IAM-Sicherheits-Policys
IAM-Sicherheits-Policys dienen dazu, den Zugriff von IAM-Gruppen auf Ressourcen in Compartments und im Mandanten zu steuern.
Oracle empfiehlt, den IAM-Gruppen die geringsten Berechtigungen für den Zugriff auf Ressourcen zu erteilen. Das übliche Format für IAM-Policys sehen Sie im folgenden Beispiel.
Allow group <group_name> to <verb> <resource-type> in compartment <compartment_name>
Allow group <group_name> to <verb> <resource-type> in tenancyIAM-Policys lassen vier vordefinierte Verben zu: "inspect", "read", "use" und "manage". "Inspect" gewährt die geringsten Berechtigungen, "manage" die umfangreichsten. Die vier Verben sind in aufsteigender Reihenfolge der Berechtigungen in der folgenden Tabelle aufgeführt.
| Verb | Zugriffsart | Beispielbenutzer |
|---|---|---|
inspect
|
Es sollten nur Metadaten angezeigt werden. Dies führt im Allgemeinen dazu, dass nur Ressourcen aufgelistet werden können. | Externer Auditor |
read
|
"Inspect" sowie die Möglichkeit, Ressourcen- und Benutzermetadaten zu lesen. Dies ist die Berechtigung, die die meisten Benutzer für ihre Aufgaben benötigen. | Interne Auditoren |
use
|
"Read" sowie die Möglichkeit, mit Ressourcen zu arbeiten (die Aktionen variieren je nach Ressourcenart). Schließt die Möglichkeit aus, Ressourcen zu erstellen oder zu löschen | Normale Benutzer (Softwareentwickler, Systemtechniker, Entwicklungsmanager usw.), die Mandantenressourcen sowie darauf ausgeführte Anwendungen einrichten und konfigurieren |
manage
|
Alle Berechtigungen für alle Ressourcen | Administratoren, Führungskräfte (für Notfallszenarien) |
Die Ressourcenarten der Oracle Cloud Infrastructure-Ressourcen sind in der folgenden Tabelle aufgeführt.
| Ressourcenartfamilie | Beschreibung | Ressourcenarten |
|---|---|---|
all-resources |
Alle Ressourcenarten | |
| Kein Name | Ressourcenarten im IAM-Service | compartments, users, groups, dynamic-groups, policies, identity-providers, tenancy tag-namespaces, tag-definitions |
instance-family |
Ressourcenarten im Compute-Service | console-histories, instance-console-connection, instance-images, instances, volume-attachmentsapp-catalog-listing |
volume-family |
Ressourcenarten im Block Storage-Service | volumes, volume-attachments, volume-backups |
virtual-network-family |
Ressourcenarten im virtuellen Networking-Service | vcns, subnets, route-tables, security-lists, dhcp-options, private-ips, public-ips, internet-gateways, local-peering-gatewaysdrgs, deg-attachments, cpes, ipsec-connections, cross-connects, cross-connect-groups, virtual-circuits, vnics, vnic-attachments |
object-family |
Ressourcenarten im Object Storage-Service | buckets, objects |
database-family |
Ressourcenarten im DbaaS-Service | db-systems, db-nodes, db-homes, databases, backups |
load-balancers |
Ressourcen im Load Balancer-Service | load-balancers |
file-family |
Ressourcen im File Storage-Service | file-systems, mount-targets, export-sets |
dns |
Ressourcen im DNS-Service | dns-zones, dns-records, dns-traffic |
email-family |
Ressourcen im Email Delivery-Service | approved-senders, suppressions |
Weitere Informationen zu Berechtigungszuordnungen für IAM-Verben und -Ressourcenarten finden Sie unter Details zu Coreservices.
IAM-Sicherheits-Policys können durch Bedingungen eingegrenzt werden. Der in der Policy angegebene Zugriff ist nur zulässig, wenn die Auswertung der Bedingungsanweisungen "true" ergibt. Bedingungen werden mit vordefinierten Variablen angegeben. Die Variablen verwenden die Schlüsselwörter request oder target, je nachdem, ob die Variable für die Anforderung oder die Ressource relevant ist, die bearbeitet wird. Weitere Informationen zu unterstützten vordefinierten Variablen finden Sie unter Policy-Referenz.
Dynamische IAM-Gruppen werden verwendet, um Compute-Instanzen für den Zugriff auf Oracle Cloud Infrastructure-APIs zu autorisieren. Das Instanz-Principal-Feature kann von Anwendungen verwendet werden, die auf den Instanzen ausgeführt werden, um programmatisch auf Oracle Cloud Infrastructure-Services zuzugreifen. Kunden erstellen dynamische Gruppen, die Instanzen als Mitglieder enthalten, und autorisieren mit IAM-Sicherheits-Policys den Zugriff auf ihre Mandantenressourcen. Der gesamte Zugriff durch Instanzen wird in den Auditlogs erfasst, die für Kunden verfügbar sind.