Big Data Service-Ressourcen und -Berechtigungen in IAM-Policys
Oracle Identity and Access Management (IAM) stellt ein flexibles Framework für das Schreiben von Policy-Anweisungen bereit, das steuert, wie Ressourcen miteinander kommunizieren können. IAM definiert eine Reihe von Standardressourcen zusammen mit den Berechtigungen, die für die Interaktion mit ihnen erforderlich sind. Big Data Service fügt eigene servicespezifische Ressourcen und Berechtigungen hinzu.
In diesem Thema werden die Ressourcen und Berechtigungen beschrieben, mit denen ein Administrator IAM-Policy-Anweisungen für Big Data Service erstellen kann.
Ressourcenarten und Berechtigungen
| Ressourcenfamilie | Ressourcenart | Berechtigungen |
|---|---|---|
| bds-family | bds-instances |
|
| bds-family | bds-limits |
|
Zuordnung von Vorgängen zu Berechtigungen
In der folgenden Tabelle sind die für Big Data Service spezifischen IAM-Vorgänge aufgeführt. Sie können eine IAM-Policy schreiben, die diese Vorgänge umfasst. Sie können auch eine Policy schreiben, die ein definiertes Verb verwendet, das diese Vorgänge einschließt.
| Vorgänge | API-Vorgänge | Erforderliche Berechtigung zur Verwendung des Vorgangs |
|---|---|---|
| Alle Cluster im angegebenen Compartment auflisten | ListBdsInstances | BDS_INSPECT |
| Cluster erstellen | CreateBdsInstance | BDS_CREATE |
| Details zum angegebenen Cluster anzeigen | GetBdsInstance | BDS_READ |
| Größe eines Clusters ändern | ChangeShape | BDS_UPDATE |
| Details für ein Cluster aktualisieren | UpdateBdsInstance | BDS_UPDATE |
| Angegebene Instanz löschen | DeleteBdsInstance | BDS_DELETE |
| Blockspeicher zum angegebenen Cluster hinzufügen | AddBlockStorage | BDS_UPDATE |
| Worker-Knoten zum angegebenen Cluster hinzufügen | AddWorkerNodes | BDS_UPDATE |
| Bestimmten Knoten eines Clusters neu starten | RestartNode | BDS_UPDATE |
| Cloud SQL zum angegebenen Cluster hinzufügen | AddCloudSql | BDS_UPDATE |
| Cloud SQL aus dem angegebenen Cluster entfernen | RemoveCloudSql | BDS_UPDATE |
| Cluster von einem Compartment in ein anderes verschieben | ChangeBdsInstanceCompartment | BDS_MOVE |
| Alle Autoscaling-Konfigurationen für das angegebene Cluster auflisten | ListAutoScalingConfigurations | BDS_INSPECT |
| Autoscaling-Konfiguration zum angegebenen Cluster hinzufügen | AddAutoScalingConfiguration | BDS_UPDATE |
| Details zur angegebenen Autoscaling-Konfiguration anzeigen | GetAutoScalingConfiguration | BDS_READ |
| Felder einer Autoscaling-Konfiguration aktualisieren | UpdateAutoScalingConfiguration | BDS_UPDATE |
| Autoscaling-Konfiguration löschen | RemoveAutoScalingConfiguration | BDS_UPDATE |
| Alle Big Data-Arbeitsanforderungen im angegebenen Compartment auflisten | ListWorkRequests | BDS_INSPECT |
| Details zu den angegebenen Arbeitsanforderungen anzeigen | GetWorkRequest | BDS_READ |
| Logs für die angegebene Arbeitsanforderung anzeigen | ListWorkRequestLogs | BDS_INSPECT |
| Fehler für die angegebene Arbeitsanforderung anzeigen | ListWorkRequestErrors | BDS_INSPECT |
| Verwendete Ressourcen anzeigen | ListConsumptions | BDS_CONSUMPTION_INSPECT |
| API-Schlüssel im angegebenen Cluster auflisten | ListBdsApiKeys | BDS_READ |
| API-Schlüssel im angegebenen Cluster erstellen | CreateBdsApiKey | BDS_UPDATE |
| API-Schlüssel im angegebenen Cluster abrufen | GetBdsApiKey | BDS_READ |
| API-Schlüssel im angegebenen Cluster löschen | DeleteBdsApiKey | BDS_UPDATE |
| Zugriff auf Object Storage-Bucket mit dem angegebenen API-Schlüssel testen | TestBdsObjectStorageConnection | BDS_READ |
Vorgangsspezifische Attribute
Für eine bestimmte Ressourcenart müssen Sie für alle Vorgänge ("get", "list", "delete" usw.) dasselbe Set an Attributen besitzen. Die einzige Ausnahme bildet der "create"-Vorgang, bei dem Sie die ID für dieses Objekt noch nicht kennen, sodass Sie noch kein target.RESOURCE-KIND.id-Attribut für "create" besitzen.
| Ressourcenart | Name | Typ | Quelle |
|---|---|---|---|
| bds-instances | target.bds-instances.source-compartment.id | Entity | Anforderung |
| bds-instances | target.bds-instances.destination-compartment.id | Entity | Anforderung |
IAM-Verben zur Verwendung mit Big Data Service
| Ressourcenart | inspizieren | gelesen | verwenden | verwalten |
|---|---|---|---|---|
| bds-instances | BDS_INSPECT | inspect + BDS_READ |
gelesen + BDS_UPDATE |
verwenden + BDS_CREATE BDS_DELETE BDS_MOVE |
| bds-limits | BDS_CONSUMPTION_INSPECT | . | . | . |
Beispiel 1 - Administratoren mit allen Berechtigungen für Cluster
Die folgende Policy-Anweisung gibt an, dass Mitglieder der Gruppe bds-admins alle Cluster im Compartment bds-learn prüfen, lesen, aktualisieren, erstellen, löschen und verschieben können.
allow bds-admins to manage bds-instances in compartment bds-devIn der obigen Anweisung gilt:
-
bds-adminsist eine Gruppe, die von einem Administrator erstellt wurde. -
managegibt die Vorgänge an, die Mitglieder der Gruppebds-adminsverwenden können.Manageist eines der Verben, das in "IAM-Verben zur Verwendung mit Big Data Service" beschrieben wird. Damit erhält ein Benutzer/eine Gruppe die Berechtigung, alle von den Verbeninspect,readunduseangegebenen Vorgänge sowie einige für das Verbmanagespezifische Vorgänge zu verwenden:- Das Verb
inspectumfasst den VorgangBDS_INSPECT. - Das Verb
readumfasst die VorgängeBDS_INSPECTundBDS_READ. - Das Verb
useumfasst die VorgängeBDS_INSPECT,BDS_READundBDS_UPDATE. - Das Verb
manageumfasst die VorgängeBDS_INSPECT,BDS_READ,BDS_UPDATE,BDS_CREATE,BDS_DELETEundBDS_MOVE.
- Das Verb
-
bds-devist ein Compartment, das von einem Administrator erstellt wurde.
Die folgende Policy-Anweisung gibt an, dass Mitglieder der Gruppe bds-admins die VCN-(Virtual Cloud Network-)Ressourcen im gesamten Mandanten verwalten können.
allow group bds-admins to manage virtual-network-family in tenancyBeispiel 2 - Benutzer
Die folgende Policy-Anweisung gibt an, dass Mitglieder der Gruppe bds-users alle Cluster im Compartment bds-learn prüfen und lesen können. (Das Verb read umfasst sowohl die Berechtigung inspect als auch die Berechtigung read.)
allow bds-users to read bds-instances in compartment bds-learnWeitere Informationen
Weitere Informationen zu IAM-Policys finden Sie in der Oracle Cloud Infrastructure-Dokumentation unter Überblick über Oracle Cloud Infrastructure Identity and Access Management. Weitere Informationen zum Schreiben von Policys finden Sie unter Policy-Syntax und Policy-Referenz.