Themenbereiche

Der Betreff einer IAM-Policy gibt die Gruppen oder Principals an, denen die Policy die Berechtigung erteilt.

group '<identity_domain_name>'/'<group_name>' | group id <group_ocid> | dynamic-group '<identity_domain_name>'/'<dynamic-group_name>' | dynamic-group id <dynamic-group_ocid> | any-group service '<service_name>'

Der Betreff einer IAM-Policy zur Angabe der Principals, denen die Policy die Berechtigung erteilt.

group <identity_domain_name>/<group_name> | group id <group_ocid> | dynamic-group <identity_domain_name>/<dynamic-group_name> | dynamic-group id <dynamic-group_ocid> | any-userservice <service_name>

Eine Policy-Anweisung kann nur einen Principal-Typ enthalten, Sie können jedoch viele Instanzen dieses Principals einschließen.

Beispiele:

• Einzelne Gruppe nach Name in der Standardidentitätsdomain:

  Allow group A-Admins to manage all-resources in compartment Project-A

• Mehrere Gruppen nach Namen in der Standardidentitätsdomain (ein Leerzeichen nach dem Komma ist optional):

  Allow group A-Admins, B-Admins to manage all-resources in compartment Projects-A-and-B

• Einzelne Gruppe nach OCID in der Standardidentitätsdomain:

  Allow group id ocid1.group.oc1..exampleuniqueID to manage all-resources in compartment Project-A

• Mehrere Gruppen nach OCID in der Standardidentitätsdomain:

  Allow group id ocid1.group.oc1.exampleuniqueID, id ocid1.group.oc1.exampleuniqueID to manage all-resources in compartment Projects-A-and-B

• Jeder Benutzer im Standard-Identitätsdomainmandanten:

  Allow any-group to inspect users in tenancy

• Service im standardmäßigen Identitätsdomainmandanten:

  Allow service FaaS to use virtual-network-family in compartment <compartment-name>

• Einzelne Gruppe in einer sekundären Identitätsdomain nach Name:

  Allow group Domain-B/Domain-B-Admins to manage all-resources in compartment Project-B