment
|
Mit dem Vorgang MoveCompartment ist keine einzelne Berechtigung verknüpft. Dieser Vorgang erfordert manage all-resources -Berechtigungen für das niedrigste gemeinsame übergeordnete Compartment des aktuellen Compartments und des Ziel-Compartments. |
GetWorkRequest
|
COMPARTMENT_READ |
ListUsers
|
USER_INSPECT |
GetUser
|
USER_INSPECT |
UpdateUser
|
USER_UPDATE |
UpdateUserState
|
USER_UPDATE und USER_UNBLOCK |
CreateUser
|
USER_CREATE |
DeleteUser
|
USER_DELETE |
CreateOrResetUIPassword
|
USER_UPDATE und USER_UIPASS_RESET |
ListApiKeys
|
USER_READ |
UploadApiKey
|
USER_UPDATE und USER_APIKEY_ADD |
DeleteApiKey
|
USER_UPDATE und USER_APIKEY_REMOVE |
ListAuthTokens
|
USER_READ |
UpdateAuthToken
|
USER_UPDATE und USER_AUTHTOKEN_RESET |
CreateAuthToken
|
USER_UPDATE und USER_AUTHTOKEN_SET |
DeleteAuthToken
|
USER_UPDATE und USER_AUTHTOKEN_REMOVE |
ListSwiftPasswords
|
USER_READ |
UpdateSwiftPassword
|
USER_UPDATE und USER_SWIFTPASS_RESET |
CreateSwiftPassword
|
USER_UPDATE und USER_SWIFTPASS_SET |
DeleteSwiftPassword
|
USER_UPDATE und USER_SWIFTPASS_REMOVE |
ListCustomerSecretKeys
|
USER_READ |
CreateSecretKey
|
USER_UPDATE und USER_SECRETKEY_ADD |
UpdateCustomerSecretKey
|
USER_UPDATE und USER_SECRETKEY_UPDATE |
DeleteCustomerSecretKey
|
USER_UPDATE und USER_SECRETKEY_REMOVE |
CreateOAuthClientCredential |
USER_UPDATE and USER_OAUTH2_CLIENT_CRED_CREATE |
UpdateOAuthClientCredential |
USER_UPDATE and USER_OAUTH2_CLIENT_CRED_UPDATE |
ListOAuthClientCredentials |
USER_READ |
DeleteOAuthClientCredential |
USER_UPDATE and USER_OAUTH2_CLIENT_CRED_REMOVE |
LinkSupportAccount |
USER_SUPPORT_ACCOUNT_LINK |
UnlinkSupportAccount |
USER_SUPPORT_ACCOUNT_UNLINK |
CreateSmtpCredential |
CREDENTIAL_ADD |
ListSmtpCredentials |
CREDENTIAL_INSPECT |
UpdateSmtpCredential |
CREDENTIAL_UPDATE |
DeleteSmtpCredential |
CREDENTIAL_REMOVE |
ListUserGroupMemberships
|
GROUP_INSPECT und USER_INSPECT |
GetUserGroupMembership
|
USER_INSPECT und GROUP_INSPECT |
AddUserToGroup
|
GROUP_UPDATE und USER_UPDATE |
RemoveUserFromGroup
|
GROUP_UPDATE und USER_UPDATE |
ListGroups
|
GROUP_INSPECT |
GetGroup
|
GROUP_INSPECT |
UpdateGroup
|
GROUP_UPDATE |
CreateGroup
|
GROUP_CREATE |
DeleteGroup
|
GROUP_DELETE |
ListDynamicGroups
|
DYNAMIC_GROUP_INSPECT |
GetDynamicGroup
|
DYNAMIC_GROUP_INSPECT |
UpdateDynamicGroup
|
DYNAMIC_GROUP_UPDATE |
CreateDynamicGroup
|
DYNAMIC_GROUP_CREATE |
DeleteDynamicGroup
|
DYNAMIC_GROUP_DELETE |
GetNetworkSource
|
NETWORK_SOURCE_INSPECT |
ListNetworkSources
|
NETWORK_SOURCE_INSPECT |
CreateNetworkSource
|
NETWORK_SOURCE_CREATE |
UpdateNetworkSource
|
NETWORK_SOURCE_UPDATE |
DeleteNetworkSource
|
NETWORK_SOURCE_DELETE |
ListPolicies
|
POLICY_READ |
GetPolicy
|
POLICY_READ |
UpdatePolicy
|
POLICY_UPDATE |
CreatePolicy
|
POLICY_CREATE |
DeletePolicy
|
POLICY_DELETE |
ListIdentityProviders
|
IDENTITY_PROVIDER_INSPECT |
GetIdentityProvider
|
IDENTITY_PROVIDER_INSPECT |
UpdateIdentityProvider
|
IDENTITY_PROVIDER_UPDATE |
CreateIdentityProvider
|
IDENTITY_PROVIDER_CREATE |
DeleteIdentityProvider
|
IDENTITY_PROVIDER_DELETE |
ListIdpGroupMappings
|
IDENTITY_PROVIDER_INSPECT und GROUP_INSPECT |
GetIdpGroupMapping
|
IDENTITY_PROVIDER_INSPECT und GROUP_INSPECT |
AddIdpGroupMapping
|
IDENTITY_PROVIDER_UPDATE und GROUP_UPDATE |
DeleteIdpGroupMapping
|
IDENTITY_PROVIDER_UPDATE und GROUP_UPDATE |
ListIamWorkRequests |
IAM_WORKREQUEST_INSPECT |
GetIamWorkRequest |
IAM_WORKREQUEST_READ |
ListWorkRequestErrors |
IAM_WORKREQUEST_INSPECT |
ListIamWorkRequestLogs |
IAM_WORKREQUEST_INSPECT |
ListTagNamespaces
|
TAG_NAMESPACE_INSPECT |
ListTaggingWorkRequest
|
TAG_NAMESPACE_INSPECT |
ListTaggingWorkRequestErrors
|
TAG_NAMESPACE_INSPECT |
ListTaggingWorkRequestLogs
|
TAG_NAMESPACE_INSPECT |
GetTaggingWorkRequest
|
TAG_NAMESPACE_INSPECT |
GetTagNamespace
|
TAG_NAMESPACE_INSPECT |
CreateTagNamespace
|
TAG_NAMESPACE_CREATE |
UpdateTagNamespace
|
TAG_NAMESPACE_UPDATE |
ChangeTagNamespaceCompartment
|
TAG_NAMESPACE_MOVE |
CascadeDeleteTagNamespace
|
TAG_NAMESPACE_DELETE |
DeleteTagNamespace
|
TAG_NAMESPACE_DELETE |
ListTags
|
TAG_NAMESPACE_INSPECT |
BulkEditTags
|
TAG_NAMESPACE_INSPECT |
ListCostTrackingTags
|
TAG_NAMESPACE_INSPECT |
GetTag
|
TAG_NAMESPACE_INSPECT |
CreateTag
|
TAG_NAMESPACE_USE |
UpdateTag
|
TAG_NAMESPACE_USE |
DeleteTag
|
TAG_NAMESPACE_DELETE |
BulkDeleteTags
|
TAG_NAMESPACE_DELETE |
ListTagDefaults
|
TAG_DEFAULT_INSPECT |
GetTagDefault
|
TAG_DEFAULT_INSPECT |
CreateTagDefault
|
TAG_DEFAULT_MANAGE |
UpdateTagDefault
|
TAG_DEFAULT_MANAGE |
DeleteTagDefault
|
TAG_DEFAULT_MANAGE |