Themenbereiche
Der Betreff einer IAM-Policy gibt die Gruppen oder Principals an, denen die Policy die Berechtigung erteilt.
Syntax:
group '<identity_domain_name>'/'<group_name>' | group id <group_ocid> | dynamic-group '<identity_domain_name>'/'<dynamic-group_name>' | dynamic-group id <dynamic-group_ocid> | any-group service '<service_name>'
Hinweis
Das Thema <any-group> umfasst alle Gruppen und alle dynamischen Gruppen.
Das Thema <any-group> umfasst alle Gruppen und alle dynamischen Gruppen.
Der Betreff einer IAM-Policy zur Angabe der Principals, denen die Policy die Berechtigung erteilt.
Syntax:
group <identity_domain_name>/<group_name> | group id <group_ocid> | dynamic-group <identity_domain_name>/<dynamic-group_name> | dynamic-group id <dynamic-group_ocid> | any-userservice <service_name>
Eine Policy-Anweisung kann nur einen Principal-Typ enthalten, Sie können jedoch viele Instanzen dieses Principals einschließen.
Hinweis
Wenn sich die Policy auf die Standardidentitätsdomain bezieht, können Sie <identity_domain_name> weglassen. Die Policy verarbeitet und interpretiert die Policy-Anweisung so, als wäre sie als Default/<group_name>
geschrieben.
Beispiele:
- Einzelne Gruppe nach Name in der Standardidentitätsdomain:
Allow group A-Admins to manage all-resources in compartment Project-A
- Mehrere Gruppen nach Namen in der Standardidentitätsdomain (ein Leerzeichen nach dem Komma ist optional):
Allow group A-Admins, B-Admins to manage all-resources in compartment Projects-A-and-B
- Einzelne Gruppe nach OCID in der Standardidentitätsdomain:
Allow group id ocid1.group.oc1..exampleuniqueID to manage all-resources in compartment Project-A
- Mehrere Gruppen nach OCID in der Standardidentitätsdomain:
Allow group id ocid1.group.oc1.exampleuniqueID, id ocid1.group.oc1.exampleuniqueID to manage all-resources in compartment Projects-A-and-B
- Jeder Benutzer im Standard-Identitätsdomainmandanten:
Allow any-group to inspect users in tenancy
- Service im standardmäßigen Identitätsdomainmandanten:
Allow service FaaS to use virtual-network-family in compartment <compartment-name>
- Einzelne Gruppe in einer sekundären Identitätsdomain nach Name:
Allow group Domain-B/Domain-B-Admins to manage all-resources in compartment Project-B