Oracle Cloud Infrastructure-Dokumentation

Zugriff mit IAM-Policys verwalten

Richten Sie erweiterte Zugriffs-Policys mit IAM ein.

Die Verwaltung der Fusion Applications Environment Management-Umgebung verwendet Identity and Access Management (IAM) zur Authentifizierung und Autorisierung. IAM ist ein policybasierter Identity Service. Der Mandantenadministrator für Ihre Organisation muss Einrichtungsschritte in diesem Service ausführen, um Benutzer und Gruppen zu erstellen und die Policys zu definieren, die kontrollieren, welche Benutzer wie auf welche Ressourcen zugreifen können.

Insbesondere bei der Verwaltung von Fusion Applications Environment Management-Umgebungen kontrollieren diese IAM-Policys, wer Umgebungen und Umgebungsfamilien verwalten und die APIs des Service aufrufen kann. In diesem Abschnitt werden die Informationen unter Oracle Cloud-Benutzer mit bestimmten Funktionen verwalten erweitert, um Details zu Policy-Grundlagen zu erhalten.

Informationen dazu, wie Sie schnell bestimmte Tätigkeitsrollen einrichten müssen, finden Sie unter Oracle Cloud-Benutzer mit bestimmten Funktionen verwalten.

Ausführliche Informationen zur Funktionsweise von Policys im IAM-Service finden Sie unter Erste Schritte mit Policys.

Policy-Grundlagen

Policys werden mit Anweisungen erstellt, die Ressourcentypen, Verben (zur Beschreibung der Zugriffsebene für diese Ressourcentypen) und Speicherorte (der Mandant oder ein bestimmtes Compartment) angeben.

Ressourcentypen

Ressourcentypen sind die Ressourcen, auf die eine Policy Zugriff erteilt. Bei den Ressourcentypen kann es sich um eine individuelle Ressource (beispielsweise eine Umgebung) oder um eine Ressourcengruppe oder -familie handeln, die Zugriff auf mehrere zugehörige Ressourcen erteilt. In der folgenden Tabelle sind die Ressourcentypen für Fusion Applications Environment Management aufgeführt:

Ressourcentyp Beschreibung
fusion-environment Verwenden Sie diesen Ressourcentyp, um Zugriff auf Umgebungen zu erteilen.
fusion-environment-group Verwenden Sie diesen Ressourcentyp, um Zugriff auf Umgebungsfamilien zu erteilen.
fusion-scheduled-activity Verwenden Sie diesen Ressourcentyp, um Zugriff auf Wartungsaktivitäten zu erteilen.
fusion-work-request Verwenden Sie diesen Ressourcentyp, um Zugriff auf Arbeitsanforderungen für Umgebungen zu erteilen. Mögliche Aktionen sind "inspect" und "read".
fusion-family

Der Ressourcentyp fusion-family umfasst alle oben aufgeführten individuellen Ressourcentypen. Der aggregierte Ressourcentyp bietet eine einfachere Methode, um einem Benutzer alle Berechtigungen zu erteilen, die für die Arbeit mit allen Ressourcentypen erforderlich sind, aus denen die Fusion Applications Environment Management-Umgebungsverwaltung besteht. Beispiel: Eine Policy-Anweisung, die manage fusion-family verwendet, entspricht einer Policy mit manage-Anweisungen für jeden der individuellen fusion--Ressourcentypen.

Verben

Mit Verben in Policy-Definitionen können Sie die Berechtigungsstufen festlegen, die angegebene Benutzergruppen für die angegebenen Ressourcentypen erhalten. Beispiel: Sie verwenden das Verb read, um schreibgeschützten Zugriff zuzulassen. In der folgenden Tabelle sind die Verben und die üblichen Zugriffsberechtigungen aufgeführt.

Verb Beschreibung
inspect Deckt Vorgänge ab, die Instanzen einer Ressource auflisten. Dieses Verb ermöglicht den eingeschränktesten Zugriff.
read In Bezug auf die Benutzeroberfläche bedeutet dies im Allgemeinen, dass der Zugriff schreibgeschützt ist. In Bezug auf APIs gilt es im Allgemeinen für "get"-Vorgänge.
use In der Regel sind Aktualisierungsvorgänge für vorhandene Ressourcen zulässig. Das Erstellen oder Löschen ist jedoch nicht zulässig.
manage Erteilt dem Benutzer die Berechtigung, das gesamte Set der Vorgänge eines Ressourcentyps auszuführen, einschließlich Erstellen und Löschen.