Politique GIA supplémentaire lorsqu'une grappe et un espace de noms de marqueur se trouvent dans des compartiments différents

Découvrez une politique IAM supplémentaire que vous devez créer si vous voulez appliquer des marqueurs définis à partir d'un espace de noms de marqueur appartenant à un compartiment aux ressources associées à une grappe appartenant à un autre compartiment, lors de l'utilisation de Kubernetes Engine (OKE).

Pour appliquer des marqueurs définis d'un espace de noms de marqueur appartenant à un compartiment à des ressources liées à une grappe appartenant à un autre compartiment, vous devez inclure un énoncé de politique similaire à celui qui suit dans une politique IAM :

Allow any-user to use tag-namespace in tenancy where all {request.principal.type = 'cluster'}

Si vous considérez que cet énoncé de politique est trop permissif, vous pouvez restreindre les autorisations pour spécifier explicitement le compartiment auquel l'espace de noms de marqueur appartient ou pour spécifier explicitement la grappe qui appartient à un autre compartiment. Par exemple :

Allow any-user to use tag-namespace in compartment <compartment-ocid> where all { request.principal.id = '<cluster-ocid>' }