Documentation sur Oracle Cloud Infrastructure

Introduction aux politiques

Si vous découvrez les politiques du service de gestion des identités et des accès (GIA) pour Oracle Cloud Infrastructure, lisez cette rubrique pour apprendre à les utiliser.

Si vous effectuez une démonstration de faisabilité

Si vous faites juste un essai d'Oracle Cloud Infrastructure ou si vous réalisez un projet de démonstration de faisabilité avec des ressources d'infrastructure, vous n'avez sans doute besoin que de quelques administrateurs disposant d'un accès complet à toutes les fonctions. Dans ce cas, vous pouvez simplement créer les nouveaux utilisateurs dont vous avez besoin et les ajouter au groupe Administrateurs. Les utilisateurs pourront effectuer toutes les opérations sur tous les types de ressource. Vous pouvez également créer toutes vos ressources directement dans la location (compartiment racine). Vous n'avez pas besoin de créer des compartiments pour le moment ou d'autres politiques au-delà de la politique d'administration du locataire, qui est automatiquement fournie avec votre location et ne peut pas être modifiée.

Note

N'oubliez pas d'ajouter vos nouveaux utilisateurs au groupe Administrateurs, après les avoir créés.

Si vous avez passé la phase de démonstration de faisabilité

Si vous avez passé la phase de démonstration de faisabilité et que vous voulez restreindre l'accès à vos ressources, tout d'abord :

FAQ sur les politiques

De quels services Oracle Cloud Infrastructure puis-je contrôler l'accès au moyen de politiques?

De tous, y compris le service GIA lui-même. Vous pouvez trouver des informations détaillées sur l'écriture de politiques pour chaque service dans Informations de référence sur les politiques.

Les utilisateurs peuvent-ils effectuer des opérations sans qu'il existe une politique écrite par un administrateur?

Oui. Tous les utilisateurs peuvent effectuer automatiquement les opérations suivantes sans disposer d'une politique explicite :

  • Modifier ou réinitialiser leur propre mot de passe pour la console.
  • Gérer leurs propres clés de signature d'API et d'autres données d'identification.
Pourquoi dois-je séparer les ressources par compartiment? Puis-je simplement placer toutes les ressources dans un compartiment, puis utiliser des politiques pour contrôler qui peut y accéder?

Vous pouvez placer toutes vos ressources dans un compartiment unique et utiliser des politiques pour en contrôler l'accès. Toutefois, vous ne pourrez pas bénéficier des avantages liés à la mesure de l'utilisation et de la facturation par compartiment, à l'administration simplifiée des politiques au niveau du compartiment et à la séparation des ressources entre des projets ou des unités d'affaires.

Puis-je contrôler ou refuser l'accès pour un utilisateur individuel?

Oui. Cependant, quelques points à savoir en premier :

  • En général, les entreprises comptent de nombreux utilisateurs nécessitant des autorisations similaires; les politiques sont donc conçues pour donner accès à des groupes d'utilisateurs, et non à des utilisateurs individuels. Un utilisateur obtient un accès en faisant partie d'un groupe.
  • Les politiques sont conçues pour permettre l'accès; il n'y a pas de refus explicite lorsque vous écrivez une politique.

Si vous devez accorder l'accès à un utilisateur particulier, vous pouvez ajouter à la politique une condition qui spécifie l'OCID de l'utilisateur dans une variable. Cette construction restreint l'accès accordé dans la politique aux utilisateurs indiqués dans la condition. Par exemple :

allow any-group to read object-family in compartment ObjectStorage where request.user.id ='ocid1.user.oc1..<user_OCID>'

Pour plus d'informations sur l'utilisation de conditions et de variables dans les politiques, voir Conditions.

Si vous devez restreindre l'accès d'un utilisateur particulier, vous pouvez :

  • Retirer l'utilisateur du groupe qui vous intéresse
  • Supprimer complètement l'utilisateur du service GIA (vous devez d'abord retirer l'utilisateur de tous les groupes)
Comment supprimer un utilisateur?

Assurez-vous d'abord que l'utilisateur ne fait partie d'aucun groupe. Une fois cette vérification effectuée, vous pouvez supprimer l'utilisateur.

Comment puis-je savoir quelles politiques s'appliquent à un groupe ou à un utilisateur particulier?

Vous devez consulter les énoncés individuels de toutes vos politiques pour voir quels énoncés s'appliquent à quel groupe. Actuellement, il n'existe pas de moyen plus facile d'obtenir ces informations.

Comment puis-je savoir quelles politiques s'appliquent à un compartiment particulier?

Vous devez consulter les énoncés individuels de toutes les politiques de la location pour voir si l'un d'entre eux s'applique au compartiment. Vous devez également consulter toutes les politiques dans le compartiment lui-même. Les politiques d'un compartiment apparenté ne peuvent pas référencer le compartiment qui vous intéresse. Ainsi, vous n'avez pas besoin de vérifier ces politiques.