Oracle Cloud Infrastructure-Dokumentation

OCI-Cache-IAM-Policys

Erfahren Sie mehr über die erforderlichen IAM-Policys und Berechtigungsdetails für OCI Cache.

Benutzerberechtigungen

Um ein Cluster zu erstellen oder zu verwalten, benötigen Benutzer Berechtigungen für den Zugriff zum Erstellen und Verwalten der erforderlichen Networkingressourcen sowie Berechtigungen zum Erstellen und Verwalten von OCI Cache-Ressourcen.

Das folgende Policy-Beispiel erteilt der Gruppe ClusterAdmins diese Berechtigungen:

Allow group ClusterAdmins to manage redis-family in compartment <USER_COMPARTMENT>
Allow group ClusterAdmins to manage virtual-network-family in compartment <USER_COMPARTMENT>

Sie können diese Berechtigungen mit mehr Granularität konfigurieren. Informationen hierzu finden Sie unter Policy-Beispiele.

Ressourcentypen und Berechtigungen

Liste der OCI Cache-Ressourcentypen und der zugehörigen Berechtigungen.

Um allen OCI-Cache-Ressourcen Berechtigungen zuzuweisen, verwenden Sie den Aggregattyp redis-family. Weitere Informationen finden Sie unter Berechtigungen.

In der folgenden Tabelle werden alle Ressourcen in der redis-family aufgeführt:

Familienname Einzelner Ressourcentyp
redis-family
  • redis-clusters
  • oci-cache-users
  • oci-cache-configsets
  • redis-work-requests

Eine Policy, die <verb> redis-family verwendet, entspricht dem Schreiben einer Policy mit einer separaten <verb> <resource-type>-Anweisung für jeden individuellen Ressourcentyp.

Ressourcentyp Berechtigungen
redis-cluster
  • REDIS_CLUSTER_INSPECT
  • REDIS_CLUSTER_READ
  • REDIS_CLUSTER_USE
  • REDIS_CLUSTER_MANAGE
oci-cache-users
  • OCI_CACHE_USER_INSPECT
  • OCI_CACHE_USER_READ
  • OCI_CACHE_USER_USE
  • OCI_CACHE_USER_MANAGE
oci-cache-configsets
  • OCI_CACHE_CONFIGSET_INSPECT
  • OCI_CACHE_CONFIGSET_READ
  • OCI_CACHE_CONFIGSET_USE
  • OCI_CACHE_CONFIGSET_MANAGE
redis-work-requests
  • REDIS_WORK_REQUEST_INSPECT
  • REDIS_WORK_REQUEST_READ
  • REDIS_WORK_REQUEST_MANAGE

Details zu Kombinationen aus Verb + Ressourcentyp

Identifizieren Sie die Berechtigungen und API-Vorgänge, welche von jedem Verb für OCI Cache-Ressourcen abgedeckt werden.

Die Zugriffsebene ist kumulativ von inspect zu read zu use zu manage. Ein Pluszeichen (+) in einer Tabellenzelle gibt einen inkrementellen Zugriff im Vergleich zur vorherigen Zelle an.

Informationen zum Erteilen von Zugriffsberechtigungen finden Sie unter Berechtigungen.

redis-cluster
Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect REDIS_CLUSTER_INSPECT ListRedisClusters keine
read

inspect+

REDIS_CLUSTER_READ

inspect+

GetRedisCluster

 keine
use

read+

REDIS_CLUSTER_USE

read+

ChangeRedisClusterCompartment

ListAttachedOciCacheUsers

 AttachOciCacheUsers (benötigt auch OCI_CACHE_USER_USE)

DetachOciCacheUsers (benötigt auch OCI_CACHE_USER_USE)

Generate Token for OCI Cache User (benötigt auch OCI_CACHE_USER_USE)

UpdateRedisCluster (benötigt auch OCI_CACHE_CONFIGSET_USE)
manage

use+

REDIS_CLUSTER_MANAGE

use+

DeleteRedisCluster

 CreateRedisCluster (benötigt auch OCI_CACHE_CONFIGSET_USE)
oci-cache-users
Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect OCI_CACHE_USER_INSPECT ListOciCacheUsers keine
read

inspect+

OCI_CACHE_USER_READ

inspect+

GetOciCacheUser

 keine
use

read+

OCI_CACHE_USER_USE

read+

ChangeOciCacheUserCompartment

UpdateOciCacheUser

 AttachOciCacheUsers (benötigt auch REDIS_CLUSTER_USE)

DetachOciCacheUsers (benötigt auch REDIS_CLUSTER_USE)

Generate Token for OCI Cache User (benötigt auch REDIS_CLUSTER_USE)
manage

use+

OCI_CACHE_USER_MANAGE

 use+

CreateOciCacheUser

DeleteOciCacheUser

 keine
oci-cache-configsets
Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect OCI_CACHE_CONFIGSET_INSPECT ListOciCacheConfigSets

ListOciCacheDefaultConfigSets

 keine
read

inspect+

OCI_CACHE_CONFIGSET_READ

inspect+

GetOciCacheConfigSet

GetOciCacheDefaultConfigSet

 keine
use

read+

OCI_CACHE_CONFIGSET_USE

 read+

ChangeOciCacheConfigSetCompartment

ListAssociatedOciCacheClusters

UpdateOciCacheConfigSet

 CreateRedisCluster (benötigt auch REDIS_CLUSTER_MANAGE)

UpdateRedisCluster (benötigt auch REDIS_CLUSTER_USE)
manage

use+

OCI_CACHE_CONFIGSET_MANAGE

 use+

CreateOciCacheConfigSet

DeleteOciCacheConfigSet

 keine
redis-work-requests
Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect REDIS_WORK_REQUEST_INSPECT ListWorkRequests keine
read

inspect+

REDIS_WORK_REQUEST_READ

 inspect+

ListWorkRequestErrors

ListWorkRequestLogs

GetWorkRequest

 keine
manage

use+

REDIS_WORK_REQUEST_MANAGE

 use+

DeleteWorkRequest

 keine

Für jeden API-Vorgang erforderliche Berechtigungen

In dieser Tabelle werden die API-Vorgänge für OCI Cache in einer logischen Reihenfolge nach Ressourcentyp gruppiert aufgeführt.

API-Vorgänge Für den Vorgang erforderliche Berechtigungen
ListRedisClusters REDIS_CLUSTER_INSPECT
GetRedisCluster REDIS_CLUSTER_READ
CreateRedisCluster REDIS_CLUSTER_MANAGE, OCI_CACHE_CONFIGSET_USE
ListAttachedOciCacheUsers REDIS_CLUSTER_USE
UpdateRedisCluster REDIS_CLUSTER_USE, OCI_CACHE_CONFIGSET_USE
ChangeRedisClusterCompartment REDIS_CLUSTER_USE
DeleteRedisCluster REDIS_CLUSTER_MANAGE
ListOciCacheUsers OCI_CACHE_USER_INSPECT
GetOciCacheUser OCI_CACHE_USER_READ
CreateOciCacheUser OCI_CACHE_USER_MANAGE
UpdateOciCacheUser OCI_CACHE_USER_USE
ChangeOciCacheUserCompartment OCI_CACHE_USER_USE
DeleteOciCacheUser OCI_CACHE_USER_MANAGE
AttachOciCacheUsers REDIS_CLUSTER_USE, OCI_CACHE_USER_USE
DetachOciCacheUsers REDIS_CLUSTER_USE, OCI_CACHE_USER_USE
Generate Token for OCI Cache User REDIS_CLUSTER_USE, OCI_CACHE_USER_USE
ListOciCacheConfigSets OCI_CACHE_CONFIGSET_INSPECT
GetOciCacheConfigSet OCI_CACHE_CONFIGSET_READ
CreateOciCacheConfigSet OCI_CACHE_CONFIGSET_MANAGE
UpdateOciCacheConfigSet OCI_CACHE_CONFIGSET_USE
ChangeOciCacheConfigSetCompartment OCI_CACHE_CONFIGSET_USE
DeleteOciCacheConfigSet OCI_CACHE_CONFIGSET_MANAGE
ListAssociatedOciCacheClusters OCI_CACHE_CONFIGSET_USE
ListOciCacheDefaultConfigSets OCI_CACHE_CONFIGSET_INSPECT
GetOciCacheDefaultConfigSet OCI_CACHE_CONFIGSET_READ
ListWorkRequests REDIS_WORK_REQUEST_INSPECT
ListWorkRequestErrors REDIS_WORK_REQUEST_READ
ListWorkRequestLogs REDIS_WORK_REQUEST_READ
GetWorkRequest REDIS_WORK_REQUEST_READ
DeleteWorkRequest REDIS_WORK_REQUEST_MANAGE

Policy-Beispiele

Mit den folgenden Policy-Anweisungen kann die Gruppe ClusterAdmins OCI Cache-Ressourcen verwenden und verwalten.
  • Ermöglicht nur den schreibgeschützten Zugriff auf VCNs, Compartments und Subnetze. 
    • Allow group ClusterAdmins to use compartments in tenancy
    • Allow group ClusterAdmins to use vcns in compartment <USER_NETWORK_COMPARTMENT_NAME>
    • Allow group ClusterAdmins to use subnet in compartment <USER_NETWORK_COMPARTMENT_NAME>
    • Allow group ClusterAdmins to use network-security-groups in compartment <USER_NETWORK_COMPARTMENT_NAME>
    • Allow group ClusterAdmins to use vcns in compartment <USER_ENGINEERING_COMPARTMENT_NAME>
    Hinweis

    Die VCNs befinden sich im Compartment Netzwerk, während sich Cluster im Compartment Engineering befinden.
  • Ermöglicht Nur-Nutzungszugriff auf VNICs im Compartment Engineering. Beispiel:
    Allow group ClusterAdmins to use VNICs in compartment <USER_ENGINEERING_COMPARTMENT_NAME>
  • Ermöglicht die Verwaltungsberechtigung zum Erstellen oder Aktualisieren privater Endpunkte. Beispiel:
    • Allow group ClusterAdmins to manage redis-family in compartment <USER_ENGINEERING_COMPARTMENT_NAME>
    • Allow group ClusterAdmins to manage redis-work-requests in compartment <USER_ENGINEERING_COMPARTMENT_NAME>
    • Allow group ClusterAdmins to manage vcns in compartment <USER_NETWORK_COMPARTMENT_NAME> where ALL{ ANY
{ request.operation = 'CreatePrivateEndpoint', request.operation = 'UpdatePrivateEndpoint', request.operation ='DeletePrivateEndpoint', request.operation = 'EnableReverseConnection', request.operation = 'ModifyReverseConnection', request.operation = 'DisableReverseConnection' }
, ANY {request.operation = 'CreateRedisCluster', request.operation = 'DeleteRedisCluster' , request.operation = 'UpdateRedisCluster' } }
  • (Optional) Lässt Traffic auf Redis-Ports zu. Beispiel:
    Allow group ClusterAdmins to manage security-lists in compartment <USER_NETWORK_COMPARTMENT_NAME> where ANY
{ request.operation = 'CreateRedisCluster', request.operation = 'DeleteRedisCluster' , request.operation = 'UpdateRedisCluster' }
    Hinweis

    Wenn die Policy nicht angegeben ist, müssen Sie Sicherheitsregeln hinzufügen und TCP-Traffic für die Ports zulassen, 6379.
Mit der folgenden Policy-Anweisung kann die Gruppe ClusterUsers Cluster verwenden, aber anderen Zugriff einschränken:
Allow group ClusterUsers to use redis-clusters in compartment <USER_COMPARTMENT>
Mit der folgenden Policy-Anweisung kann die Gruppe CacheUsers OCI Cache-Benutzer verwenden:
Allow group CacheUsers to use oci-cache-users in compartment <USER_COMPARTMENT>
Mit den folgenden Policy-Anweisungen können Sie private Endpunkte verwalten und trennen:
Allow group ClusterAdmins to manage vcns in compartment <USER_NETWORK_COMPARTMENT_NAME> where ALL{ ANY
{ request.operation = 'CreatePrivateEndpoint', request.operation = 'UpdatePrivateEndpoint', request.operation ='DeletePrivateEndpoint', request.operation = 'EnableReverseConnection', request.operation = 'ModifyReverseConnection', request.operation = 'DisableReverseConnection' }
, ANY {request.operation = 'CreateRedisCluster', request.operation = 'DeleteRedisCluster' , request.operation = 'UpdateRedisCluster', request.operation = 'AttachOciCacheUsers', request.operation = 'DetachOciCacheUsers' } }
Mit der folgenden Policy-Anweisung kann Traffic an Redis-Ports angehängt und getrennt werden:
Allow group ClusterAdmins to manage security-lists in compartment <USER_NETWORK_COMPARTMENT_NAME> where ANY
{ request.operation = 'CreateRedisCluster', request.operation = 'DeleteRedisCluster' , request.operation = 'UpdateRedisCluster',  request.operation = 'AttachOciCacheUsers', request.operation = 'DetachOciCacheUsers'}
Mit der folgenden Policy-Anweisung kann die Gruppe ClusterConfig OCI-Cachekonfigurationen verwenden:
Allow group ClusterConfig to use oci-cache-configsets in compartment <USER_COMPARTMENT>

Wenn Sie mit Policys nicht vertraut sind, finden Sie weitere Informationen unter Erste Schritte mit Policys und Allgemeine Policys.