Secure Desktops-Policys
Jeder Service in Oracle Cloud Infrastructure kann zur Authentifizierung und Autorisierung für alle Schnittstellen (Konsole, SDK oder CLI und REST-API) und in Identity und Access Management (IAM) integriert werden.
Beispiel: Secure Desktops-Policys und -Informationen zu den erforderlichen dynamischen Gruppen finden Sie unter Policys für den Service erstellen und Policys für Benutzerautorisierung erstellen.
Der Mandantenadministrator muss Policys entweder auf Mandantenebene oder auf Compartment-Ebene erstellen, um Secure Desktops zuzulassen und die erforderlichen Ressourcen zu verwenden. Außerdem müssen sie Gruppen, Compartments und Policys einrichten, die den Benutzerzugriff auf den Service steuern. Siehe Policys für den Service erstellen und Policys für Benutzerautorisierungen erstellen.
Eine Einführung in Policys finden Sie unter Erste Schritte mit Policys.
Das Erstellen einer Policy erfordert die entsprechenden Berechtigungen. Arbeiten Sie mit dem Mandantenadministrator zusammen, um entweder die Berechtigungen zu erhalten oder die Policys für Sie zu erstellen.
Erforderliche IAM-Policys
Im Root Compartment
Allow dynamic-group <dynamic-group> to {DOMAIN_READ} in tenancy
Allow dynamic-group <dynamic-group> to inspect users in tenancy
Allow dynamic-group <dynamic-group> to inspect compartments in tenancy
Allow dynamic-group <dynamic-group> to use tag-namespaces in tenancyAllow dynamic-group <dynamic-group> to use virtual-network-family in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to manage virtual-network-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to read instance-images in compartment <image-compartment>
Allow dynamic-group <dynamic-group> to manage instance-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage volume-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage dedicated-vm-hosts in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage orm-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to {VNIC_CREATE, VNIC_DELETE} in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage instance-configurations in compartment <desktop-compartment>- Wenn <desktops-network-compartment> kein untergeordnetes Element der Compartments über den Desktoppool-Compartments ist, muss die Policy im Root Compartment angegeben werden.
- Wenn Sie private Desktoppools erstellen möchten, sind möglicherweise zusätzliche Richtlinien erforderlich. Weitere Informationen finden Sie unter Privaten Desktopzugriff aktivieren.
Für den Desktopadministrator
Allow group <desktop-administrators> to manage desktop-pool-family in compartment <desktop-compartment>
Allow group <desktop-administrators> to read all-resources in compartment <desktop-compartment>
Allow group <desktop-administrators> to use virtual-network-family in compartment <desktops-network-compartment>
Allow group <desktop-administrators> to use instance-images in compartment <images-compartment>Für den Desktopbenutzer
Alle Desktoppools in einem Compartment:
Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>Spezifische Desktoppools in einem Compartment:
Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>
where all {target.desktoppool.name = '<pool_name>', target.desktoppool.id = '<pool_ocid>'}Policy-Details für sichere Desktops
In einer Policy-Anweisung verwenden Sie Verben, Ressourcentypen und Variablen, um Zugriff auf Services und Ressourcen zu erteilen. Außerdem können Sie Berechtigungen oder API-Vorgänge verwenden, um den Geltungsbereich des von einem bestimmten Verb erteilten Zugriffs zu reduzieren.
Informationen zu Berechtigungen finden Sie unter Berechtigungen.
Aggregierter Ressourcentyp
desktop-pool-family
Individuelle Ressourcentypen
desktop-pool
desktop
Unterstützte Variablen
|
Vorgänge für diesen Ressourcentyp... |
Diese Variablen können verwendet werden... |
Variablentyp |
Kommentare |
|---|---|---|---|
desktop-pool |
target.desktopPool.id |
Entity (OCID) | |
desktop |
target.desktop.id |
Entity (OCID) |
Details zu Kombinationen aus Verben und Ressourcentypen
Die folgenden Tabellen zeigen die Berechtigungen und API-Vorgänge, die von jedem Verb abgedeckt werden. Die Berechtigungen nehmen in dieser Reihenfolge zu: inspect > read > use > manage. Ein Pluszeichen (+) in einer Tabellenzelle gibt den inkrementellen Zugriff im Vergleich zur Zelle direkt darüber an, während "Keine zusätzlichen" keinen inkrementellen Zugriff angibt.
| Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
|---|---|---|---|
|
inspect |
|
|
keine |
|
lesen |
INSPECT +
|
|
keine |
|
verwenden |
READ + |
|
keine |
|
verwalten |
USE +
|
|
keine |
| Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
|---|---|---|---|
|
inspect |
|
|
keine |
|
lesen |
INSPECT +
|
|
keine |
|
verwenden |
READ +
|
|
keine |
|
verwalten |
USE +
|
|
keine |
Für jeden API-Vorgang erforderliche Berechtigungen
| API-Vorgang | Für den Vorgang erforderliche Berechtigungen |
|---|---|
ListDesktopPools |
DESKTOP_POOL_INSPECT |
CreateDesktopPool |
DESKTOP_POOL_CREATE |
GetDesktopPool |
DESKTOP_POOL_READ |
DeleteDesktopPool |
DESKTOP_POOL_DELETE |
UpdateDesktopPool |
DESKTOP_POOL_UPDATE |
ChangeDesktopPoolCompartment |
DESKTOP_POOL_MOVE |
StartDesktopPool |
DESKTOP_POOL_UPDATE |
StopDesktopPool |
DESKTOP_POOL_UPDATE |
ListDesktopPoolVolumes |
DESKTOP_POOL_READ |
ListDesktopPoolDesktops |
DESKTOP_POOL_READ |
ListDesktopPoolErrors |
DESKTOP_POOL_READ |
ListDesktops |
DESKTOP_INSPECT |
GetDesktop |
DESKTOP_READ |
DeleteDesktop |
DESKTOP_DELETE |
UpdateDesktop |
DESKTOP_UPDATE |
StartDesktop |
DESKTOP_UPDATE |
StopDesktop |
DESKTOP_UPDATE |
ListDesktopErrors |
DESKTOP_READ |