Oracle Cloud Infrastructure-Dokumentation

Zugriff mit IAM-Policys verwalten

Richten Sie erweiterte Zugriffs-Policys mit IAM ein.

Das Fusion Applications-Umgebungsmanagement verwendet Identity and Access Management (IAM) zur Authentifizierung und Autorisierung. IAM ist ein policybasierter Identity Service. Der Mandantenadministrator für Ihre Organisation muss Einrichtungsschritte in diesem Service ausführen, um Benutzer und Gruppen zu erstellen und die Richtlinien zu definieren, die kontrollieren, welche Benutzer wie auf welche Ressourcen zugreifen können.

Insbesondere bei der Verwaltung von Fusion Applications-Umgebungen kontrollieren diese IAM-Policys, wer Umgebungen und Umgebungsfamilien verwalten kann und welche APIs der Service aufrufen kann. Dieser Abschnitt führt die Informationen unter Oracle Cloud-Benutzer mit bestimmten Funktionen verwalten weiter aus, und enthält Details zu Policy-Grundlagen.

Informationen zur schnellen Einrichtung bestimmter Tätigkeitsrollen finden sie unter Oracle Cloud-Benutzer mit spezifischen Funktionen verwalten.

Ausführliche Informationen zu den Funktionen von Policys in IAM finden Sie unter Erste Schritte mit Policys.

Policy-Grundlagen

Policys werden mit Anweisungen erstellt, die Ressourcentypen, Verben (zur Beschreibung der Zugriffsebene für diese Ressourcentypen) und Speicherorte (der Mandant oder ein bestimmtes Compartment) angeben.

Ressourcentypen

Ressourcentypen sind die Ressourcen, auf die eine Policy Zugriff erteilt. Bei den Ressourcentypen kann es sich um eine individuelle Ressource (beispielsweise eine Umgebung) oder um eine Ressourcengruppe oder -familie handeln, die Zugriff auf mehrere zugehörige Ressourcen erteilt. In der folgenden Tabelle sind die Ressourcentypen für Fusion Applications Environment Management aufgeführt:

Ressourcentyp Beschreibung
fusion-environment Verwenden Sie diesen Ressourcentyp, um Zugriff auf Umgebungen zu erteilen.
fusion-environment-group Verwenden Sie diesen Ressourcentyp, um Zugriff auf Umgebungsfamilien zu erteilen.
fusion-scheduled-activity Verwenden Sie diesen Ressourcentyp, um Zugriff auf Wartungsaktivitäten zu erteilen.
fusion-work-request Verwenden Sie diesen Ressourcentyp, um Zugriff auf Arbeitsanforderungen für Umgebungen zu erteilen. Mögliche Aktionen sind "inspect" und "read".
fusion-family

Der Ressourcentyp fusion-family umfasst alle oben aufgeführten individuellen Ressourcentypen. Der aggregierte Ressourcentyp bietet eine einfachere Methode, um einem Benutzer alle Berechtigungen zu erteilen, die für die Arbeit mit allen Ressourcentypen erforderlich sind, die Fusion Applications Environment Management umfassen. Beispiel: Eine Policy-Anweisung, die manage fusion-family verwendet, entspricht einer Policy mit manage-Anweisungen für jeden der individuellen fusion--Ressourcentypen.

Verben

Mit Verben in Policy-Definitionen können Sie die Berechtigungsebenen festlegen, die bestimmte Benutzergruppen für bestimmte Ressourcentypen aufweisen. Beispiel: Sie verwenden das Verb read, um schreibgeschützten Zugriff zuzulassen. In der folgenden Tabelle sind die Verben und die üblichen Zugriffsberechtigungen aufgeführt.

Verb Beschreibung
inspect Deckt Vorgänge ab, die Instanzen einer Ressource auflisten. Dieses Verb ermöglicht den eingeschränktesten Zugriff.
read In Bezug auf die Benutzeroberfläche bedeutet dies den schreibgeschützten Zugriff. In Bezug auf API gilt es für GET-Vorgänge.
use In der Regel sind Aktualisierungsvorgänge für vorhandene Ressourcen zulässig, das Erstellen oder Löschen ist jedoch nicht zulässig.
manage Erteilt dem Benutzer die Berechtigung, das gesamte Set der Vorgänge eines Ressourcentyps auszuführen, einschließlich Erstellen und Löschen.