Politiques communes

Type d'accès : Permet de créer, de mettre à jour et de supprimer des utilisateurs ainsi que leurs données d'identification. Il ne permet pas d'inclure des utilisateurs dans des groupes.

Où créer la politique : Dans la location, car les utilisateurs se trouvent dans la location.

Allow group HelpDesk to manage users in tenancy

Type d'accès : Permet de lister les ressources dans tous les compartiments. Gardez à l'esprit que :

• L'opération permettant de répertorier les politiques GIA inclut le contenu des politiques.
• Les opérations permettant de répertorier les types de ressource du service Réseau retournent toutes les informations (par exemple, le contenu des listes de sécurité et des tables de routage).
• L'opération permettant de répertorier les instances nécessite le verbe read au lieu du verbe inspect, et le contenu inclut les métadonnées fournies par l'utilisateur.
• L'opération permettant de voir des événements du service Vérification nécessite le verbe read au lieu du verbe inspect.

Où créer la politique : Dans la location. Grâce au concept d'héritage des politiques, les vérificateurs peuvent inspecter la location et tous les compartiments situés en dessous. Vous pouvez aussi choisir de limiter l'accès des vérificateurs à des compartiments spécifiques s'ils n'ont pas besoin d'un accès à toute la location.

Allow group Auditors to inspect all-resources in tenancy

Allow group Auditors to read instances in tenancy

Allow group Auditors to read audit-events in tenancy

Cette politique s'applique si vous voulez autoriser un seul ensemble d'administrateurs du service de récupération à gérer toutes les ressources du service de récupération dans tous les compartiments.

Où créer la politique : Dans la location, de sorte que l'accès soit facilement accordé à tous les compartiments au moyen de l'héritage des politiques. Pour réduire la portée de l'accès aux ressources du service de récupération d'un compartiment particulier, indiquez le compartiment requis au lieu de la location.

Allow group RecoveryServiceGroup to manage recovery-service-family in tenancy

Type d'accès : Permet de gérer les politiques de protection dans tous les compartiments.

Cette politique s'applique si vous voulez autoriser un seul jeu d'administrateurs de la conformité à gérer les politiques de protection dans tous les compartiments.

Où créer la politique : Dans la location, de sorte que l'accès soit facilement accordé à tous les compartiments au moyen de l'héritage des politiques. Pour réduire la portée de l'accès aux politiques de protection d'un compartiment particulier, indiquez le compartiment requis au lieu de la location.

Allow group ComplianceGroup to manage recovery-service-policy in tenancy
    

Type d'accès : Permet de gérer tous les composants du service Réseau. Cela inclut les réseaux en nuage, les sous-réseaux, les passerelles, les circuits virtuels, les listes de sécurité, les tables de routage, etc. Si les administrateurs de réseau doivent lancer des instances pour tester la connectivité du réseau, voir Permettre aux utilisateurs de lancer des instances de calcul.

Où créer la politique : Dans la location. Grâce au concept d'héritage des politiques, les administrateurs de réseau peuvent gérer un réseau en nuage dans n'importe quel compartiment. Pour réduire la portée de l'accès à un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group NetworkAdmins to manage virtual-network-family in tenancy

Pour les politiques utilisées pour connecter une passerelle DRG à des réseaux en nuage virtuels et des passerelles DRG d'autres régions et locations, voir Politiques IAM pour le routage entre les réseaux en nuage virtuels.

Type d'accès : Permet de gérer tous les composants du équilibreur de charge. Si le groupe doit lancer des instances, voir Permettre aux utilisateurs de lancer des instances de calcul.

Où créer la politique : Dans la location. Grâce au concept d'héritage des politiques, les administrateurs de réseau (NetworkAdmins) peuvent gérer les équilibreurs de charge dans n'importe quel compartiment. Pour réduire la portée de l'accès à un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group NetworkAdmins to manage load-balancers in tenancy

Si le groupe veut gérer les équilibreurs de charge et les équilibreurs de charge de réseau, des politiques supplémentaires sont requises pour utiliser les ressources de réseau associées :

Allow group NetworkAdmins to manage load-balancers in tenancy

Allow group NetworkAdmins to use virtual-network-family in tenancy

Allow group NetworkAdmins to manage instances in tenancy

Si un groupe particulier doit mettre à jour les équilibreurs de charge existants (par exemple, pour modifier le jeu dorsal) mais ne doit pas les créer ou les supprimer, utilisez cet énoncé :

Allow group LBUsers to use load-balancers in tenancy

Type d'accès : Permet d'exécuter toutes les opérations sur des instances lancées dans le réseau en nuage et les sous-réseaux du compartiment XYZ, et d'attacher ou de détacher tous les volumes qui existent déjà dans le compartiment ABC. Le premier énoncé permet également au groupe de créer et de gérer des images d'instance dans le compartiment ABC. Si le groupe n'a pas besoin d'attacher ou de détacher des volumes, vous pouvez supprimer l'énoncé volume-family.

Où créer la politique : L'approche la plus facile consiste à placer cette politique dans la location. Si vous voulez que les administrateurs des compartiments individuels (ABC et XYZ) aient un contrôle sur les énoncés de politique individuels pour leurs compartiments, voir Association de politique.

Allow group InstanceLaunchers to manage instance-family in compartment ABC
Allow group InstanceLaunchers to read app-catalog-listing in tenancy
Allow group InstanceLaunchers to use volume-family in compartment ABC
Allow group InstanceLaunchers to use virtual-network-family in compartment XYZ

Pour permettre aux utilisateurs de créer de nouveaux réseaux en nuage et de nouveaux sous-réseaux, voir Permettre aux administrateurs de réseau de gérer un réseau en nuage.

Pour permettre aux utilisateurs de déterminer si la capacité est disponible pour une forme spécifique avant de créer une instance, ajoutez l'énoncé suivant à la politique :

Allow group InstanceLaunchers to manage compute-capacity-reports in tenancy

Type d'accès : Permet de lancer des instances dans le réseau en nuage et les sous-réseaux du compartiment XYZ uniquement à l'aide de l'image personnalisée spécifiée. La politique permet également d'attacher/de détacher tous les volumes qui existent déjà dans le compartiment ABC. Si le groupe n'a pas besoin d'attacher ou de détacher des volumes, vous pouvez supprimer l'énoncé volume-family.

Pour spécifier plusieurs images personnalisées, vous pouvez utiliser des conditions.

Où créer la politique : L'approche la plus facile consiste à placer cette politique dans la location. Si vous voulez que les administrateurs des compartiments individuels (ABC et XYZ) aient un contrôle sur les énoncés de politique individuels pour leurs compartiments, voir Association de politique.

Allow group ImageUsers to inspect instance-images in compartment ABC
Allow group ImageUsers to {INSTANCE_IMAGE_READ} in compartment ABC where target.image.id='<image_OCID>'
Allow group ImageUsers to manage instances in compartment ABC
Allow group ImageUsers to read app-catalog-listing in tenancy
Allow group ImageUsers to use volume-family in compartment ABC
Allow group ImageUsers to use virtual-network-family in compartment XYZ

Type d'accès : Permet d'effectuer toutes les opérations sur des images et des instances de calcul personnalisées. Permet également d'effectuer toutes les opérations sur des seaux, objets et espaces de noms du stockage d'objets dans le compartiment Y (pour la création d'images à partir d'objets et celle de demandes préauthentifiées d'images); d'attacher ou de détacher des volumes existants dans le compartiment X; et de lancer des instances dans le réseau en nuage et les sous-réseaux du compartiment Z (pour créer des instances sur lesquelles baser une image). Si le groupe n'a pas besoin d'attacher ou de détacher des volumes, vous pouvez supprimer l'énoncé volume-family.

Où créer la politique : L'approche la plus facile consiste à placer cette politique dans la location. Si vous voulez que les administrateurs des compartiments individuels (X, Y et Z) aient un contrôle sur les énoncés de politique individuels pour leurs compartiments, voir Association de politique.

Allow group ImageAdmins to manage instances in compartment X
Allow group ImageAdmins to manage instance-images in compartment X
Allow group ImageAdmins to read app-catalog-listing in tenancy
Allow group ImageAdmins to manage object-family in compartment Y
Allow group ImageAdmins to use volume-family in compartment X
Allow group ImageAdmins to use virtual-network-family in compartment Z

Type d'accès : Permet d'exécuter toutes les opérations sur des configurations d'instance, des groupes d'instances et des réseaux en grappe dans tous les compartiments.

Où créer la politique : Dans la location, de sorte que l'accès soit facilement accordé à tous les compartiments au moyen de l'héritage des politiques. Pour réduire la portée de l'accès aux configurations d'instance, aux groupes d'instances et aux réseaux de grappe d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group InstancePoolAdmins to manage compute-management-family in tenancy

Si un groupe doit créer des configurations d'instance à l'aide d'instances existantes en tant que modèle et utiliser l'API, les trousses SDK ou l'interface de ligne de commande pour ce faire, ajoutez les énoncés suivants à la politique :

Allow group InstancePoolAdmins to read instance-family in tenancy
Allow group InstancePoolAdmins to inspect volumes in tenancy

Si un groupe particulier doit lancer, arrêter ou réinitialiser les instances dans des groupes d'instances existants, mais ne doit pas créer ou supprimer des groupes d'instances, utilisez cet énoncé :

Allow group InstancePoolUsers to use instance-pools in tenancy

Si les ressources utilisées par le groupe d'instances contiennent des marqueurs par défaut, ajoutez l'énoncé suivant à la politique pour accorder au groupe l'autorisation d'accéder à l'espace de noms de marqueur Oracle-Tags :

Allow group InstancePoolUsers to use tag-namespaces in tenancy where target.tag-namespace.name = 'oracle-tags'

Si la configuration d'instance utilisée par le groupe d'instances lance les instances dans une réservation de capacité, ajoutez l'énoncé suivant à la politique :

Allow service compute_management to use compute-capacity-reservations in tenancy

Si le volume de démarrage utilisé dans la configuration d'instance pour créer un groupe d'instances est chiffré avec une clé KMS, ajoutez l'énoncé suivant à la politique

allow service compute, blockstorage, compute_management to use key-family in compartment <compartment_id/<tenant_id>>

Type d'accès : Permet de créer, de mettre à jour et de supprimer des configurations d'ajustement automatique.

Où créer la politique : Dans la location, de sorte que l'accès soit facilement accordé à tous les compartiments au moyen de l'héritage des politiques. Pour réduire la portée de l'accès aux configurations d'ajustement automatique d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group AutoscalingAdmins to manage auto-scaling-configurations in tenancy
Allow group AutoscalingAdmins to manage instance-pools in tenancy

Type d'accès : Permet de lister le catalogue d'images de partenaires et de créer des abonnements à des images. Il ne permet pas de créer des instances à partir d'images du catalogue d'images de partenaires (voir Permettre aux utilisateurs de lancer des instances de calcul).

Où créer la politique : Dans la location. Pour réduire la portée de l'accès à la création d'abonnements dans un compartiment particulier, indiquez ce compartiment au lieu de la location dans le troisième énoncé.

Allow group CatalogSubscribers to inspect app-catalog-listing in tenancy
Allow group CatalogSubscribers to read app-catalog-listing in tenancy
Allow group CatalogSubscribers to manage app-catalog-listing in tenancy

Type d'accès : Permet de créer des connexions à la console d'instance.

Où créer la politique : Dans la location.

Allow group <group_name> to manage instance-console-connection in tenancy
Allow group <group_name> to read instance in tenancy

Type d'accès : Permet de créer, de mettre à jour et de supprimer des hôtes dédiés de machine virtuelle, ainsi que de lancer des instances sur des hôtes dédiés de machine virtuelle.

Où créer la politique : Dans la location, de sorte que l'accès soit facilement accordé à tous les compartiments au moyen de l'héritage des politiques. Pour réduire la portée de l'accès aux hôtes dédiés de machine virtuelle et aux instances d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group DedicatedVMHostAdmins to manage dedicated-vm-hosts in tenancy
Allow group DedicatedVMHostAdmins to manage instances in tenancy

Type d'accès : Permet de lancer des instances sur des hôtes dédiés de machine virtuelle.

Où créer la politique : Dans la location, de sorte que l'accès soit facilement accordé à tous les compartiments au moyen de l'héritage des politiques. Pour réduire la portée de l'accès aux hôtes dédiés de machine virtuelle et aux instances d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group DedicatedVMHostAdmins to use dedicated-vm-hosts in tenancy
Allow group DedicatedVMHostAdmins to manage instances in tenancy

Type d'accès : Permet toutes les opérations sur les volumes de stockage par blocs, les sauvegardes de volume et les groupes de volumes dans tous les compartiments, à l'exception de la copie de sauvegardes de volume entre les régions. Ce type d'accès est adapté si vous voulez qu'un seul ensemble d'administrateurs de volumes gère tous les volumes, les sauvegardes de volume et les groupes de volumes dans tous les compartiments. Le deuxième énoncé est requis pour attacher ou détacher les volumes des instances.

Où créer la politique : Dans la location, de sorte que l'accès soit facilement accordé à tous les compartiments au moyen de l'héritage des politiques. Pour réduire la portée de l'accès aux volumes/sauvegardes et aux instances d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group VolumeAdmins to manage volume-family in tenancy

Allow group VolumeAdmins to use instance-family in tenancy

Si le groupe doit également copier des sauvegardes de volume et des sauvegardes de volume inter-région, ajoutez l'énoncé suivant à la politique :

Allow group VolumeAdmins to use volume-backups in tenancy where request.permission='VOLUME_BACKUP_COPY'
Allow group VolumeAdmins to use boot-volume-backups in tenancy where request.permission='BOOT_VOLUME_BACKUP_COPY'

Type d'accès : Permet d'effectuer toutes les opérations liées aux sauvegardes de volume, mais pas de créer et de gérer les volumes eux-mêmes. Ce type d'accès est adapté si vous voulez qu'un seul ensemble d'administrateurs de sauvegardes de volume gère toutes les sauvegardes de volume dans tous les compartiments. Le premier énoncé donne l'accès requis au volume en cours de sauvegarde; le deuxième énoncé permet la création de la sauvegarde (et la possibilité de supprimer des sauvegardes). Le troisième énoncé permet la création et la gestion des politiques de sauvegarde définies par l'utilisateur; le quatrième énoncé permet l'affectation et la suppression des politiques de sauvegarde.

Où créer la politique : Dans la location, de sorte que l'accès soit facilement accordé à tous les compartiments au moyen de l'héritage des politiques. Pour réduire la portée de l'accès aux volumes et sauvegardes d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group VolumeBackupAdmins to use volumes in tenancy

Allow group VolumeBackupAdmins to manage volume-backups in tenancy

Allow group VolumeBackupAdmins to manage backup-policies in tenancy

Allow group VolumeBackupAdmins to manage backup-policy-assignments in tenancy

Si le groupe doit utiliser la console, la politique suivante assure une meilleure expérience utilisateur :

Allow group VolumeBackupAdmins to use volumes in tenancy

Allow group VolumeBackupAdmins to manage volume-backups in tenancy

Allow group VolumeBackupAdmins to inspect volume-attachments in tenancy

Allow group VolumeBackupAdmins to inspect instances in tenancy

Allow group VolumeBackupAdmins to manage backup-policies in tenancy

Allow group VolumeBackupAdmins to manage backup-policy-assignments in tenancy

Les deux derniers énoncés ne sont pas nécessaires pour gérer les sauvegardes de volume. Toutefois, ils permettent à la console d'afficher toutes les informations sur un volume particulier, ainsi que les politiques de sauvegarde disponibles.

Type d'accès : Permet d'effectuer toutes les opérations liées aux sauvegardes de volume de démarrage, mais pas de créer et de gérer les volumes de démarrage eux-mêmes. Ce type d'accès est adapté si vous voulez qu'un seul ensemble d'administrateurs de sauvegardes de volume de démarrage gère toutes les sauvegardes de volume de démarrage dans tous les compartiments. Le premier énoncé donne l'accès requis au volume de démarrage en cours de sauvegarde; le deuxième énoncé autorise la création de la sauvegarde (et permet de supprimer des sauvegardes). Le troisième énoncé permet la création et la gestion des politiques de sauvegarde définies par l'utilisateur; le quatrième énoncé permet l'affectation et la suppression des politiques de sauvegarde.

Où créer la politique : Dans la location, de sorte que l'accès soit facilement accordé à tous les compartiments au moyen de l'héritage des politiques. Pour réduire la portée de l'accès aux volumes de démarrage et sauvegardes d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group BootVolumeBackupAdmins to use volumes in tenancy

Allow group BootVolumeBackupAdmins to manage boot-volume-backups in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policies in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policy-assignments in tenancy

Si le groupe doit utiliser la console, la politique suivante assure une meilleure expérience utilisateur :

Allow group BootVolumeBackupAdmins to use volumes in tenancy

Allow group BootVolumeBackupAdmins to manage boot-volume-backups in tenancy

Allow group BootVolumeBackupAdmins to inspect instances in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policies in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policy-assignments in tenancy

Les deux derniers énoncés ne sont pas nécessaires pour gérer les sauvegardes de volume. Toutefois, ils permettent à la console d'afficher toutes les informations sur un volume de démarrage particulier, ainsi que les politiques de sauvegarde disponibles.

Type d'accès : Permet de créer un groupe de volumes à partir d'un jeu de volumes.

Où créer la politique : Dans la location, de sorte que l'accès soit facilement accordé à tous les compartiments au moyen de l'héritage des politiques. Pour réduire la portée de l'accès aux volumes et groupes de volumes d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group VolumeGroupCreators to inspect volumes in tenancy
Allow group VolumeGroupCreators to manage volume-groups in tenancy

Type d'accès : Permet de cloner un groupe de volumes existant.

Où créer la politique : Dans la location, de sorte que l'accès soit facilement accordé à tous les compartiments au moyen de l'héritage des politiques. Pour réduire la portée de l'accès aux volumes et groupes de volumes d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group VolumeGroupCloners to inspect volumes in tenancy
Allow group VolumeGroupCloners to manage volume-groups in tenancy
Allow group VolumeGroupCloners to manage volumes in tenancy

Type d'accès : Permet de créer une sauvegarde de groupe de volumes.

Où créer la politique : Dans la location, de sorte que l'accès soit facilement accordé à tous les compartiments au moyen de l'héritage des politiques. Pour réduire la portée de l'accès aux volumes/sauvegardes et aux groupes de volumes/sauvegardes de groupe de volumes d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group VolumeGroupBackupAdmins to inspect volume-groups in tenancy
Allow group VolumeGroupBackupAdmins to manage volumes in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-group-backups in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-backups in tenancy

Type d'accès : Permet de créer un groupe de volumes en restaurant une sauvegarde de groupe de volumes.

Où créer la politique : Dans la location, de sorte que l'accès soit facilement accordé à tous les compartiments au moyen de l'héritage des politiques. Pour réduire la portée de l'accès aux volumes/sauvegardes et aux groupes de volumes/sauvegardes de groupe de volumes d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group VolumeGroupBackupAdmins to inspect volume-group-backups in tenancy
Allow group VolumeGroupBackupAdmins to read volume-backups in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-groups in tenancy
Allow group VolumeGroupBackupAdmins to manage volumes in tenancy

Type d'accès : Permet de créer, gérer ou supprimer un système de fichiers ou un clone de système de fichiers. Les fonctions d'administration de système de fichiers permettent de renommer ou de supprimer le système ou de s'en déconnecter.

Où créer la politique : Dans la location, pour que tous les compartiments puissent facilement créer, gérer ou supprimer un système de fichiers au moyen de l'héritage des politiques. Pour réduire la portée de ces fonctions d'administration aux systèmes de fichiers d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group StorageAdmins to manage file-family in tenancy

Type d'accès : Permet de créer un système de fichiers ou un clone de système de fichiers.

Où créer la politique : Dans la location, pour que tous les compartiments puissent facilement créer un système de fichiers au moyen de l'héritage des politiques. Pour réduire la portée de ces fonctions d'administration aux systèmes de fichiers d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group Managers to manage file-systems in tenancy

Allow group Managers to read mount-targets in tenancy

Le deuxième énoncé est requis lorsque les utilisateurs créent un système de fichiers à l'aide de la console. Il permet à la console d'afficher une liste des cibles de montage auxquelles le nouveau système de fichiers peut être associé.

Type d'accès : Permet d'exécuter toutes les opérations sur les seaux et objets du service Stockage d'objets dans tous les compartiments.

Où créer la politique : Dans la location, de sorte que l'accès soit facilement accordé à tous les compartiments au moyen de l'héritage des politiques. Pour réduire la portée de l'accès aux seaux et objets d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group ObjectAdmins to manage buckets in tenancy

Allow group ObjectAdmins to manage objects in tenancy

Type d'accès : Permet d'écrire des objets dans n'importe quel seau de stockage d'objets dans le compartiment ABC (par exemple, dans le cas où un client doit écrire régulièrement des fichiers journaux dans un seau). Ce type d'accès permet de lister les seaux du compartiment, de lister les objets d'un seau et de créer un nouvel objet dans un seau. Bien que le deuxième énoncé donne un accès large grâce au verbe manage, cet accès est ensuite limité aux autorisations OBJECT_INSPECT et OBJECT_CREATE, avec la condition à la fin de l'énoncé.

Où créer la politique : L'approche la plus facile consiste à placer cette politique dans la location. Si vous voulez que les administrateurs du compartiment ABC aient le contrôle sur la politique, voir Association de politique.

Allow group ObjectWriters to read buckets in compartment ABC

Allow group ObjectWriters to manage objects in compartment ABC where any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}

Accès limité à un seau spécifique : : Pour limiter l'accès à un seau spécifique dans un compartiment donné, ajoutez la condition where target.bucket.name='<bucket_name>'. La politique suivante permet à l'utilisateur de lister tous les seaux d'un compartiment particulier, mais l'utilisateur peut seulement lister les objets du seau A et y charger des objets :

Allow group ObjectWriters to read buckets in compartment ABC

Allow group ObjectWriters to manage objects in compartment ABC where all {target.bucket.name='BucketA', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

Accès limité aux seaux comportant un marqueur défini spécifique : Pour limiter l'accès aux seaux comportant un marqueur spécifique dans un compartiment donné, ajoutez la condition where target.bucket.tag.<TagNamespace>.<TagKeyDefinition>='<TagValue>'. La politique suivante permet à l'utilisateur de lister tous les seaux du compartiment ABC. Toutefois, l'utilisateur peut uniquement lister les objets du compartiment et y charger des objets avec le marqueur MyTagNamespace.TagKey='MyTagValue':

Allow group ObjectWriters to read buckets in compartment ABC
Allow group ObjectWriters to manage objects in compartment ABC where all {target.bucket.tag.MyTagNamespace.TagKey='MyTagValue', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

Pour plus d'informations sur l'utilisation des conditions, voir Fonctions avancées liées aux politiques.

Type d'accès : Permet de télécharger des objets à partir de tout seau de stockage d'objets du compartiment ABC. Ce type d'accès permet de lister les seaux du compartiment, de lister les objets dans un seau et de lire les objets existants dans un seau.

Où créer la politique : L'approche la plus facile consiste à placer cette politique dans la location. Si vous voulez que les administrateurs du compartiment ABC aient le contrôle sur la politique, voir Association de politique.

Allow group ObjectReaders to read buckets in compartment ABC

Allow group ObjectReaders to read objects in compartment ABC

Accès limité à un seau spécifique : Pour limiter l'accès à un seau spécifique dans un compartiment donné, ajoutez la condition where target.bucket.name='<bucket_name>'. La politique suivante permet à l'utilisateur de lister tous les seaux d'un compartiment particulier; cela dit, il peut seulement lire les objets et les télécharger à partir du seau A :

Allow group ObjectReaders to read buckets in compartment ABC

Allow group ObjectReaders to read objects in compartment ABC where target.bucket.name='BucketA'

Accès limité aux seaux comportant un marqueur défini spécifique

Pour limiter l'accès aux seaux ayant un marqueur spécifique dans un compartiment donné, ajoutez la condition where target.bucket.tag.<TagNamespace>.<TagKeyDefinition>='<TagValue>'. La politique suivante permet à l'utilisateur de lister tous les seaux du compartiment ABC. Toutefois, l'utilisateur peut uniquement lire les objets du compartiment et télécharger les objets avec le marqueur MyTagNamespace.TagKey='MyTagValue':

Allow group ObjectReaders to read buckets in compartment ABC
Allow group ObjectReaders to read objects in compartment ABC where target.bucket.tag.MyTagNamespace.TagKey='MyTagValue'

Pour plus d'informations sur l'utilisation des conditions, voir Fonctions avancées liées aux politiques.

Type d'accès : Permet de créer une clé gérée par le client. Il permet de configurer des politiques pour accéder aux données chiffrées à l'aide d'une clé gérée par le client.

allow group <group_in_tenancy> to manage vaults in compartment <key_located_compartment>
allow group <group_in_tenancy> to manage keys in compartment <key_located_compartment>
allow group <group_in_tenancy> to manage key-delegate in compartment <key_located_compartment>
allow group <group_in_tenancy> to use object-family in compartment <key_located_compartment>
allow service objectstorage-<region_name> to use keys in compartment <key_located_compartment>

Le dernier énoncé de l'exemple de politique ci-dessus est propre à une région. Cela signifie que les clients doivent écrire cette instruction à plusieurs reprises pour chaque région. Pour définir une politique de commodité, les clients peuvent utiliser l'exemple suivant :

allow group <group_in_tenancy> to manage vaults in compartment <key_located_compartment>
allow group <group_in_tenancy> to manage keys in compartment <key_located_compartment>
allow group <group_in_tenancy> to manage key-delegate in compartment <key_located_compartment>
allow group <group_in_tenancy> to use object-family in compartment <key_located_compartment>
allow any-group to use keys in compartment <key_located_compartment> where all {request.principal.type = 'service', request.service.name = /objectstorage-*/}

Type d'accès : Permet à un groupe d'utilisateurs d'effectuer toutes les actions vers un seau de stockage d'objets et ses objets.

Où créer la politique : Dans la location où se trouvent les utilisateurs.

ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*'} 

Type d'accès : Permet à un groupe d'utilisateurs d'avoir un accès en lecture seule à un seau de stockage d'objets et à ses objets.

Où créer la politique : Dans la location où se trouvent les utilisateurs.

ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*', any{request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}

Type d'accès : Permet à un groupe d'utilisateurs d'avoir un accès en écriture seulement à un dossier d'objets dans un seau. Les utilisateurs ne peuvent pas voir la liste des objets du seau ni supprimer les objets qu'il contient.

Où créer la politique : Dans la location où se trouvent les utilisateurs.

ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*', any{request.permission='OBJECT_CREATE'}}

Type d'accès : Permet à un groupe d'utilisateurs d'avoir un accès en lecture et en écriture à un dossier d'objets dans un seau de stockage d'objets. Les utilisateurs ne peuvent pas générer une liste d'objets dans le dossier ni remplacer les objets existants dans le dossier.

Où créer la politique : Dans la location où se trouvent les utilisateurs.

ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*', any{request.permission='OBJECT_CREATE', request.permission='OBJECT_READ'}}

Type d'accès : Permet à un utilisateur spécifié d'avoir un accès complet à tous les objets qui correspondent à un modèle spécifié dans un seau de stockage d'objets.

Où créer la politique : Dans la location où réside l'utilisateur.

ALLOW any-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = '*.pdf', request.user.id='ocid1.user.oc1..exampleuniqueID'}

Ce type d'accès est adapté si vous voulez qu'un seul ensemble d'administrateurs de base de données gère tous les systèmes sans système d'exploitation, sur machine virtuelle et Exadata dans tous les compartiments.

Où créer la politique : Dans la location, de sorte que l'accès soit facilement accordé à tous les compartiments au moyen de l'héritage des politiques. Pour réduire la portée de l'accès aux systèmes de base de données d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group DatabaseAdmins to manage database-family in tenancy

Type d'accès : Permet d'exécuter toutes les opérations sur les ressources du service Exadata Database sur Cloud@Customer dans tous les compartiments. Ce type d'accès est adapté si vous voulez qu'un seul ensemble d'administrateurs de bases de données gère tous les systèmes exécutant le service Exadata Database sur Cloud@Customer dans tous les compartiments.

Où créer la politique : Dans la location, de sorte que l'accès soit facilement accordé à tous les compartiments au moyen de l'héritage des politiques. Pour réduire la portée de l'accès au service Exadata Database sur Cloud@Customer

d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group ExaCCAdmins to manage database-family in tenancy

Type d'accès :

Permet d'exécuter toutes les opérations sur les ressources MySQL Database et MySQL HeatWave dans tous les compartiments. La création et la gestion des systèmes de BD MySQL Database nécessitent également un accès limité aux réseaux en nuage virtuels, aux sous-réseaux et aux espaces de noms de marqueur dans la location.

Allow group <group_name> to {
  	COMPARTMENT_INSPECT, 
    VCN_READ, 
    SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH, 
    NETWORK_SECURITY_GROUP_UPDATE_MEMBERS,
    VNIC_CREATE, VNIC_UPDATE, VNIC_DELETE, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP
  } in tenancy | compartment <compartment_name> | compartment <compartment_ocid>
  Allow group <group_name> to manage mysql-family in tenancy | compartment <compartment_name> | compartment <compartment_ocid>
  Allow group <group_name> to use tag-namespaces in tenancy

Type d'accès : Permet d'exécuter toutes les opérations sur les instances de base de données autonome dans tous les compartiments. Ce type d'accès est adapté si vous voulez qu'un seul ensemble d'administrateurs de bases de données gère toutes les bases de données autonomes dans tous les compartiments.

Où créer la politique : Dans la location, de sorte que l'accès soit facilement accordé à tous les compartiments au moyen de l'héritage des politiques. Pour réduire la portée de l'accès aux bases de données autonomes d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Exemple 1 : Pour les rôles d'utilisateur associés à Autonomous Database sur une infrastructure Exadata dédiée. Permet à l'administrateur de parc de bases de données autonomes d'accéder à n'importe quel type de charge de travail et de gérer les ressources de l'infrastructure Exadata dédiée suivantes : Bases de données conteneur autonomes et grappes de machines virtuelles autonomes.

Allow group DatabaseAdmins to manage autonomous-database-family in tenancy

Si vous devez restreindre l'accès aux ressources de type Grappe de machines virtuelles autonome et Base de données conteneur autonome (applicable uniquement à une infrastructure Exadata dédiée), vous pouvez le faire en créant des énoncés de politique distincts pour les administrateurs de base de données afin de limiter l'accès aux bases de données autonomes et à leurs sauvegardes uniquement. Comme un énoncé de politique ne peut spécifier qu'un seul type de ressource, vous devez créer des énoncés distincts pour les ressources de base de données et de sauvegarde.

Exemple 2 : Pour Autonomous Database sur une infrastructure Exadata dédiée. Permet aux administrateurs de base de données autonome d'accéder aux bases de données et aux sauvegardes des divers types de charge de travail mais ne leur permet pas d'accéder aux bases de données conteneur autonomes, aux grappes de machines virtuelles autonomes et aux ressources d'infrastructure Exadata en nuage.

Allow group ADB-Admins to manage autonomous-database in tenancy

Allow group ADB-Admins to manage autonomous-backup in tenancy

Pour réduire la portée de l'accès aux bases de données et aux sauvegardes à un type de charge de travail spécifique, utilisez une clause where.

Exemple 3 : Pour Autonomous Database sur une infrastructure Exadata dédiée. Permet de limiter l'accès des administrateurs de base de données autonome aux bases de données et aux sauvegardes d'un type de charge de travail spécifique.

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'workload_type'

Allow group ADB-Admins to manage autonomous-backups in tenancy where target.workloadType = 'workload_type'

Dans les exemples de code précédents, workload_type est l'une des chaînes répertoriées dans le tableau suivant.

Type d'accès : Permet d'exécuter toutes les opérations du service de chambre forte dans tous les compartiments. Ce type d'accès est adapté si vous voulez qu'un seul ensemble d'administrateurs de la sécurité gère toutes les chambres fortes, les clés et les composants de clé secrète (clés secrètes, versions de clé secrète et ensembles de clé secrète) dans tous les compartiments.

Où créer la politique : Dans la location, de sorte que l'accès soit facilement accordé à tous les compartiments au moyen de l'héritage des politiques. Pour réduire la portée de l'accès aux chambres fortes, clés et composants de clé secrète d'un compartiment particulier, indiquez ce compartiment au lieu de la location. Pour réduire la portée de l'accès aux chambres fortes, clés ou composants de clé secrète, incluez uniquement l'énoncé de politique relatif au type de ressource individuel ou agrégé respectif, selon le cas.

Allow group SecurityAdmins to manage vaults in tenancy

Allow group SecurityAdmins to manage keys in tenancy

Allow group SecurityAdmins to manage secret-family in tenancy

Type d'accès : Permet d'exécuter toutes les opérations avec des clés dans une chambre forte spécifique du compartiment ABC.

Où créer la politique : L'approche la plus facile consiste à placer cette politique dans la location. Si vous voulez que les administrateurs du compartiment (ABC) aient un contrôle sur les énoncés de la politique pour leur compartiment, voir Association de politique.

Allow group SecurityAdmins to manage keys in compartment ABC where target.vault.id='<vault_OCID>'

Type d'accès : Permet de lister, de voir et d'effectuer des opérations cryptographiques avec une clé spécifique dans un compartiment.

Où créer la politique : L'approche la plus facile consiste à placer cette politique dans la location. Si vous voulez que les administrateurs du compartiment (ABC) aient un contrôle sur les énoncés de la politique pour leur compartiment, voir Association de politique.

Allow group SecurityAdmins to use keys in compartment ABC where target.key.id='<key_OCID>'

Type d'accès : Permet d'associer un seau de stockage d'objets, un volume de volume par blocs, un système de fichiers de stockage de fichiers, une grappe Kubernetes ou un groupe de flux de diffusion en continu à une clé spécifique autorisée pour l'utilisation dans un compartiment spécifique. Avec cette politique, un utilisateur du groupe spécifié ne dispose pas de l'autorisation nécessaire pour utiliser la clé elle-même. Mais par association, la clé peut être utilisée par les services Stockage d'objets, Volumes par blocs, Stockage de fichiers, Container Engine pour Kubernetes ou Diffusion en continu au nom de l'utilisateur pour :

• Créer ou mettre à jour un seau, un volume ou un système de fichiers chiffré et chiffrer ou déchiffrer les données du seau, du volume ou du système de fichiers.
• Créer des grappes Kubernetes avec des clés secrètes chiffrées au repos dans le magasin de clés-valeurs etcd.
• Créer un groupe de flux pour chiffrer les données des flux qu'il contient.

Cette politique nécessite également que vous disposiez d'une politique complémentaire permettant aux services Stockage d'objets, Volumes par blocs, Stockage de fichiers, Container Engine pour Kubernetes ou Diffusion en continu d'utiliser la clé pour effectuer des opérations cryptographiques.

Où créer la politique : L'approche la plus facile consiste à placer cette politique dans la location. Si vous voulez que les administrateurs du compartiment (ABC) aient un contrôle sur les énoncés de la politique pour leur compartiment, voir Association de politique.

Allow group ObjectWriters, VolumeWriters, FileWriters, ClusterWriters, StreamWriters to use key-delegate in compartment ABC where target.key.id = '<key_OCID>'

Type d'accès : Permet de lister, de voir et d'effectuer des opérations cryptographiques avec toutes les clés dans le compartiment ABC. Comme le service Stockage d'objets est un service régional, il comporte des points d'extrémité régionaux. Ainsi, vous devez spécifier le nom du service régional pour chaque région où vous utilisez le service Stockage d'objets avec le chiffrement du service Chambre forte. Cette politique nécessite également que vous disposiez d'une politique connexe qui permet à un groupe d'utilisateurs d'utiliser la clé déléguée que le service Service de stockage d'objets, Service de volumes par blocs, Container Engine pour Kubernetes ou Service de flux utiliseront.

Où créer la politique : L'approche la plus facile consiste à placer cette politique dans la location. Si vous voulez que les administrateurs du compartiment (ABC) aient un contrôle sur les énoncés de la politique pour leur compartiment, voir Association de politique.

Allow service blockstorage, objectstorage-<region_name>, oke, streaming to use keys in compartment ABC where target.key.id = '<key_OCID>'

Pour le service Stockage d'objets, remplacez <region_name> par l'identificateur de région approprié, par exemple :

• objectstorage-us-phoenix-1

• objectstorage-us-ashburn-1

• objectstorage-eu-frankfurt-1

• objectstorage-uk-london-1

• objectstorage-ap-tokyo-1

Pour déterminer le nom d'une région Oracle Cloud Infrastructure, voir Régions et domaines de disponibilité.

Pour le service Container Engine for Kubernetes, le nom du service utilisé dans la politique est oke.

Pour le service Diffusion en continu, le nom du service utilisé dans la politique est streaming.

Type d'accès : Permet de lister, de voir et d'effectuer des opérations cryptographiques avec toutes les clés dans le compartiment ABC. Cette politique nécessite également que vous disposiez d'une politique complémentaire permettant à un groupe d'utilisateurs d'utiliser la clé déléguée que le stockage de fichiers utilisera.

Où créer la politique : L'approche la plus facile consiste à placer cette politique dans la location. Si vous voulez que les administrateurs du compartiment (ABC) aient un contrôle sur les énoncés de la politique pour leur compartiment, voir Association de politique.

1. Créer un groupe dynamique pour les systèmes de fichiers à l'aide d'une règle telle que :

   ALL { resource.type='filesystem', resource.compartment.id = '<file_system_compartment_OCID>' }

   Note
   
   Si vous avez plusieurs règles dans le groupe dynamique, assurez-vous d'utiliser l'option Match any rules defined below.

2. Créez une politique IAM qui donne au groupe dynamique de systèmes de fichiers l'accès aux clés du service de chambre forte :

   allow dynamic-group <dynamic_group_name> to use keys in compartment ABC

Type d'accès : Permet d'exécuter toutes les opérations avec des clés secrètes dans une chambre forte spécifique du compartiment ABC.

Où créer la politique : L'approche la plus facile consiste à placer cette politique dans la location. Si vous voulez que les administrateurs du compartiment (ABC) aient un contrôle sur les énoncés de la politique pour leur compartiment, voir Association de politique.

Allow group SecurityAdmins to manage secret-family in compartment ABC where target.vault.id='<vault_OCID>'

Type d'accès : Permet de lire, de mettre à jour et de faire tourner toutes les clés secrètes dans toute chambre forte de la location.

Où créer la politique : Dans la location, de sorte que l'accès soit facilement accordé à tous les compartiments au moyen de l'héritage des politiques. Pour réduire la portée de l'accès aux chambres fortes, clés et clés secrètes d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group SecretsUsers to use secret-family in tenancy

Aucune politique n'est nécessaire pour permettre aux utilisateurs de gérer leurs propres données d'identification. Tous les utilisateurs peuvent modifier et réinitialiser leurs mots de passe, gérer leurs clés d'API et gérer leurs jetons d'authentification. Pour plus d'informations, voir Données d'identification d'utilisateur.

Type d'accès : Permet de gérer tous les aspects d'un compartiment particulier. Par exemple, un groupe nommé A-Admins pourrait gérer tous les aspects d'un compartiment appelé Project-A, y compris l'écriture de politiques supplémentaires qui touchent le compartiment. Pour plus d'informations, voir Association de politique. Pour un exemple de ce type de configuration et d'autres politiques utiles, voir Exemple de scénario.

Où créer la politique : Dans la location.

Allow group A-Admins to manage all-resources in compartment Project-A

Type d'accès : Permet de gérer les ressources dans une région particulière. Gardez à l'esprit que les ressources GIA doivent être gérées dans la région principale. Si la région spécifiée n'est pas la région principale, l'administrateur ne pourra pas gérer les ressources GIA. Pour plus d'informations sur la région principale, voir Gestion des régions.

Où créer la politique : Dans la location.

Allow group PHX-Admins to manage all-resources in tenancy where request.region='phx'

La politique précédente permet aux administrateurs PHX-Admins de gérer tous les aspects de toutes les ressources dans la région États-Unis - Ouest (Phoenix).

Les membres du groupe PHX-Admins ne peuvent gérer les ressources GIA que si la région principale de la location est États-Unis - Ouest (Phoenix).

Type d'accès : Permet de voir les versions sommaires des annonces sur le statut opérationnel des services Oracle Cloud Infrastructure.

Où créer la politique : Dans la location.

Allow group AnnouncementListers to inspect announcements in tenancy

La politique précédente permet à AnnouncementListers de voir une liste des annonces sommaires.

Type d'accès : Permet de voir les détails des annonces portant sur le statut opérationnel des services Oracle Cloud Infrastructure.

Où créer la politique : Dans la location.

Allow group AnnouncementReaders to read announcements in tenancy

La politique précédente permet à AnnouncementReaders de voir une liste des annonces sommaires ainsi que les détails de certaines annonces.

Type d'accès : Permet d'exécuter toutes les opérations du service de diffusion en continu dans tous les compartiments.

Où créer la politique : Dans la location, de sorte que l'accès soit facilement accordé à tous les compartiments au moyen de l'héritage des politiques. Pour réduire la portée de l'accès aux flux d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group StreamAdmins to manage stream-family in tenancy

Type d'accès : Permet de produire des messages vers les flux avec le service de diffusion en continu dans tous les compartiments.

Où créer la politique : Dans la location, de sorte que l'accès soit facilement accordé à tous les compartiments au moyen de l'héritage des politiques. Pour réduire la portée de l'accès aux flux d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group StreamUsers to use stream-push in tenancy

Type d'accès : Permet de produire des messages vers un flux avec le service de diffusion en continu.

Où créer la politique : Dans la location, de sorte que l'accès soit facilement accordé à tous les compartiments au moyen de l'héritage des politiques. Pour réduire la portée de l'accès aux flux d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group StreamUsers to use stream-push in tenancy where target.stream.id = '<stream_OCID>'

Type d'accès : Permet de produire des messages vers un flux avec le service de diffusion en continu.

Où créer la politique : Dans la location, de sorte que l'accès soit facilement accordé à tous les compartiments au moyen de l'héritage des politiques. Pour réduire la portée de l'accès aux flux d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group StreamUsers to use stream-push in tenancy where target.streampool.id = '<streampool_OCID>'

Type d'accès : Permet de consommer des messages à partir des flux avec le service de diffusion en continu dans tous les compartiments.

Où créer la politique : Dans la location, de sorte que l'accès soit facilement accordé à tous les compartiments au moyen de l'héritage des politiques. Pour réduire la portée de l'accès aux flux d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group StreamUsers to use stream-pull in tenancy

Type of access: Ability to list metric definitions  in a specific compartment. Pour plus d'informations, voir Liste des définitions de mesure.

Où créer la politique : Dans la location, de sorte que l'accès soit facilement accordé à tous les compartiments au moyen de l'héritage des politiques. Pour réduire la portée de l'accès aux définitions de mesure d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group <group_name> to inspect metrics in compartment <compartment_name>

Type d'accès : Permet d'interroger les mesures des ressources prises en charge dans un compartiment spécifique. Pour plus d'informations, voir Création d'une interrogation.

Où créer la politique : Dans la location, de sorte que l'accès soit facilement accordé à tous les compartiments au moyen de l'héritage des politiques. Pour réduire la portée de l'accès aux mesures d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group <group_name> to read metrics in compartment <compartment_name>

Type d'accès : Permet d'interroger les mesures des ressources pour un espace de noms de mesure spécifique. Pour plus d'informations, voir Création d'une interrogation.

Où créer la politique : Dans la location, de sorte que l'accès soit facilement accordé à tous les compartiments au moyen de l'héritage des politiques. Pour réduire la portée de l'accès à l'espace de noms de mesure spécifié à un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group <group_name> to read metrics in compartment <compartment_name>
  where target.metrics.namespace='<metric_namespace>'

Type d'accès : Permet de publier des mesures personnalisées sous un espace de noms de mesure spécifique dans le service Surveillance, de voir les données de mesure, de créer des alarmes et des sujets et d'utiliser des flux avec des alarmes. Pour plus d'informations sur la publication de mesures personnalisées, voir Publication de mesures personnalisées.

Où créer la politique : Dans la location, de sorte que l'accès soit facilement accordé à tous les compartiments au moyen de l'héritage des politiques. Pour réduire la portée de l'accès aux mesures d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group <group_name> to use metrics in tenancy 
  where target.metrics.namespace=<metric_namespace>'
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to manage ons-topics in tenancy
Allow group <group_name> to use streams in tenancy

Type d'accès : Permet d'appeler l'API de surveillance pour accéder aux mesures de surveillance. Les instances d'origine des demandes d'API doivent être membres du groupe dynamique indiqué dans la politique. Pour plus d'informations sur les instances de calcul appelant des API, voir Appel de services à partir d'une instance.

Où créer la politique : Dans la location.

Allow dynamic-group MetricInstances to read metrics in tenancy

Type d'accès : Permet d'obtenir les détails de l'alarme et d'obtenir l'historique des alarmes. Ne permet pas de créer des alarmes ni de créer ou de supprimer des sujets.

Où créer la politique : Dans la location. Grâce au concept d'héritage des politiques, le groupe peut voir les alarmes de n'importe quel compartiment. Pour réduire la portée de l'accès à un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group <group_name> to read alarms in tenancy
Allow group <group_name> to read metrics in tenancy

Type d'accès : Permet de gérer les alarmes, à l'aide de flux et de sujets existants pour les avis. Ne permet pas de créer ni de supprimer des sujets.

Où créer la politique : Dans la location. Grâce au concept d'héritage des politiques, le groupe peut voir et créer des alarmes dans n'importe quel compartiment. Pour réduire la portée de l'accès à un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to use ons-topics in tenancy
Allow group <group_name> to use streams in tenancy

Type d'accès : Permet de gérer les alarmes, notamment la création de sujets (et d'abonnements) pour les avis (et l'utilisation de flux pour les avis).

Où créer la politique : Dans la location. Grâce au concept d'héritage des politiques, le groupe peut voir et créer des alarmes dans n'importe quel compartiment. Pour réduire la portée de l'accès à un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to manage ons-topics in tenancy
Allow group <group_name> to use streams in tenancy

Type d'accès : Permet de voir les rapports d'utilisation de votre location. Pour plus d'informations sur les rapports d'utilisation, voir Aperçu des rapports de coût et d'utilisation.

Où créer la politique : Il s'agit d'une politique spéciale interlocation qui doit être créée dans la location. Pour plus d'informations, voir Accès aux rapports de coût et d'utilisation.

define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
				endorse group Administrators to read objects in tenancy usage-report

Type d'accès : Possibilité de voir les coûts de la location. Voir Vérification des frais et de l'utilisation.

Où créer la politique : Dans la location, pour permettre aux utilisateurs de <Example_Group> de voir les coûts pour l'ensemble du compte.

Allow group <Example_Group> to read usage-reports in tenancy

Type d'accès : Permet d'obtenir, de créer, de mettre à jour et de supprimer des sujets dans la location, ainsi que de déplacer des sujets vers des compartiments différents dans la location. Permet également de créer des abonnements dans la location et de publier des messages (avis de diffusion) pour tous les abonnements de la location.

Où créer la politique : Dans la location.

Allow group TopicManagers to manage ons-topics in tenancy

Type d'accès : Permet de répertorier, de créer, de mettre à jour et de supprimer des abonnements pour des sujets dans la location. Permet de déplacer des abonnements vers des compartiments différents dans la location.

Où créer la politique : Dans la location.

Allow group SubscriptionUsers to manage ons-subscriptions in tenancy

Type d'accès : Permet de diffuser des messages d'avis à tous les abonnements de la location, ainsi que de lister, créer, mettre à jour et supprimer des abonnements dans la location.

Où créer la politique : Dans la location.

Allow group TopicUsers to use ons-topics in tenancy

Type d'accès : Permet de créer, déployer et gérer des applications et des fonctions du service Fonctions OCI à l'aide de Cloud Shell. Ces énoncés de politique permettent au groupe d'accéder à Cloud Shell, aux référentiels dans Oracle Cloud Infrastructure Registry, aux journaux, aux mesures, aux fonctions, aux réseaux et au traçage.

Où créer la politique : Dans la location, de sorte que l'accès soit facilement accordé à tous les compartiments au moyen de l'héritage des politiques. Pour réduire la portée de l'accès aux ressources d'un compartiment particulier, vous pouvez indiquer ce compartiment au lieu de la location pour la plupart des énoncés de politique. Toutefois, to use cloud-shell, to manage repos et to read objectstorage-namespaces doivent toujours porter sur la location.

Allow group functions-developers to use cloud-shell in tenancy
Allow group functions-developers to manage repos in tenancy
Allow group functions-developers to read objectstorage-namespaces in tenancy
Allow group functions-developers to manage logging-family in tenancy
Allow group functions-developers to read metrics in tenancy
Allow group functions-developers to manage functions-family in tenancy
Allow group functions-developers to use virtual-network-family in tenancy
Allow group functions-developers to use apm-domains in tenancy
Allow group functions-developers to read vaults in tenancy
Allow group functions-developers to use keys in tenancy
Allow service faas to use apm-domains in tenancy
Allow service faas to read repos in tenancy where request.operation='ListContainerImageSignatures'
Allow service faas to {KEY_READ} in tenancy where request.operation='GetKeyVersion'
Allow service faas to {KEY_VERIFY} in tenancy where request.operation='Verify'

Type d'accès : Permet de lister les règles d'événements.

Où créer la politique : Dans la location.

Allow group RuleReaders to read cloudevents-rules in tenancy

La politique précédente permet à RuleReaders de lister les règles de la location.

Type d'accès : Permet de gérer les règles d'événements, notamment de créer, de supprimer et de mettre à jour des règles.

Où créer la politique : Dans la location.

allow group <RuleAdmins> to inspect compartments in tenancy

allow group <RuleAdmins> to use tag-namespaces in tenancy

allow group <RuleAdmins> to inspect streams in tenancy
allow group <RuleAdmins> to use stream-push in tenancy
allow group <RuleAdmins> to use stream-pull in tenancy

allow group <RuleAdmins> to use virtual-network-family in tenancy
allow group <RuleAdmins> to manage function-family in tenancy

allow group <RuleAdmins> to use ons-topic in tenancy

allow group <RuleAdmins> to manage cloudevents-rules in tenancy

Type d'accès : Accès en lecture seule à tout le service de protection d'infrastructure en nuage. Dans l'exemple de politique, le groupe est "CloudGuard_ReadOnly."

allow group CloudGuard_ReadOnly to read cloud-guard-family in tenancy
allow group CloudGuard_ReadOnly to read compartments in tenancy
allow group CloudGuard_ReadOnly to read announcements in tenancy

Type d'accès : Accès en lecture seule aux problèmes relatifs au service de protection d'infrastructure en nuage. Dans l'exemple de politique, le groupe est "CloudGuard_ReadOnlyProblems".

allow group CloudGuard_ReadOnlyProblems to read cloud-guard-family in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-detectors in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-targets in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-resource-types in tenancy
allow group CloudGuard_ReadOnlyProblems to read announcements in tenancy
allow group CloudGuard_ReadOnlyProblems to read compartments in tenancy
allow group CloudGuard_ReadOnlyProblems to read cloud-guard-config in tenancy

Type d'accès : Accès en lecture seule aux recettes de détecteur du service de protection d'infrastructure en nuage. Dans l'exemple de politique, le groupe est "CloudGuard_ReadOnlyDetectors."

allow group CloudGuard_ReadOnlyDetectors to read cloud-guard-detector-recipes in tenancy
allow group CloudGuard_ReadOnlyDetectors to read announcements in tenancy
allow group CloudGuard_ReadOnlyDetectors to read compartments in tenancy
allow group CloudGuard_ReadOnlyDetectors to read cloud-guard-config in tenancy

Type d'accès : Accès en lecture seule au service de protection d'infrastructure en nuage dans un seul compartiment. Dans l'exemple de politique, le groupe est "CloudGuard_ReadOnly_SingleCompartment" et le nom du compartiment est "cgDemo_RestrictedAccess."

allow group CloudGuard_ReadOnly_SingleCompartment to read compartments in tenancy where target.compartment.name = 'cgDemo_RestrictedAccess'
allow group CloudGuard_ReadOnly_SingleCompartment to read cloud-guard-family in compartment cgDemo_RestrictedAccess
allow group CloudGuard_ReadOnly_SingleCompartment to read announcements in compartment cgDemo_RestrictedAccess
allow group CloudGuard_ReadOnly_SingleCompartment to read cloud-guard-config in tenancy

Type d'accès : Permet d'autoriser un groupe à être des superutilisateurs pour toutes les opérations de récupération après sinistre de pile complète.

Allow group DRUberAdmins to manage disaster-recovery-family in tenancy

Type d'accès : Permet à un groupe de créer des groupes de protection pour récupération après sinistre, des plans RS et d'exécuter des vérifications préalables, mais pas de créer réellement des exécutions de plan RS.

Où créer la politique : Dans le compartiment.

Allow group DRMonitors to manage disaster-recovery-protection-groups in compartment ApplicationERP
Allow group DRMonitors to manage disaster-recovery-plans in compartment ApplicationERP
Allow group DRMonitors to manage disaster-recovery-prechecks in compartment ApplicationERP

Type d'accès : Permet à un groupe de créer des groupes de protection et des plans RS pour la récupération après sinistre, mais pas de créer d'exécutions ou de vérifications préalables de plan RS.

Allow group DRConfig to manage disaster-recovery-protection-groups in compartment ApplicationERP
Allow group DRConfig to manage disaster-recovery-plans in compartment ApplicationERP

Type d'accès : Autres services à intégrer à KMS pour utiliser des clés KMS.

Où créer la politique : L'approche la plus facile consiste à placer cette politique dans la location. Si vous voulez que les administrateurs du compartiment (ABC) aient un contrôle sur les énoncés de la politique pour leur compartiment.

Exemple : Allow service objectstorage-<region> to use keys in compartment ABC where target.key.id = '<key_OCID>'

allow service objectstorage-<region> to use keys in compartment Compartments where target.key.id = ocid1.key.oc1..exampleuniqueID

Type d'accès : Permet de gérer toutes les ressources du service d'hôte bastion dans tous les compartiments. Ce type d'accès est adapté si vous voulez qu'un seul ensemble d'administrateurs de la sécurité gère tous les hôtes bastions  et toutes les sessions  de tous les compartiments.

Où créer la politique : Dans la location, de sorte que l'accès soit facilement accordé à tous les compartiments au moyen de l'héritage des politiques. Pour réduire la portée de l'accès aux hôtes bastions et aux sessions d'hôte bastion d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group SecurityAdmins to manage bastion in tenancy
Allow group SecurityAdmins to manage bastion-session in tenancy
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy

Type d'accès : Permet de gérer toutes les sessions  de tous les hôtes bastions  (création, ouverture et fermeture) dans tous les compartiments.

Où créer la politique : Dans la location, de sorte que l'accès soit facilement accordé à tous les compartiments au moyen de l'héritage des politiques. Pour réduire la portée de l'accès aux sessions d'hôte bastion d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group SecurityAdmins to use bastion in tenancy
Allow group SecurityAdmins to manage bastion-session in tenancy
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy

Type d'accès : Permet de gérer les sessions  d'un hôte bastion  dans un compartiment spécifique, et uniquement pour les sessions qui fournissent la connectivité à une instance de calcul spécifique.

Où créer la politique : Dans la location, de sorte que l'accès soit facilement accordé à tous les compartiments au moyen de l'héritage des politiques.

Allow group SecurityAdmins to use bastion in compartment ABC
Allow group SecurityAdmins to manage bastion-session in compartment ABC where ALL {target.resource.ocid='<instance_OCID>', target.bastion-session.username='<session_username>'}
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy

Type of access: Ability to configure Oracle Cloud Infrastructure Vulnerability Scanning Service to scan all Compute instances  in all compartments, and to view the scanning results. Utilisez cette politique si vous voulez qu'un seul ensemble d'administrateurs de la sécurité configurent l'analyse de vulnérabilité pour toutes les instances.

Où créer la politique : Dans la location, qui accorde l'accès à tous les compartiments par héritage des politiques. Pour réduire la portée de l'accès aux instance de calcul d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group SecurityAdmins to manage vss-family in tenancy
Allow service vulnerability-scanning-service to manage instances in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy
Allow service vulnerability-scanning-service to read vnics in tenancy
Allow service vulnerability-scanning-service to read vnic-attachments in tenancy

Type d'accès : Permet de voir les résultats de l'analyse des instances de calcul dans tous les compartiments pour identifier les vulnérabilités de sécurité. Utilisez cette politique si vous disposez d'une équipe dédiée chargée de vérifier la sécurité de l'ensemble de votre location.

Où créer la politique : Dans la location, qui accorde l'accès à tous les compartiments par héritage des politiques. Pour réduire la portée de l'accès aux analyses d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group SecurityReviewers to read vss-family in tenancy

Type d'accès : Permet de répertorier, de créer, de mettre à jour et de supprimer des connecteurs dans la location. Permet de déplacer des connecteurs vers différents compartiments de la location.

Où créer la politique : Dans la location.

Allow group A-Admins to manage serviceconnectors in tenancy

Voir aussi Politiques IAM (sécurisation du centre de connecteurs).

Type d'accès : Permet d'appeler les opérations d'ingestion du service de données clés sur l'exploitation au niveau de la location uniquement.

Où créer la politique : Dans la location.

allow group opsi-users to use opsi-database-insights in tenancy 
where any 
{request.operation='IngestSqlBucket', 
request.operation='IngestSqlText',
request.operation='IngestSqlPlanLines'}

Possibilité de créer, de supprimer et de modifier des espaces de travail dans un compartiment.

allow group <group-name> to manage dis-workspaces in <compartment-name>
allow group <group-name> to manage dis-work-requests in <compartment-name>
allow group <group-name> to manage tag-namespaces in <compartment-name>

Possibilité de créer, de supprimer et de modifier des espaces de travail dans un réseau virtuel.

allow service dataintegration to use virtual-network-family in <compartment-name>
allow group <group-name> to manage dis-workspaces in <compartment-name>
allow group <group-name> to manage dis-work-requests in <compartment-name>
allow group <group-name> to use virtual-network-family in <compartment-name>
allow group <group-name> to manage tag-namespaces in <compartment-name>

Possibilité de créer et d'utiliser des ressources de données de stockage d'objets dans tous les espaces de travail.

allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to use object-family in <compartment-name>

Pour accorder l'accès à un espace de travail individuel, spécifiez l'OCID de celui-ci. Par exemple :

allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}

Possibilité de créer et d'utiliser des ressources de données de base de données autonome dans tous les espaces de travail.

allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to use object-family in <compartment-name>
allow any-group to manage buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.permission='PAR_MANAGE'}

Pour accorder l'accès à un espace de travail individuel, spécifiez l'OCID de celui-ci. Par exemple :

allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-group to manage buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>', request.permission='PAR_MANAGE'}

Possibilité de rechercher les composants du service Intégration de données dans un espace de travail indiqué.

Cette politique doit être appliquée au niveau de la location (compartiment racine).

allow service dataintegration to {TENANCY_INSPECT} in tenancy
allow service dataintegration to {DIS_METADATA_INSPECT} in tenancy

Possibilité de déplacer des espaces de travail vers un nouveau compartiment.

allow service dataintegration to inspect compartments in <compartment-name>
allow group <group-name> to manage dis-workspaces in <compartment-name>

Possibilité de publier les différentes tâches de tous les espaces de travail dans le service de flux de données OCI.

allow any-group to manage dataflow-application in <compartment-name> where ALL {request.principal.type='disworkspace'}

Pour accorder l'accès à un espace de travail individuel, spécifiez l'OCID de celui-ci. Par exemple :

allow any-group to manage dataflow-application in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}

Possibilité d'utiliser des clés secrètes de chambre forte OCI dans tous les espaces de travail.

allow any-group to read secret-bundles in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to read secret-bundles in <compartment-name>

Pour accorder l'accès à un espace de travail individuel, spécifiez l'OCID de celui-ci. Par exemple :

allow any-group to read secret-bundles in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}

Type d'accès : Permet de gérer les abonnements relatifs aux annonces portant sur le statut opérationnel des services Oracle Cloud Infrastructure.

Où créer la politique : L'approche la plus facile consiste à placer cette politique dans la location. Grâce au concept d'héritage des politiques, le groupe auquel vous accordez un accès peut gérer les abonnements aux annonces dans n'importe quel compartiment. Pour réduire la portée de l'accès aux annonces d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group AnnouncementAdmins to manage announcement-subscriptions in tenancy

La politique précédente permet à AnnouncementAdmins de voir une liste des annonces sommaires ainsi que les détails de certaines annonces.