File Storage with Lustre-Policys

Mit dem Oracle Cloud Infrastructure Identity and Access Management-(IAM-)Service erstellen Sie Policys für File Storage with Lustre-Ressourcen.

In diesem Thema werden Details zum Schreiben von Policys beschrieben, die den Zugriff auf den File Storage with Lustre-Service kontrollieren. Weitere Informationen finden Sie unter Überblick über IAM-Policys.

Überblick über die Policy-Syntax

Die allgemeine Syntax einer Policy-Anweisung lautet:

allow <subject> to <verb> <resource-type> in <location> where <condition>

Beispiel: Sie können Folgendes angeben:

Eine Gruppe oder dynamische Gruppe nach Name oder OCID als <subject>. Sie können auch any-user verwenden, um alle Benutzer im Mandanten abzudecken.
inspect, read, use und manage als <verb>, um <subject> Zugriff auf Berechtigungen zu erteilen.

Die Zugriffsebene erhöht sich im Allgemeinen in der Reihenfolge der Verben inspect > read > use > manage, und die erteilten Berechtigungen sind kumulativ. Beispiel: use umfasst read sowie die Möglichkeit zum Aktualisieren.
Eine Ressourcenfamilie wie virtual-network-family als resource-type. Sie können auch eine einzelne Ressource in einer Familie angeben, wie vcns und subnets.
Ein Compartment nach Name oder OCID als <location>. Sie können auch tenancy verwenden, um den gesamten Mandanten abzudecken.

Weitere Informationen zum Erstellen von Policys finden Sie unter Erste Schritte mit Policys und in der Policy-Referenz.

Ressourcentypen

Um Benutzern Zugriff auf File Storage with Lustre-Ressourcen zu gewähren, erstellen Sie IAM-Policys mit File Storage with Lustre-Ressourcentypen.

Aggregierter Ressourcentyp

lustre-file-family

Eine Policy, die <verb> lustre-file-family verwendet, entspricht dem Schreiben einer solchen Policy mit einer separaten <verb> <individual resource-type>-Anweisung für die einzelnen individuellen Ressourcentypen.

Details zu den von jedem Verb abgedeckten API-Vorgängen für jeden Ressourcentyp in lustre-file-family finden sie in den Tabellen unter Details für Kombinationen von Verben + Ressourcentyp.

Individuelle Ressourcentypen

Für den Zugriff auf File Storage with Lustre-Ressourcen verwenden Sie die folgenden Ressourcentypen:

lustre-file-system
lfs-work-request

Weitere Informationen finden Sie unter Policy-Beispiele.

Unterstützte Variablen

Der File Storage with Lustre-Service unterstützt alle allgemeinen Variablen sowie die hier aufgeführten Variablen.

Weitere Informationen zu allgemeinen Variablen, die von OCI-Services unterstützt werden, finden Sie unter Allgemeine Variablen für alle Anforderungen.


Variable	Variablentyp	Quelle
`target.lustre-file-system.id`	Entity (OCID)	Anforderung

Details zu Kombinationen aus Verben und Ressourcentypen

Zum Erstellen einer Policy können verschiedene Oracle Cloud Infrastructure-Verben und -Ressourcentypen verwendet werden.

Die folgenden Tabellen zeigen die Berechtigungen und API-Vorgänge, die von jedem Verb für File Storage with Lustre abgedeckt werden. Die Zugriffsebene ist kumulativ von inspect zu read zu use zu manage. Ein Pluszeichen (+) in einer Tabellenzelle gibt einen inkrementellen Zugriff im Vergleich zur Zelle direkt davor an, während "Keine zusätzlichen" keinen inkrementellen Zugriff angibt.

lustre-file-system


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	LUSTRE_FILE_SYSTEM_INSPECT	`ListLustreFileSystems`	keine
lesen	INSPECT + LUSTRE_FILE_SYSTEM_READ	INSPECT + `GetLustreFileSystem`	keine
verwenden	READ + LUSTRE_FILE_SYSTEM_UPDATE	READ + `UpdateLustreFileSystem`	keine
verwalten	USE + LUSTRE_FILE_SYSTEM_CREATE LUSTRE_FILE_SYSTEM_DELETE LUSTRE_FILE_SYSTEM_MOVE	USE + `CreateLustreFileSystem` `DeleteLustreFileSystem` `ChangeLustreFileSystemCompartment`	keine

lfs-work-Anforderung


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	LFS_WORK_REQUEST_INSPECT	`ListWorkRequests` `ListWorkRequestErrors` `ListWorkRequestLogs`	keine
lesen	INSPECT + LFS_WORK_REQUEST_READ	INSPECT + `GetWorkRequest`	keine
verwenden	READ + keine	READ + keine	keine
verwalten	USE + LFS_WORK_REQUEST_DELETE	USE + `CancelWorkRequest`	keine

Für jeden API-Vorgang erforderliche Berechtigungen

In dieser Tabelle werden die API-Vorgänge für OCI Database with PostgreSQL in einer logischen Reihenfolge nach Ressourcentyp gruppiert aufgeführt.

Die Ressourcentypen sind lustre-file-system und lfs-work-request.

Informationen zu Berechtigungen finden Sie unter Berechtigungen.

Erforderliche Berechtigungen
API-Vorgang	Für den Vorgang erforderliche Berechtigungen
`ListLustreFileSystems`	LUSTRE_FILE_SYSTEM_INSPECT
`GetLustreFileSystem`	LUSTRE_FILE_SYSTEM_READ
`CreateLustreFileSystem`	LUSTRE_FILE_SYSTEM_CREATE
`UpdateLustreFileSystem`	LUSTRE_FILE_SYSTEM_UPDATE
`DeleteLustreFileSystem`	LUSTRE_FILE_SYSTEM_DELETE
`ChangeLustreFileSystemCompartment`	LUSTRE_FILE_SYSTEM_MOVE
`ListWorkRequests`	LFS_WORK_REQUEST_INSPECT
`GetWorkRequest`	LFS_WORK_REQUEST_READ
`CancelWorkRequest`	LFS_WORK_REQUEST_DELETE
`ListWorkRequestErrors`	LFS_WORK_REQUEST_INSPECT
`ListWorkRequestLogs`	LFS_WORK_REQUEST_INSPECT

Policy-Beispiele

In den folgenden Beispielen können Sie neben den erforderlichen Policys für Dateisysteme und den erforderlichen Policys für die Verschlüsselung von Dateisystemen mit Ihrem eigenen Schlüssel allgemeine Policys erstellen.

Zulassen, dass eine Gruppe Dateisysteme verwendet, aber nicht löscht

allow group lfsadminusers to use lustre-file-family in compartment <file_system_compartment>

Oracle Cloud Infrastructure-Dokumentation