Oracle Cloud Infrastructure-Dokumentation

Überblick über die Policy-Syntax

Die allgemeine Syntax einer Policy-Anweisung wird in diesem Abschnitt erläutert.

Bevor Sie den Zugriff auf Application Dependency Management-Ressourcen kontrollieren können, müssen Sie Benutzer erstellen und in entsprechende Gruppen einfügen (siehe Benutzer verwalten und Gruppen verwalten). Sie können dann Policys und Policy-Anweisungen erstellen, um den Zugriff zu kontrollieren (siehe Policys verwalten). Eine dynamische Gruppe ist ein spezieller Gruppentyp, der Ressourcen enthält, die von Ihnen definierten Regeln entsprechen. Weitere Informationen finden Sie unter Dynamische Gruppen verwalten.

Mit einer Policy kann eine Gruppe auf verschiedene Arten mit bestimmten Ressourcen in einem bestimmten Compartment arbeiten. 

Allow <subject> to <verb> <resource-type> in <location> where <condition>

Beispiel: Sie können Folgendes angeben:

  • Eine Gruppe oder dynamische Gruppe nach Name oder OCID als <subject>. Sie können auch any-user verwenden, um alle Benutzer im Mandanten abzudecken.

  • inspect, read, use und manage als <verb>, um <subject> Zugriff auf Berechtigungen zu erteilen.

    Im Verlauf von inspect > read > use > manage nimmt die Zugriffsebene zu, und die erteilten Berechtigungen sind kumulativ. Beispiel: use umfasst read sowie die Möglichkeit zum Aktualisieren.

  • Eine Ressourcenfamilie, wie adm-family für <resource-type>. Sie können auch eine einzelne Ressource in einer Familie angeben, wie adm-knowledge-bases und adm-vulnerability-audits.

  • Ein Compartment nach Name oder OCID als <location>. Sie können auch tenancy verwenden, um den gesamten Mandanten abzudecken.

  • Eine oder mehrere Bedingungen in <condition>, die erfüllt sein müssen, damit der Zugriff erteilt wird. Bei mehreren Bedingungen können Sie any oder all verwenden.

    Eine Bedingung besteht aus mindestens einer Variablen. Eine Variable kann für die Anforderung selbst relevant sein (z.B. request.operation) oder für die Ressource, die in der Anforderung bearbeitet wird (z.B. target.compartment.id). Zur Veranschaulichung, damit eine Gruppe eine bestimmte Knowledge Base und keine andere Knowledge Base verwalten kann:

    Allow group <group-name> to manage adm-knowledge-bases in compartment <compartment-name> where target.compartment.id = '<compartment-ocid>'

    Oder, um einer Gruppe die Verwaltung aller Application Dependency Management-Ressourcen zu ermöglichen, mit Ausnahme des Löschens von Wissensdatenbanken:

    Allow group <group-name> to manage adm-family in compartment <compartment-name> where request.permission != 'ADM_KNOWLEDGE_BASE_DELETE'

Vollständige Informationen finden Sie unter Policy-Syntax. Weitere Informationen zum Erstellen von Policys finden Sie unter Funktionsweise von Policys und in der Policy-Referenz.