IAM-Policys für Prozessautomatisierung

Mit Oracle Cloud Infrastructure Identity and Access Management (IAM) können Sie den Zugriff auf Ressourcen in Ihrem Mandanten kontrollieren. Beispiel: Sie können eine Policy erstellen, mit der Benutzer Oracle Cloud Infrastructure Process Automation-Instanzen erstellen und verwalten können.

Sie erstellen IAM-Policys mit der Oracle Cloud Infrastructure-Konsole. Siehe Policys verwalten in der Oracle Cloud Infrastructure-Dokumentation.

Ressourcenart

Der für Process Automation verfügbare Ressourcentyp lautet process-automation-instance.

Unterstützte Variablen

Der Ressourcentyp process-automation-instance kann die folgenden Variablen verwenden.

Unterstützte Variablen	Variable	Variablenart	Beschreibung
Vom Service für jede Anforderung angegebene erforderliche Variablen	`target.compartment.id`	`ENTITY`	Die OCID der primären Ressource für die Anforderung.
	`request.operation`	`STRING`	Die Vorgangs-ID (z.B. `GetUser`) für die Anforderung.
	`target.resource.kind`	`STRING`	Der Name der Ressourcenart der primären Ressource für die Anforderung.
Vom SDK für jede Anforderung bereitgestellte automatische Variablen	`request.user.id`	`ENTITY`	Für Anforderungen, die vom Benutzer initiiert wurden. Die OCID des aufrufenden Benutzers.
	`request.groups.id`	`LIST(ENTITY)`	Für Anforderungen, die vom Benutzer initiiert wurden. Die OCIDs der Gruppen von `request.user.id`.
	`target.compartment.name`	`STRING`	Der Name des Compartments, das in `target.compartment.id`. angegeben wird
	`target.tenant.id`	`ENTITY`	Die OCID der Zielmandanten-ID.
Implizite Berechnung dynamischer Variablen durch IAM-Autorisierung	`request.principal.group.tag.tagNS.tagKey`	`STRING`	Der Wert jedes Tags in einer Gruppe, bei der der der Principal Mitglied ist.
	`request.principal.compartment.tag.tagNS.tagKey`	`STRING`	Der Wert jedes Tags im Compartment, das den Principal enthält.
	`target.resource.tag.tagNS.tagKey`	`STRING`	Der Wert jedes Tags in der Zielressource. (Berechnet basierend auf `tagSlug`, die vom Service für jede Anforderung bereitgestellt wird.)
	`target.resource.compartment.tag.tagNS.tagKey`	`STRING`	Der Wert jedes Tags im Compartment, das die Zielressource enthält. (Berechnet basierend auf `tagSlug`, die vom Service für jede Anforderung bereitgestellt wird.)

Details zu Kombinationen aus Verb und Ressourcentyp

In dieser Tabelle werden die Berechtigungen und API-Vorgänge angezeigt, die von jedem Verb abgedeckt werden. Die Zugriffsebene ist kumulativ: INSPECT, READ, USE und MANAGE.

Verb (Begriffsklärung)	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
`INSPECT`	`PROCESS_AUTOMATION_INSTANCE_INSPECT`	`ListProcessInstances` `ListWorkRequests`	Keine
`READ`	Erbt von `INSPECT`: `PROCESS_AUTOMATION_INSTANCE_INSPECT` `PROCESS_AUTOMATION_INSTANCE_READ`	`GetProcessInstance` `GetWorkRequest`	Keine
`USE`	Erbt von `READ`: `PROCESS_AUTOMATION_INSTANCE_INSPECT` `PROCESS_AUTOMATION_INSTANCE_READ` `PROCESS_AUTOMATION_INSTANCE_UPDATE`	`UpdateProcessInstances`	Keine
`MANAGE`	Erbt von `USE`: `PROCESS_AUTOMATION_INSTANCE_INSPECT` `PROCESS_AUTOMATION_INSTANCE_READ` `PROCESS_AUTOMATION_INSTANCE_UPDATE` `PROCESS_AUTOMATION_INSTANCE_CREATE` `PROCESS_AUTOMATION_INSTANCE_DELETE` `PROCESS_AUTOMATION_INSTANCE_MOVE`	`CreateProcessInstance` `DeleteProcessInstance` `ChangeProcessCompartment`	Keine

Für jeden API-Vorgang erforderliche Berechtigungen

In dieser Tabelle werden die für Process Automation verfügbaren API-Vorgänge und die für die Verwendung der einzelnen Vorgänge erforderlichen Berechtigungen aufgeführt.

API-Vorgang	Für den Vorgang erforderliche Berechtigungen
`ListProcessInstances`	`PROCESS_AUTOMATION_INSTANCE_INSPECT`
`GetProcessInstance`	`PROCESS_AUTOMATION_INSTANCE_READ`
`CreateProcessInstance`	`PROCESS_AUTOMATION_INSTANCE_CREATE`
`DeleteProcessInstance`	`PROCESS_AUTOMATION_INSTANCE_DELETE`
`UpdateProcessInstances`	`PROCESS_AUTOMATION_INSTANCE_UPDATE`
`ListWorkRequests`	`PROCESS_AUTOMATION_INSTANCE_INSPECT`
`GetWorkRequest`	`PROCESS_AUTOMATION_INSTANCE_READ`
`ChangeProcessCompartment`	`PROCESS_AUTOMATION_INSTANCE_MOVE`