Die Abbildung zeigt die Verteilung der IAM-Policys über die Enterprise Landing Zone-Architektur hinweg. Ein Mandant im Root Compartment enthält eine IAM-Administratorinstanz und eine Cloud Guard-IAM-Instanz. Innerhalb des IAM-Administrators befinden sich die Benutzergruppenadministrator-, Gruppenwechselbenutzer- und Mandanten-Admin-Policys. Cloud Guard-IAM enthält die folgenden Policys:

• cloud_guard_operators_policy
• cloud_guard_analysis_policy
• cloud_guard_architects_policies

Im Mandanten verschachtelt ist das übergeordnete Compartment (Ebene 1). Dies ist das Home-Verzeichnis der Landing Zone und enthält ein einzelnes Compartment der Ebene 2 (Common Infra). Das Compartment der Ebene 2 enthält die folgenden Compartments der Ebene 3:

• Ein Netzwerk-Compartment, das selbst separate IAM-Instanzen für den VCN-Admin und den Workload-Benutzer enthält.
  • Die IAM-Instanz des VCN-Admins verwaltet Identitäts-Policys für virtuelle Netzwerkadministratoren und setzt die OCI-Landingzone VCNAdminPolicies durch.
  • Der IAM-Workload-Benutzer verwaltet Identitäts-Policys für Gruppen und setzt die OCI-Landingzone LBUserPolicy durch.
• Ein Sicherheitsadministrator-IAM, der Sicherheitsadministrations-Policys durchsetzt.

Im Compartment "Common Infra" befindet sich ein zweites Compartment der Ebene 2 "Applications". Dieses Compartment ist in drei Sub-Compartments unterteilt: A, B und C. Jedes dieser Compartments enthält die folgenden Identitäts-Policys für die spezifischen Rollen:

• Für den Workload-Admin-IAM: OCI-LZ-WorkLLoadAdminPolicy.
• Für den Workload-Benutzer IAM: Workload-Benutzer und OCI-LZ-WorkLLoadUserPolicy.
• Für den Workload-Speicheradministrator IAM: Workload-Storage-Admins und OCI-LZ-WorkloadStorageAdminPolicy.
• Für die Workload-Speicherbenutzer IAM: security-admins-policy und OCI-LZ-WorkloadStorageUserPolicy.