Oracle Cloud Infrastructure - Dokumentation

Zugriffskontrolle

Dieses Thema enthält grundlegende Informationen zur Verwendung von Compartments  und IAM-Policys  zur Kontrolle des Zugriffs auf Ihr Cloud-Netzwerk.

Compartments und das Cloud-Netzwerk

Wenn Sie eine Cloud-Ressource wie ein virtuelles Cloud-Netzwerk (VCN) oder eine Compute-Instanz erstellen, müssen Sie angeben, in welchem IAM-Compartment die Ressource enthalten sein soll. Ein Compartment ist eine Sammlung aus zusammengehörigen Ressourcen, auf die nur bestimmte Gruppen zugreifen können. Diese Gruppen erhalten die Berechtigung dazu von einem Administrator in Ihrer Organisation. Der Administrator erstellt Compartments und entsprechende IAM-Policys, um zu steuern, welche Benutzer in Ihrer Organisation Zugriff auf welche Compartments haben. Letztendlich soll damit sichergestellt werden, dass jede Person nur auf die benötigten Ressourcen zugreifen kann.

Wenn in Ihrem Unternehmen Oracle Cloud Infrastructure getestet wird, müssen nur einige Personen das VCN und seine Komponenten erstellen und verwalten, Instanzen im VCN starten und diesen Instanzen Blockspeicher-Volumes anhängen. Diese wenigen Personen benötigen Zugriff auf alle diese Ressourcen, damit sich diese Ressourcen in demselben Compartment befinden können.

In einer Unternehmensproduktionsumgebung mit VCN kann Ihr Unternehmen mehrere Compartments verwenden, um den Zugriff auf bestimmte Ressourcentypen einfacher zu steuern. Der Administrator könnte beispielsweise Compartment_A für das VCN und für andere Netzwerkkomponenten erstellen. Der Administrator könnte dann Compartment_B für alle Compute-Instanzen und Blockspeicher-Volumes erstellen, die von der HR-Organisation verwendet werden, und Compartment_C für alle Instanzen und Blockspeicher-Volumes, die die Marketingorganisation verwendet. Der Administrator würde dann IAM-Policys erstellen, mit denen Benutzern nur bis zu der Ebene Zugriff erteilt wird, die sie in jedem Compartment benötigen. Beispiel: HR-Instanzadministratoren sind nicht berechtigt, das vorhandene Cloud-Netzwerk zu ändern. Sie haben also die vollen Berechtigungen für Compartment_B, aber begrenzten Zugriff auf Compartment_A (nur um Instanzen im Netzwerk starten zu können). Wenn sie versuchen, andere Ressourcen in Compartment_A zu ändern, wird die Anforderung abgelehnt.

Netzwerkressourcen wie VCNs, Subnetze, Routentabellen, Sicherheitslisten, Servicegateways, NAT-Gateways, VPN-Verbindungen und FastConnect-Verbindungen können von einem Compartment in ein anderes verschoben werden. Wenn eine Ressource in ein neues Compartment verschoben wird, werden inhärente Policys sofort angewendet.

Weitere Informationen zu Compartments und zur Kontrolle des Zugriffs auf Ihre Cloud-Ressourcen finden Sie unter Best Practices zum Einrichten Ihres Mandanten und Überblick über Identity and Access Management .

IAM-Policys für Networking

Die einfachste Methode zum Erteilen des Zugriffs auf das Netzwerk ist die Policy, die unter Verwalten eines Cloud-Netzwerks durch Netzwerkadministratoren zulassen aufgeführt wird. Sie deckt das Cloud-Netzwerk und alle anderen Netzwerkkomponenten (Subnetze, Sicherheitslisten, Routentabellen, Gateways usw.) ab. Weitere Informationen dazu, wie Netzwerkadministratoren Instanzen starten können (um die Netzwerkkonnektivität zu testen), finden Sie unter Starten von Compute-Instanzen durch Benutzer zulassen.

Wenn Sie mit Policys nicht vertraut sind, finden Sie weitere Informationen unter Erste Schritte mit Policys und Allgemeine Policys.

Referenzmaterial für das Schreiben detaillierter Policys zu Networking finden Sie unter Details zu den Coreservices.

Einzelne Ressourcentypen

Sie können Policys schreiben, die sich auf einzelne Ressourcentypen konzentrieren (z.B. nur Sicherheitslisten) und nicht auf den umfassenderen Ressourcentyp virtual-network-family. Der Ressourcentyp instance-family enthält auch mehrere Berechtigungen für VNICs, die sich in einem Subnetz befinden, aber an eine Instanz angehängt sind. Weitere Informationen finden Sie unter Details für Kombinationen aus Verb + Ressourcentyp und Virtuelle Netzwerkkarten (VNICs).

Der Ressourcentyp local-peering-gateways ist in virtual-network-family enthalten und enthält zwei weitere zum lokalen VCN-Peering (innerhalb der Region) zugehörige Ressourcentypen:

  • local-peering-from
  • local-peering-to

Der Ressourcentyp local-peering-gateways deckt alle zu lokalen Peering-Gateways (LPGs) zugehörigen Berechtigungen ab. Die Ressourcentypen local-peering-from und local-peering-to sind zum Erteilen der Berechtigung zum Verbinden von zwei LPGs und zum Definieren einer Peering-Beziehung innerhalb einer einzelnen Region vorgesehen. Weitere Informationen finden Sie unter Lokales Peering mit einem LPG (VCNs im selben Mandanten) oder Lokales Peering mit einem LPG (VCNs in verschiedenen Mandanten).

Außerdem ist der Ressourcentyp remote-peering-connections in virtual-network-family enthalten und enthält zwei weitere zu lokalen VCN-Peering (regionsübergreifend) zugehörigen Ressourcentypen:

  • remote-peering-from
  • remote-peering-to

Der Ressourcentyp remote-peering-connections deckt alle zu Remote-Peering-Verbindungen (RPCs) zugehörigen Berechtigungen ab. Die Ressourcentypen remote-peering-from und remote-peering-to sind zum Erteilen der Berechtigung zum Herstellen von Verbindungen zu zwei RPCs und zum Definieren einer regionsübergreifenden Peering-Beziehung. Weitere Informationen finden Sie unter Remote-Peering mit einem Legacy-DRG und Remote-Peering mit einem upgegradeten DRG.

Nuancen verschiedener Verben

Wenn Sie möchten, können Sie Policys schreiben, die diesen Zugriff eingrenzen, indem Sie ein anderes Policy-Verb (manage gegenüber use usw.) verwenden. In diesem Fall müssen Sie sich mit einigen Nuancen der Policy-Verben für Networking vertraut machen.

Beachten Sie, dass das Verb inspect nicht nur allgemeine Informationen zu den Komponenten des Cloud-Netzwerks zurückgibt (Beispiel: Name und OCID einer Sicherheitsliste oder einer Routentabelle). Es enthält außerdem den Inhalt der Komponente (Beispiel: die eigentlichen Regeln in der Sicherheitsliste, die Routen in der Routentabelle usw.).

Außerdem sind die folgenden Arten von Fähigkeiten nur mit dem Verb manage und nicht mit dem Verb use verfügbar:

  • internet-gateways aktualisieren (aktivieren/deaktivieren)
  • security-lists aktualisieren
  • route-tables aktualisieren
  • dhcp-options aktualisieren
  • Ein dynamisches Routinggateway (DRG) an ein virtuelles Cloud-Netzwerk (VCN) anhängen
  • Eine IPSec-Verbindung zwischen einem DRG und Customer Premises Equipment (CPE) erstellen
  • Peer-VCNs
Wichtig

Jedes VCN verfügt über verschiedene Komponenten, die sich direkt auf das Verhalten des Netzwerks auswirken (Routentabellen, Sicherheitslisten, DHCP-Optionen, Internetgateway usw.). Wenn Sie eine dieser Komponenten erstellen, legen Sie eine Beziehung zwischen dieser Komponente und dem VCN fest. Dies bedeutet, dass eine Policy Sie berechtigen muss, sowohl die Komponente zu erstellen als auch das VCN selbst zu verwalten. Die Möglichkeit, diese Komponente zu aktualisieren (um die Routingregeln, Sicherheitslistenregeln usw. zu ändern) erfordert jedoch NICHT die Berechtigung zur Verwaltung des VCN selbst, selbst wenn sich die Änderung dieser Komponente direkt auf das Verhalten des Netzwerks auswirkt. Diese Diskrepanz bietet Ihnen Flexibilität, Benutzern die geringstmöglichen Berechtigungen zu erteilen, ohne ihnen übermäßigen Zugriff auf das VCN zu gewähren, nur damit sie andere Komponenten des Netzwerks verwalten können. Beachten Sie, dass wenn Sie jemandem die Möglichkeit geben, einen bestimmten Komponententyp zu aktualisieren, Sie dieser Person implizit vertrauen, das Verhalten des Netzwerks zu steuern.

Weitere Informationen zu Policy-Verben finden Sie unter Policy-Grundlagen.

Peering-Policys

Policys, die beim Verbinden eines DRG mit VCNs und DRGs in anderen Regionen und Mandanten verwendet werden, finden Sie unter IAM-Policys für das Routing zwischen VCNs.