Almacenamiento de archivos con políticas Lustre

Utilice el servicio Oracle Cloud Infrastructure Identity and Access Management (IAM) para crear políticas para el almacenamiento de archivos con recursos Lustre.

En este tema, se tratan los detalles de las políticas para controlar el acceso a File Storage con el servicio Lustre. Para obtener más información, consulte Visión general de políticas de IAM.

Visión general de la sintaxis de las políticas

La sintaxis general de una sentencia de política es:

allow <subject> to <verb>
                    <resource-type> in <location> where <condition>

Por ejemplo, puede especificar:

Un grupo o grupo dinámico por nombre u OCID como <subject> . O bien, puede utilizar any-user para abarcar a todos los usuarios del arrendamiento.
inspect, read, use y manage como <verb> para otorgar a <subject> acceso a uno o más permisos.

A medida que vaya de inspect > read > use > manage, el nivel de acceso aumenta y los permisos otorgados se van acumulando. Por ejemplo, use incluye read más la capacidad de actualizar.
Una familia de recursos como virtual-network-family para resource-type . O bien, puede especificar un recurso individual en una familia como vcns y subnets.
Compartimento por nombre u OCID como <location> . O bien, puede utilizar tenancy para que se abarque todo el arrendamiento.

Para obtener más información sobre la creación de políticas, consulte Introducción a las políticas y Referencia de políticas.

Tipos de recursos

Para proporcionar a los usuarios acceso a File Storage con recursos de Lustre, cree políticas de IAM con File Storage con tipos de recursos de Lustre.

Tipo de recurso de agregado

lustre-file-family

Una política que utiliza <verb> lustre-file-family equivale a escribir una directiva con una sentencia <verb> <individual resource-type> independiente para cada uno de los tipos de recursos individuales.

Consulte en las tablas Detalles del verbo + tipo de recurso los detalles de las operaciones del API que cubre cada verbo para cada tipo de recurso individual incluido en lustre-file-family.

Tipos de recursos individuales

Para acceder a File Storage con recursos de Lustre, utilice cada uno de los siguientes tipos de recursos:

lustre-file-system
lfs-work-request

Consulte Ejemplos de políticas para obtener más información.

Variables soportadas

El servicio File Storage with Lustre soporta todas las variables generales, además de las que se muestran aquí.

Para obtener más información sobre la variables generales soportadas por servicios de OCI, consulte Variables Generales para Todas las Solicitudes.


Variable	Tipo de variable	Origen
`target.lustre-file-system.id`	Entidad (OCID)	Solicitud

Detalles de las combinaciones de verbo + tipo de recurso

Para crear una política se pueden utilizar varios verbos y tipos de recursos de Oracle Cloud Infrastructure.

En las siguientes tablas se muestran los permisos y la operaciones de API que abarca cada verbo para File Storage with Lustre. El nivel de acceso es acumulativo a medida que pasa de inspect a read a use a manage. Un signo más (+) en una celda de tabla indica el acceso incremental comparado con la celda que le precede directamente, mientras que "sin extra" indica no hay acceso incremental.

lustre-file-system


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	LUSTRE_FILE_SYSTEM_INSPECT	`ListLustreFileSystems`	ninguno
leído	INSPECT + LUSTRE_FILE_SYSTEM_READ	INSPECT + `GetLustreFileSystem`	ninguno
usar	READ + LUSTRE_FILE_SYSTEM_UPDATE	READ + `UpdateLustreFileSystem`	ninguno
gestionar	USE + LUSTRE_FILE_SYSTEM_CREATE LUSTRE_FILE_SYSTEM_DELETE LUSTRE_FILE_SYSTEM_MOVE	USE + `CreateLustreFileSystem` `DeleteLustreFileSystem` `ChangeLustreFileSystemCompartment`	ninguno

lfs-work-request


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	LFS_WORK_REQUEST_INSPECT	`ListWorkRequests` `ListWorkRequestErrors` `ListWorkRequestLogs`	ninguno
leído	INSPECT + LFS_WORK_REQUEST_READ	INSPECT + `GetWorkRequest`	ninguno
usar	READ + ninguno	READ + ninguno	ninguno
gestionar	USE + LFS_WORK_REQUEST_DELETE	USE + `CancelWorkRequest`	ninguno

Permisos necesarios para cada operación de API

en la siguiente tabla se muestran las operaciones de API para OCI Database with PostgreSQL en un orden lógico, agrupadas por tipo de recurso.

Los tipos de recursos son lustre-file-system y lfs-work-request.

Para obtener información sobre los permisos, consulte Permisos.

Permisos necesarios
Operación de API	Permisos necesarios para utilizar la operación
`ListLustreFileSystems`	LUSTRE_FILE_SYSTEM_INSPECT
`GetLustreFileSystem`	LUSTRE_FILE_SYSTEM_READ
`CreateLustreFileSystem`	LUSTRE_FILE_SYSTEM_CREATE
`UpdateLustreFileSystem`	LUSTRE_FILE_SYSTEM_UPDATE
`DeleteLustreFileSystem`	LUSTRE_FILE_SYSTEM_DELETE
`ChangeLustreFileSystemCompartment`	LUSTRE_FILE_SYSTEM_MOVE
`ListWorkRequests`	LFS_WORK_REQUEST_INSPECT
`GetWorkRequest`	LFS_WORK_REQUEST_READ
`CancelWorkRequest`	LFS_WORK_REQUEST_DELETE
`ListWorkRequestErrors`	LFS_WORK_REQUEST_INSPECT
`ListWorkRequestLogs`	LFS_WORK_REQUEST_INSPECT

Ejemplos de políticas

Utilice los siguientes ejemplos para crear políticas comunes además de las necesarias para sistemas de archivos y las necesarias si está cifrando sistemas de archivos con su propia clave.

Permitir que un grupo utilice pero no suprima sistemas de archivos

allow group lfsadminusers to use lustre-file-family in compartment <file_system_compartment>

Documentación de Oracle Cloud Infrastructure