Die Abbildung zeigt die Verteilung der IAM-Policys über die Enterprise Landing Zone-Architektur hinweg. Ein Mandant im Root Compartment enthält eine IAM-Administratorinstanz und eine Cloud Guard-IAM-Instanz. Innerhalb des IAM-Administrators befinden sich die Benutzergruppenadministrator-, Gruppenwechselbenutzer- und Mandanten-Admin-Policys. Cloud Guard-IAM enthält die folgenden Policys:

• cloud_guard_operators_policy
• cloud_guard_analysis_policy
• cloud_guard_architects_policies

Im Mandanten verschachtelt ist das übergeordnete Compartment (Ebene 1). Dies ist das Home-Verzeichnis der Landing Zone und enthält ein einzelnes Compartment der Ebene 2 (Common Infra). Das Compartment der Ebene 2 enthält die folgenden Compartments der Ebene 3:

• Ein Netzwerk-Compartment, das selbst separate IAM-Instanzen für den VCN-Admin und den Workload-Benutzer enthält.
  • Die IAM-Instanz des VCN-Admins verwaltet Identitäts-Policys für virtuelle Netzwerkadministratoren und setzt die OCI-Landingzone VCNAdminPolicies durch.
  • Der Workload-Benutzer-IAM verwaltet Identitäts-Policys für Gruppen und erzwingt die OCI-Landingzone LBUserPolicy.
• Ein Sicherheitsadministrator-IAM, der Sicherheitsadministrations-Pollicies durchsetzt.

Ein zweites Compartment der Ebene 2, das das Compartment "Anwendungen" umfasst, befindet sich im Compartment "Comon Infra". In dieser Abbildung ist es leer.