Documentation sur Oracle Cloud Infrastructure

Accès aux ressources liées aux grappes entre les locations

Découvrez les politiques IAM requises pour permettre à une location d'accéder aux ressources liées aux grappes dans d'autres locations.

Lorsque vous voulez qu'une location accède aux ressources d'autres locations, vous devez créer des politiques interlocation.

Pour en savoir plus sur les politiques, voir Gestion des domaines d'identité et voir :

Politiques interlocations

Votre organisation peut partager des ressources liées aux grappes avec une autre organisation ayant sa propre location. Il peut s'agir d'une autre unité d'affaires de votre société, d'un client de votre société, d'une société qui fournit des services à votre société, etc. Dans ces cas, vous devez disposer de politiques interlocations en plus des politiques d'utilisateur et de service requises décrites dans la section Configuration de politiques pour la création et le déploiement de grappes.

Énoncés Endorse, Admit et Define

Pour accéder aux ressources et les partager entre deux locations, les administrateurs des deux locations doivent créer des énoncés de politique spéciaux indiquant explicitement les ressources accessibles et pouvant être partagées. Ces énoncés spéciaux utilisent les verbes Define, Endorse et Admit.

Voici un aperçu des verbes spéciaux utilisés dans les énoncés interlocations :

  • Endorse : Indique le jeu général de fonctions qu'un groupe de votre propre location peut exécuter dans d'autres locations. L'énoncé Endorse se trouve toujours dans la location dont le groupe d'utilisateurs franchit les limites de l'autre location pour en utiliser les ressources. Dans les exemples, cette location est la location source.
  • Admit : Indique le type de fonction dans votre propre location que vous voulez accorder à un groupe d'une autre location. L'énoncé Admit se trouve dans la location qui accorde "l'entrée" à la location. L'énoncé Admit identifie le groupe d'utilisateurs qui demande l'accès aux ressources de la location source et qui est identifié par un énoncé Endorse correspondant. Dans les exemples, cette location est la location de destination.

  • Define : Affecte un alias à un OCID de location pour les énoncés de politique Endorse et Admit. Un énoncé Define est également requis dans la location de destination pour affecter un alias à l'OCID du groupe GIA source pour les énoncés Admit.

    Les énoncés Définir doivent être inclus dans la même entité de politique que l'énoncé Endorse ou Admit.

Les énoncés Endorse et Admit fonctionnent ensemble, mais se trouvent dans des politiques distinctes, un dans chaque location. Sans un énoncé correspondant indiquant l'accès, un énoncé Endorse ou Admit particulier n'octroie aucun accès. L'accord des deux locations est requis.

Politique source

L'administrateur source crée des énoncés de politique qui endossent un groupe IAM source pour gérer les ressources dans une location de destination.

Voici un exemple d'énoncé de politique général qui endosse le rôle d'administrateur OKE du groupe IAM pour tout faire avec toutes les ressources liées à la grappe dans n'importe quelle location :

Endorse group OKE-Admins to manage cluster-family in any-tenancy

Pour permettre au groupe IAM source de créer des grappes dans la location de destination, l'administrateur source doit également créer des énoncés de politique pour endosser le groupe afin de gérer les réseaux virtuels et d'inspecter les compartiments. Par exemple :

Endorse group OKE-Admins to manage virtual-network-family in any-tenancy
Endorse group OKE-Admins to inspect compartments in any-tenancy

Pour écrire une politique qui réduit la portée de l'accès de la location uniquement à la location de destination, l'administrateur source doit obtenir l'OCID de la location de destination auprès de l'administrateur de la destination et l'inclure dans un énoncé de politique. Voici un exemple d'énoncés de politique qui endossent le groupe IAM OKE-Admins pour gérer les ressources liées aux grappes dans DestinationTenancy uniquement :

Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group OKE-Admins to manage cluster-family in tenancy DestinationTenancy

Politique de destination

L'administrateur de la destination crée des énoncés de politique qui :

  • Définissez la location source et le groupe IAM autorisés à accéder aux ressources de la location de destination. L'administrateur source doit fournir les OCID de la location source et du groupe IAM source.
  • Admettez au groupe IAM source d'accéder aux ressources liées à la grappe dans la location de destination.

Voici un exemple d'énoncés de politique qui admettent que le groupe IAM OKE-Admins de la location source effectue des opérations sur toutes les ressources liées à la grappe dans la location de destination :

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group OKE-Admins as ocid1.group.oc1..<unique_ID>
Admit group OKE-Admins of tenancy SourceTenancy to manage cluster-family in tenancy

Pour permettre au groupe IAM source de créer des grappes dans la location de destination, l'administrateur de destination doit également créer des énoncés de politique pour admettre que le groupe gère les réseaux virtuels et inspecte les compartiments dans la location de destination. Par exemple :

Admit group OKE-Admins of tenancy SourceTenancy to manage virtual-network-family in tenancy
Admit group OKE-Admins of tenancy SourceTenancy to inspect compartments in tenancy

Voici un exemple d'énoncés de politique qui endossent le groupe IAM OKE-Admins dans la location source pour gérer les ressources liées à la grappe uniquement dans le compartiment SharedOKEClusters :

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group OKE-Admins as ocid1.group.oc1..<unique_ID>
Admit group OKE-Admins of tenancy SourceTenancy to manage cluster-family in compartment SharedOKEClusters

Accès à des images personnalisées dans d'autres locations lors de la création ou de la mise à jour de groupes de noeuds gérés

Lorsque vous utilisez l'interface de ligne de commande ou l'API pour créer ou mettre à jour un groupe de noeuds gérés, vous spécifiez l'OCID de l'image utilisée par le moteur Kubernetes pour provisionner les noeuds gérés dans le groupe de noeuds. Si vous spécifiez l'OCID d'une image personnalisée, celle-ci peut se trouver dans la même location que la grappe ou dans une location différente. Si l'image personnalisée se trouve dans une location différente, des politiques doivent exister pour permettre l'accès à l'autre location pour lire l'image.

Dans la location (location source) contenant la grappe avec le groupe de noeuds gérés que vous voulez que le moteur Kubernetes provisionne à l'aide d'une image personnalisée, l'administrateur source doit créer des énoncés de politique pour endosser l'accès à l'image personnalisée dans la location de destination. Par exemple :

Define tenancy image-tenancy as ocid1.tenancy.oc1...<unique_ID>
Endorse any-user to {INSTANCE_IMAGE_INSPECT, INSTANCE_IMAGE_READ} in tenancy image-tenancy where request.principal.type = 'nodepool'

Dans la location contenant l'image personnalisée (la location de destination), l'administrateur de destination doit créer des énoncés de politique pour admettre l'accès de la location source à l'image personnalisée. Par exemple :

Define tenancy nodepool-tenancy as ocid1.tenancy.oc1...<unique_ID>
Admit any-user of tenancy nodepool-tenancy to {INSTANCE_IMAGE_INSPECT, INSTANCE_IMAGE_READ} where request.principal.type = 'nodepool'