Policy-Beispiele

Anhand der folgenden Beispiele können Sie IAM-Policys für verschiedene Application Dependency Management-Ressourcen erstellen.

Knowledge Base

Erstellen Sie eine Policy, mit der Benutzer in einer Gruppe eine Knowledge Base erstellen, aktualisieren oder löschen können:

Allow group <group-name> to manage adm-knowledge-bases in compartment <compartment_name>

Sicherheitslückenaudit

Erstellen Sie eine Policy, mit der Benutzer eine Knowledge Base in einem bestimmten Compartment verwenden und Sicherheitslückenaudits in diesem Compartment erstellen, aktualisieren oder löschen können:

Allow group <group-name> to use adm-knowledge-bases in compartment <compartment_name>

Allow group <group-name> to manage adm-vulnerability-audits in compartment <compartment_name>

Korrektur

Sie müssen eine dynamische Gruppe erstellen, um die Korrektur korrekt auszuführen. Mit Abgleichsregeln werden die Ressourcen definiert, die zur dynamischen Gruppe gehören:

ALL {resource.type = 'admremediationrecipe', resource.compartment.id = 'compartmentOCID'}

Erstellen Sie eine Policy, um Mitgliedern der Gruppe adm-admin die Berechtigung zum Verwalten (Prüfen, Lesen, Erstellen, Aktualisieren, Starten, Löschen, Verschieben) der Ressourcen für Korrekturrezept, Korrekturausführung, Korrekturausführungsphase, Sicherheitslückenaudit, Empfehlung und Arbeitsanforderung zu erteilen:

Allow group adm-admin to manage adm-remediations-family in tenancy

Erstellen Sie eine Policy, um Mitgliedern der Gruppe adm-dev die Berechtigung zum Prüfen, Lesen und Verwenden der Ressourcen "Aktivität", "Aktivitätsausführung", "Aktivitätslaufphase", "Korrekturrezept", "Korrekturausführung", "Korrekturlaufphase", "Sicherheitslückenaudit" und "Empfehlung" zu erteilen. Dadurch können Mitglieder keine Aktivitäten erstellen/löschen/verschieben, Aktivitätsausführungen löschen, Sicherheitslückenaudits löschen, Empfehlungen löschen:

Allow group adm-dev to use adm-family in tenancy

Um die Korrektur auszuführen, erstellen Sie die folgenden Policys. Sie können die dynamische Gruppe entsprechend benennen und compartmentOCID durch die OCID des Compartment ersetzen:

Allow dynamic-group created-adm-dynamic-group to inspect dhcp-options in compartment <compartmentOCID>
Allow dynamic-group created-adm-dynamic-group to { ADM_KNOWLEDGE_BASE_READ, ADM_VULNERABILITY_AUDIT_READ, ADM_VULNERABILITY_AUDIT_CREATE } in compartment <compartmentOCID>
Allow dynamic-group created-adm-dynamic-group to inspect subnets in compartment <compartmentOCID>
Allow service adm to use subnets in compartment <compartmentOCID>
Allow service adm to use vnics in compartment <compartmentOCID>

Erstellen Sie die folgende Policy, wenn Sie externes Quellcodemanagement (SCM) verwenden:

Allow dynamic-group created-adm-dynamic-group to read secret-bundles in compartment <compartmentOCID>

Erstellen Sie die folgende Policy, wenn Sie OCI DevOps SCM verwenden (geben Sie den Repository-Namen an):

Allow dynamic-group created-adm-dynamic-group to { DEVOPS_REPOSITORY_READ } in compartment <compartmentOCID> where target.repository.name = 'repositoryName'
Allow dynamic-group created-adm-dynamic-group to { DEVOPS_PULL_REQUEST_UPDATE, DEVOPS_PULL_REQUEST_CREATE, DEVOPS_PULL_REQUEST_INSPECT, DEVOPS_PULL_REQUEST_READ } in compartment <compartmentOCID> where target.repository.name = 'repositoryName'

Erstellen Sie die folgende Policy, wenn Sie ein Availability-Domain-spezifisches Subnetz verwenden:

Allow dynamic-group created-adm-dynamic-group to use subnets in compartment <compartmentOCID>
Allow dynamic-group created-adm-dynamic-group to {COMPARTMENT_INSPECT} in compartment <compartmentOCID>

Erstellen Sie die folgende dynamische Gruppe und Policy, wenn Sie die OCI Devops-Build-Pipeline verwenden:

ALL {resource.type = 'devopsbuildpipeline', resource.compartment.id = 'compartmentOCID'}

Allow dynamic-group devops-build-dynamic-group to { DEVOPS_BUILD_RUN_READ, DEVOPS_BUILD_RUN_CREATE } in compartment <compartmentOCID>