Secure Desops-Policys
Jeder Service in Oracle Cloud Infrastructure kann zur Authentifizierung und Autorisierung für alle Schnittstellen (Konsole, SDK oder CLI und REST-API) in Identity and Access Management (IAM) integriert werden.
Beispiel: Secure Desktops-Policys und Informationen zu den erforderlichen dynamischen Gruppen finden Sie unter Policys für den Service erstellen und Policys für Benutzerautorisierung erstellen.
Der Mandantenadministrator muss Policys auf Mandanten- oder Compartment-Ebene erstellen, um Secure Desktops zuzulassen und die erforderlichen Ressourcen zu verwenden. Außerdem müssen sie Gruppen, Compartments und Policys einrichten, die den Benutzerzugriff auf den Service kontrollieren. Siehe Policys für den Service erstellen und Policys für Benutzerautorisierung erstellen.
Eine Einführung in Policys finden Sie unter Erste Schritte mit Policys.
Zum Erstellen einer Policy sind entsprechende Berechtigungen erforderlich. Wenden Sie sich an den Mandantenadministrator, um entweder die Berechtigungen zu erhalten oder die Policys erstellen zu lassen.
Erforderliche IAM Policys
Im Root Compartment
Allow dynamic-group <dynamic-group> to {DOMAIN_INSPECT, DOMAIN_READ} in tenancy
Allow dynamic-group <dynamic-group> to inspect users in tenancy
Allow dynamic-group <dynamic-group> to inspect compartments in tenancy
Allow dynamic-group <dynamic-group> to use tag-namespaces in tenancyAllow dynamic-group <dynamic-group> to use virtual-network-family in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to manage virtual-network-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to read instance-images in compartment <image-compartment>
Allow dynamic-group <dynamic-group> to manage instance-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage volume-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage dedicated-vm-hosts in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage orm-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to {VNIC_CREATE, VNIC_DELETE} in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage instance-configurations in compartment <desktop-compartment>- Wenn <desktops-network-compartment> kein untergeordnetes Element der Compartments über den Desktoppool-Compartments ist, muss die Policy im Root Compartment angegeben werden.
- Wenn Sie private Desktoppools erstellen möchten, sind möglicherweise zusätzliche Richtlinien erforderlich. Weitere Informationen finden Sie unter Privaten Desktopzugriff aktivieren.
Für den Desktopadministrator
Allow group <desktop-administrators> to manage desktop-pool-family in compartment <desktop-compartment>
Allow group <desktop-administrators> to read all-resources in compartment <desktop-compartment>
Allow group <desktop-administrators> to use virtual-network-family in compartment <desktops-network-compartment>
Allow group <desktop-administrators> to use instance-images in compartment <images-compartment>Für den Desktopbenutzer
Alle Desktoppools innerhalb eines Compartments:
Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>Bestimmte Desktoppools innerhalb eines Compartments:
Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>
where all {target.desktoppool.name = '<pool_name>', target.desktoppool.id = '<pool_ocid>'}Policy-Details für sichere Desktops
In einer Policy-Anweisung verwenden Sie Verben, Ressourcentypen und Variablen, um Zugriff auf Services und Ressourcen zu erteilen. Sie können auch Berechtigungen oder API-Vorgänge verwenden, um den Geltungsbereich des Zugriffs einzuschränken, der von einem bestimmten Verb erteilt wird.
Informationen zu Berechtigungen finden Sie unter Berechtigungen.
Aggregierter Ressourcentyp
desktop-pool-family
Individuelle Ressourcentypen
desktop-pool
desktop
Unterstützte Variablen
|
Vorgänge für diesen Ressourcentyp... |
können diese Variablen verwenden... |
Variablentyp |
Anmerkungen |
|---|---|---|---|
desktop-pool |
target.desktopPool.id |
Entity (OCID) | |
desktop |
target.desktop.id |
Entity (OCID) |
Details zu Kombinationen aus Verben und Ressourcentypen
In den folgenden Tabellen sind die Berechtigungen und API-Vorgänge aufgeführt, die von den einzelnen Verben abgedeckt werden. Die Berechtigungen nehmen in dieser Reihenfolge zu: inspect > read > use > manage. Ein Pluszeichen (+) in einer Tabellenzelle gibt den inkrementellen Zugriff im Vergleich zur Zelle direkt darüber an, während "Keine zusätzlichen" keinen inkrementellen Zugriff angibt.
| Verte | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
|---|---|---|---|
|
inspect |
|
|
keiner |
|
lesen |
INSPECT +
|
|
keiner |
|
verwenden |
READ + |
|
keiner |
|
verwalten |
USE +
|
|
keiner |
| Verte | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
|---|---|---|---|
|
inspect |
|
|
keiner |
|
lesen |
INSPECT +
|
|
keiner |
|
verwenden |
READ +
|
|
keiner |
|
verwalten |
USE +
|
|
keiner |
Für jeden API-Vorgang erforderliche Berechtigungen
| API-Vorgänge | Für den Vorgang erforderliche Berechtigungen |
|---|---|
ListDesktopPools |
DESKTOP_POOL_INSPECT |
CreateDesktopPool |
DESKTOP_POOL_CREATE |
GetDesktopPool |
DESKTOP_POOL_READ |
DeleteDesktopPool |
DESKTOP_POOL_DELETE |
UpdateDesktopPool |
DESKTOP_POOL_UPDATE |
ChangeDesktopPoolCompartment |
DESKTOP_POOL_MOVE |
StartDesktopPool |
DESKTOP_POOL_UPDATE |
StopDesktopPool |
DESKTOP_POOL_UPDATE |
ListDesktopPoolVolumes |
DESKTOP_POOL_READ |
ListDesktopPoolDesktops |
DESKTOP_POOL_READ |
ListDesktopPoolErrors |
DESKTOP_POOL_READ |
ListDesktops |
DESKTOP_INSPECT |
GetDesktop |
DESKTOP_READ |
DeleteDesktop |
DESKTOP_DELETE |
UpdateDesktop |
DESKTOP_UPDATE |
StartDesktop |
DESKTOP_UPDATE |
StopDesktop |
DESKTOP_UPDATE |
ListDesktopErrors |
DESKTOP_READ |