Informations détaillées sur le service de certificats
Cette rubrique présente des informations détaillées sur les autorisations du service de certificats permettant d'écrire des politiques pour contrôler l'accès à ses ressources.
Cette rubrique présente des informations détaillées sur le service de certificats, notamment les types de ressource auxquels vous pouvez accorder des autorisations, les variables spéciales que vous pouvez utiliser lors de l'ajout de conditions à une politique, la hiérarchie des autorisations et des opérations d'API couvertes par chaque verbe pour chaque type de ressource et les autorisations pour chaque opération d'API.
Types de ressource individuels
Les types de ressource individuels vous permettent d'écrire des énoncés de politique portant sur un type de ressource particulier et aucun autre.
leaf-certificates
leaf-certificate-versions
leaf-certificate-bundles
certificate-authorities
certificate-authority-versions
certificate-authority-bundles
certificate-authority-delegates
cabundles
certificate-associations
certificate-authority-associations
cabundle-associations
Types de ressource agrégés
Les types de ressource agrégés vous permettent d'écrire des énoncés de politique dont la portée s'étend au-delà d'un type de ressource individuel, à tous les types de ressource couverts par le type de ressource agrégé.
leaf-certificate-family
certificate-authority-family
Une politique utilisant <verb> leaf-certificate-family
équivaut à une politique ayant un énoncé <verb> <individual resource-type>
distinct pour chacun des types de ressource de certificat individuels suivants : leaf-certificates
, leaf-certificate-versions
, leaf-certificate-bundles
, cabundles
, certificate-associations
et cabundle-associations
.
Une politique utilisant <verb> certificate-authority-family
équivaut à une politique ayant un énoncé <verb> <individual resource-type>
distinct pour chacun des types de ressource de certificat et d'autorité de certification individuels suivants : certificate-authorities
, certificate-authority-versions
, certificate-authority-bundles
, certificate-authority-delegates
, leaf-certificates
, leaf-certificate-versions
, leaf-certificate-bundles
, cabundles
, certificate-associations
, certificate-authority-associations
et cabundle-associations
.
Voir le tableau sous Informations détaillées sur les combinaisons Verbe + Type de ressource pour plus de détails sur les opérations d'API couvertes par chaque verbe, pour chaque type de ressource individuel inclus dans leaf-certificate-family
et certificate-authority-family
.
Variables prises en charge
Le service de certificats prend en charge toutes les variables générales, plus les variables répertoriées ici. Pour plus d'informations sur les variables générales prises en charge par les services Oracle Cloud Infrastructure, voir Variables générales pour toutes les demandes.
Opérations pour ce type de ressource... | Peut utiliser ces variables... | Type de variable | Commentaires |
---|---|---|---|
certificate-authorities | target.certificate-authority.id |
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à une autorité de certification en fonction de l'OCID de l'autorité de certification. (Vous ne pouvez pas utiliser cette variable lors de la création d'une autorité de certification, car il n'y a pas d'OCID pour cette autorité de certification qui n'existe pas encore.) |
target.certificate-authority.name |
Chaîne | Utilisez cette variable pour limiter l'accès à un nom d'autorité de certification spécifique. | |
target.certificate-authority.subject |
Chaîne | Utilisez cette variable pour contrôler l'accès à une autorité de certification en fonction du sujet de l'autorité de certification. | |
target.certificate-authority.type |
Chaîne | Utilisez cette variable pour limiter l'accès à certains types d'autorité de certification. Les types d'autorité de certification sont notamment ROOT_CA et SUBORDINATE_CA . |
|
target.issuer-certificate-authority.id |
Chaîne | Utilisez cette variable pour limiter l'accès aux autorités de certification en fonction de l'OCID de l'autorité de certification de l'émetteur. | |
certificate-authority-versions | target.certificate-authority.id |
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à une version d'autorité de certification en fonction de l'OCID de l'autorité de certification. |
target.certificate-authority.name |
Chaîne | Utilisez cette variable pour contrôler l'accès à une version d'autorité de certification en fonction du nom de l'autorité de certification. | |
certificate-authority-bundles | target.certificate-authority.id |
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à l'ensemble d'une autorité de certification en fonction de l'OCID de l'autorité de certification de l'ensemble. |
target.certificate-authority.name |
Chaîne | Utilisez cette variable pour contrôler l'accès à l'ensemble d'une autorité de certification en fonction du nom de l'autorité de certification de l'ensemble. | |
certificate-authority-associations | target.association.id |
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à une association d'autorité de certification en fonction de l'OCID de l'association. (Vous ne pouvez pas utiliser cette variable lors de la création d'une association d'autorité de certification, car il n'y a pas d'OCID pour cette association qui n'existe pas encore.) |
target.association.name |
Chaîne | Utilisez cette variable pour contrôler l'accès à une association d'autorité de certification en fonction du nom de l'association. | |
target.association.resourceid |
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à une association d'autorité de certification en fonction de l'OCID de la ressource configurée dans l'association. | |
target.leaf-certificate.id |
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à une association d'autorité de certification en fonction de l'OCID du certificat configuré dans l'association. | |
target.leaf-certificate.name |
Chaîne | Utilisez cette variable pour contrôler l'accès à une association d'autorité de certification en fonction du nom du certificat configuré dans l'association. | |
certificate-authority-delegates | target.certificate-authority.id |
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à un délégué d'autorité de certification en fonction de l'OCID de l'autorité de certification. |
target.certificate-authority.name |
Chaîne | Utilisez cette variable pour contrôler l'accès à un délégué d'autorité de certification en fonction du nom de l'autorité de certification. | |
target.issuer-certificate-authority.id |
Chaîne | Utilisez cette variable pour contrôler l'accès à un délégué d'autorité de certification en fonction de l'OCID de l'autorité de certification de l'émetteur. | |
target.resource.type |
Chaîne | Utilisez cette variable pour contrôler l'accès aux délégués d'autorité de certification en fonction du type de ressource correspondant au délégué, qu'il s'agisse de la ressource leaf-certificate , certificate-authority ou cabundle . |
|
leaf-certificates | target.leaf-certificate.allow-wildcard
|
Chaîne | Utilisez cette variable pour contrôler l'accès à un certificat selon que le nom commun du certificat ou le nom de remplacement du sujet inclut un caractère générique. |
target.leaf-certificate.alt-subject
|
Liste | Utilisez cette variable pour contrôler l'accès à un certificat en fonction du nom de remplacement de sujet du certificat. | |
target.leaf-certificate.alt-subject-size
|
Chaîne | Utilisez cette variable pour contrôler l'accès à un certificat en fonction du nombre de noms de remplacement de sujet du certificat. | |
target.leaf-certificate.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à un certificat en fonction de l'OCID du certificat. (Vous ne pouvez pas utiliser cette variable lors de la création d'un certificat, car il n'y a pas d'OCID pour ce certificat qui n'existe pas encore.) | |
target.leaf-certificate.name
|
Chaîne | Utilisez cette variable pour contrôler l'accès à un certificat en fonction du nom du certificat. | |
target.issuer-certificate-authority.id
|
Chaîne | Utilisez cette variable pour contrôler l'accès à un certificat en fonction de l'OCID de l'autorité de certification de l'émetteur. | |
target.leaf-certificate.profile-type
|
Chaîne | Utilisez cette variable pour contrôler l'accès aux certificats en fonction du type de profil de certificat. Les types de profil de certificat sont notamment TLS_SERVER_OR_CLIENT , TLS_SERVER , TLS_CLIENT et TLS_CODE_SIGN . |
|
target.leaf-certificate.subject |
Chaîne | Utilisez cette variable pour contrôler l'accès à un certificat en fonction du sujet du certificat. | |
target.leaf-certificate.type |
Chaîne | Utilisez cette variable pour contrôler l'accès à un certificat selon la manière dont le certificat a été créé. Les types de configuration de certificat sont notamment MANAGED_EXTERNALLY_ISSUED_BY_INTERNAL_CA , ISSUED_BY_INTERNAL_CA ou IMPORTED . |
|
leaf-certificate-versions | target.leaf-certificate.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à une version de certificat en fonction de l'OCID du certificat. Utilisez cette variable pour contrôler si les volumes par blocs ou les seaux peuvent être créés sans une clé de chiffrement principale du service de chambre forte. |
target.leaf-certificate.name |
Chaîne | Utilisez cette variable pour contrôler l'accès à une version de certificat en fonction du nom du certificat. | |
leaf-certificate-bundles | target.leaf-certificate.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à un ensemble de certificats en fonction de l'OCID du certificat. |
target.leaf-certificate.name |
Chaîne | Utilisez cette variable pour contrôler l'accès à un ensemble de certificats en fonction du nom du certificat. | |
target.leaf-certificate.bundle-type |
Chaîne | Utilisez cette variable pour contrôler l'accès à un ensemble de certificats en fonction du type d'ensemble de certificats. Les types d'ensemble de certificats comprennent CERTIFICATE_CONTENT_PUBLIC_ONLY et CERTIFICATE_CONTENT_WITH_PRIVATE_KEY . |
|
certificate-associations | target.association.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à une association de certificat en fonction de l'OCID de l'association. (Vous ne pouvez pas utiliser cette variable lors de la création d'une association de certificat, car il n'y a pas d'OCID pour cette association qui n'existe pas encore.) |
target.association.name
|
Chaîne | Utilisez cette variable pour contrôler l'accès à un ensemble de certificats en fonction du nom de l'association d'ensemble de certificats. | |
target.association.resourceid
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à un ensemble de certificats en fonction de l'OCID de la ressource ciblée dans l'association d'ensemble de certificats. | |
target.leaf-certificate.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à une association de certificat en fonction de l'OCID du certificat. | |
target.leaf-certificate.name |
Chaîne | Utilisez cette variable pour contrôler l'accès à une association de certificat en fonction du nom du certificat. | |
cabundles | target.cabundle.id |
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à un ensemble AC en fonction de l'OCID de l'ensemble AC. (Vous ne pouvez pas utiliser cette variable lors de la création d'un ensemble AC, car il n'y a pas d'OCID pour cet ensemble AC qui n'existe pas encore.) |
target.cabundle.name |
Chaîne | Utilisez cette variable pour contrôler l'accès à un ensemble AC en fonction du nom de l'ensemble AC. | |
cabundle-associations | target.association.id |
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à une association d'ensemble AC en fonction de l'OCID de l'association d'ensemble. |
target.association.name |
Chaîne | Utilisez cette variable pour contrôler l'accès à une association d'ensemble AC en fonction du nom de l'association d'ensemble. (Vous ne pouvez pas utiliser cette variable lors de la création d'une association d'ensemble AC, car il n'y a pas d'OCID pour cette association qui n'existe pas encore.) | |
target.association.resourceid |
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à une association d'ensemble AC en fonction de l'OCID de la ressource configurée dans l'association. | |
target.cabundle.id |
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à une association d'ensemble AC en fonction de l'OCID de l'ensemble. | |
target.cabundle.name |
Chaîne | Utilisez cette variable pour contrôler l'accès à une association d'ensemble AC en fonction du nom de l'ensemble. |
Informations détaillées sur les combinaisons Verbe + Type de ressource
Il est recommandé de comprendre l'accès incrémentiel accordé par chaque verbe pour chaque type de ressource afin de pouvoir écrire des politiques qui accordent uniquement l'accès requis et rien de plus.
Les tableaux suivants présentent les autorisations et les opérations d'API couvertes par chaque verbe. Le niveau d'accès est cumulatif depuis inspect
> read
> use
> manage
. Un signe plus (+) dans une cellule de tableau indique un accès incrémentiel comparé à la cellule directement au-dessus, alors que "aucun accès supplémentaire" indique qu'il n'y a aucun accès incrémentiel.
Par exemple, le verbe use
pour le type de ressource cabundles
inclut les mêmes autorisations et opérations d'API que le verbe read
, plus l'autorisation CABUNDLE_UPDATE et l'opération d'API UpdateCaBundle
. Le verbe manage
permet même plus d'autorisations et d'opérations d'API que le verbe use
.
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect |
CERTIFICATE_INSPECT |
ListCertificates
|
aucune |
read |
INSPECT + CERTIFICATE_READ |
INSPECT +
|
aucune |
use |
READ + CERTIFICATE_UPDATE |
aucun accès supplémentaire |
|
manage |
USE + CERTIFICATE_CREATE CERTIFICATE_DELETE CERTIFICATE_MOVE |
USE +
|
|
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect |
CERTIFICATE_VERSION_INSPECT |
ListCertificateVersions
|
aucune |
read |
INSPECT + CERTIFICATE_VERSION_READ |
INSPECT +
|
aucune |
use |
READ + aucun accès supplémentaire |
aucune |
aucune |
manage |
USE + CERTIFICATE_VERSION_REVOKE CERTIFICATE_VERSION_DELETE |
aucune |
|
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect |
CERTIFICATE_BUNDLE_INSPECT |
ListCertificateBundleVersions
|
aucune |
read |
INSPECT + CERTIFICATE_BUNDLE_READ |
INSPECT +
Note : L'autorisation requise pour cette opération dépend du paramètre d'interrogation Si Si |
aucune |
use |
READ + aucun accès supplémentaire |
aucune |
aucune |
manage |
USE+ aucun accès supplémentaire |
aucune |
|
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect |
CABUNDLE_INSPECT |
ListCaBundles
|
aucune |
read |
INSPECT + CABUNDLE_READ |
INSPECT +
|
aucune |
use |
READ + CABUNDLE_UPDATE |
READ+
|
aucune |
manage |
USE + CABUNDLE_CREATE CABUNDLE_DELETE CABUNDLE_MOVE |
USE +
|
aucune |
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect |
CERTIFICATE_ASSOCIATION_INSPECT |
ListAssociations
|
aucune |
read |
INSPECT + CERTIFICATE_ASSOCIATION_READ |
INSPECT +
|
aucune |
use |
READ + aucun accès supplémentaire |
aucune |
aucune |
manage |
USE + CERTIFICATE_ASSOCIATION_CREATE CERTIFICATE_ASSOCIATION_DELETE |
USE +
|
aucune |
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect |
CABUNDLE_ASSOCIATION_INSPECT |
ListAssociations
|
aucune |
read |
INSPECT + CABUNDLE_ASSOCIATION_READ |
INSPECT +
|
aucune |
use |
READ + aucun accès supplémentaire |
aucune |
aucune |
manage |
USE + CABUNDLE_ASSOCIATION_CREATE CABUNDLE_ASSOCIATION_DELETE |
USE +
|
aucune |
Autorisations requises pour chaque opération d'API
Le tableau suivant répertorie les opérations d'API dans un ordre logique, regroupées par type de ressource.
Pour plus d'informations sur les autorisations, voir Autorisations.
Opération d'API | Autorisations requises pour utiliser l'opération |
---|---|
ListCertificateAuthorities
|
CERTIFICATE_AUTHORITY_INSPECT |
GetCertificateAuthority
|
CERTIFICATE_AUTHORITY_READ |
CreateCertificateAuthority
|
CERTIFICATE_AUTHORITY_CREATE et CERTIFICATE_AUTHORITY_APPLY |
UpdateCertificateAuthority
|
CERTIFICATE_AUTHORITY_UPDATE et CERTIFICATE_AUTHORITY_APPLY |
ChangeCertificateAuthorityCompartment |
CERTIFICATE_AUTHORITY_MOVE |
ScheduleCertificateAuthorityDeletion |
CERTIFICATE_AUTHORITY_DELETE |
CancelCertificateAuthorityDeletion |
CERTIFICATE_AUTHORITY_DELETE |
ListCertificateAuthorityVersions |
CERTIFICATE_AUTHORITY_VERSION_INSPECT |
GetCertificateAuthorityVersion |
CERTIFICATE_AUTHORITY_VERSION_READ |
RevokeCertificateAuthorityVersion |
CERTIFICATE_AUTHORITY_VERSION_REVOKE, CERTIFICATE_AUTHORITY_UPDATE et CERTIFICATE_AUTHORITY_APPLY |
ScheduleCertificateAuthorityVersionDeletion |
CERTIFICATE_AUTHORITY_VERSION_DELETE et CERTIFICATE_AUTHORITY_UPDATE |
CancelCertificateAuthorityVersionDeletion |
CERTIFICATE_AUTHORITY_VERSION_DELETE et CERTIFICATE_AUTHORITY_UPDATE |
ListCertificateAuthorityBundleVersions |
CERTIFICATE_AUTHORITY_BUNDLE_INSPECT |
GetCertificateAuthorityBundle |
CERTIFICATE_AUTHORITY_BUNDLE_READ |
ListCertificates |
CERTIFICATE_INSPECT |
GetCertificate |
CERTIFICATE_READ |
CreateCertificate |
CERTIFICATE_CREATE et CERTIFICATE_AUTHORITY_APPLY |
UpdateCertificate |
CERTIFICATE_UPDATE et CERTIFICATE_AUTHORITY_APPLY |
ChangeCertificateCompartment |
CERTIFICATE_MOVE |
ScheduleCertificateDeletion |
CERTIFICATE_DELETE |
CancelCertificateDeletion |
CERTIFICATE_DELETE |
ListCertificateVersions |
CERTIFICATE_VERSION_INSPECT |
GetCertificateVersion |
CERTIFICATE_VERSION_READ |
RevokeCertificateVersion |
CERTIFICATE_VERSION_REVOKE, CERTIFICATE_UPDATE et CERTIFICATE_AUTHORITY_APPLY |
ScheduleCertificateVersionDeletion |
CERTIFICATE_VERSION_DELETE et CERTIFICATE_UPDATE |
CancelCertificateVersionDeletion |
CERTIFICATE_VERSION_DELETE et CERTIFICATE_UPDATE |
ListCertificateBundleVersions |
CERTIFICATE_BUNDLE_INSPECT |
GetCertificateBundle |
CERTIFICATE_BUNDLE_READ Pour plus de détails, voir leaf-certificate-bundles. |
ListCaBundles
|
CABUNDLE_INSPECT |
GetCaBundle |
CABUNDLE_READ |
CreateCaBundle |
CABUNDLE_CREATE |
UpdateCaBundle |
CABUNDLE_UPDATE |
ChangeCaBundleCompartment |
CABUNDLE_MOVE |
DeleteCaBundle |
CABUNDLE_DELETE |
ListAssociations |
CERTIFICATE_AUTHORITY_ASSOCIATION_INSPECT (pour certificate-authorities), CERTIFICATE_ASSOCIATION_INSPECT (pour leaf-certificates) ou CABUNDLE_ASSOCIATION_INSPECT (pour cabundles) |
GetAssociation |
CERTIFICATE_AUTHORITY_ASSOCIATION_READ (pour certificate-authorities), CERTIFICATE_ASSOCIATION_READ (pour leaf-certificates) ou CABUNDLE_ASSOCIATION_READ (pour cabundles) |
DeleteAssociation |
CERTIFICATE_AUTHORITY_ASSOCIATION_DELETE (pour certificate-authorities), CERTIFICATE_ASSOCIATION_DELETE (pour leaf-certificates) ou CABUNDLE_ASSOCIATION_DELETE (pour cabundles) |