Informations détaillées sur le service de stockage de fichiers
Cette rubrique présente des informations détaillées sur l'écriture de politiques permettant de contrôler l'accès au service Stockage de fichiers.
Type de ressource agrégé
-
file-family
Types de ressource individuels
file-systems
mount-targets
outbound-connectors
export-sets
replications
replication-targets
filesystem-snapshot-policies
Commentaires
Une politique utilisant <verb> file-family
équivaut à une politique ayant un énoncé <verb> <individual resource-type>
distinct pour chacun des types de ressource individuels.
Voir le tableau sous Informations détaillées sur les combinaisons Verbe + Type de ressource pour plus de détails sur les opérations d'API couvertes par chaque verbe, pour chaque type de ressource individuel inclus dans file-family
.
Variables prises en charge
Seules les variables générales sont prises en charge (voir Variables générales pour toutes les demandes).
Informations détaillées sur les combinaisons Verbe + Type de ressource
Les tableaux suivants présentent les autorisations et les opérations d'API couvertes par chaque verbe. Le niveau d'accès est cumulatif depuis inspect
> read
> use
> manage
. Par exemple, un groupe qui peut utiliser une ressource peut également inspecter et lire cette ressource. Un signe plus (+) dans une cellule de tableau indique un accès incrémentiel comparé à la cellule directement au-dessus, alors que "aucun accès supplémentaire" indique qu'il n'y a aucun accès incrémentiel.
Par exemple, le verbe read
pour le type de ressource file-systems
inclut les mêmes autorisations et opérations d'API que le verbe inspect
, plus l'autorisation FILE_SYSTEM_READ et un certain nombre d'opérations d'API (par exemple, GetFileSystem
, ListMountTargets
, etc.). Le verbe use
couvre une autre autorisation et un jeu d'opérations d'API par rapport au verbe read
. Enfin, manage
couvre deux autres autorisations et opérations par rapport au verbe use
.
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | EXPORT_SET_INSPECT |
ListExportSets
|
aucune |
read | INSPECT + EXPORT_SET_READ |
INSPECT +
|
aucune |
use | aucun accès supplémentaire |
aucun accès supplémentaire |
aucune |
manage | USE + EXPORT_SET_CREATE EXPORT_SET_UPDATE EXPORT_SET_DELETE |
USE +
|
(les deux requièrent également |
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect |
FILE_SYSTEM_INSPECT |
ListFileSystems
|
aucune |
read |
INSPECT + FILE_SYSTEM_READ |
INSPECT +
|
aucune |
use |
READ + FILE_SYSTEM_NFSv3_EXPORT FILE_SYSTEM_NFSv3_UNEXPORT FILE_SYSTEM_CLONE FILE_SYSTEM_REPLICATION_SOURCE |
aucun accès supplémentaire |
(les deux requièrent également |
manage |
USE + FILE_SYSTEM_CREATE FILE_SYSTEM_UPDATE FILE_SYSTEM_DELETE FILE_SYSTEM_MOVE FILE_SYSTEM_CREATE_SNAPSHOT FILE_SYSTEM_DELETE_SNAPSHOT FILE_SYSTEM_CLONE FILE_SYSTEM_REPLICATION_TARGET |
USE +
|
Si vous créez un système de fichiers ou un clone chiffré avec une clé de chiffrement principale du service de gestion des clés, vous devez également disposer de l'autorisation Lors du clonage d'un système de fichiers, l'API |
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect |
FILESYSTEM_SNAPSHOT_POLICY_INSPECT |
ListFilesystemSnapshotPolicies
|
aucune |
read |
INSPECT + FILESYSTEM_SNAPSHOT_POLICY_READ |
ListFilesystemSnapshotPolicies
|
aucune |
use |
READ + FILE_SYSTEM_UPDATE_FILESYSTEM_SNAPSHOT_POLICY |
ListFilesystemSnapshotPolicies
|
aucune |
manage |
USE + FILESYSTEM_SNAPSHOT_POLICY_CREATE FILESYSTEM_SNAPSHOT_POLICY_UPDATE FILESYSTEM_SNAPSHOT_POLICY_MOVE FILESYSTEM_SNAPSHOT_POLICY_DELETE |
ListFilesystemSnapshotPolicies
|
aucune |
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | MOUNT_TARGET_INSPECT |
ListMountTargets
|
aucune |
read | INSPECT + MOUNT_TARGET_READ |
INSPECT +
|
aucune |
use | aucun accès supplémentaire |
aucun accès supplémentaire |
aucune |
manage | USE + MOUNT_TARGET_CREATE MOUNT_TARGET_UPDATE MOUNT_TARGET_DELETE MOUNT_TARGET_MOVE |
USE +
(les deux requièrent également
|
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect |
OUTBOUND_CONNECTOR_INSPECT |
ListOutboundConnectors
|
aucune |
read |
INSPECT + OUTBOUND_CONNECTOR_READ |
INSPECT +
|
aucune |
use |
aucun accès supplémentaire |
aucun accès supplémentaire |
aucune |
manage |
USE + OUTBOUND_CONNECTOR_CREATE OUTBOUND_CONNECTOR_UPDATE OUTBOUND_CONNECTOR_DELETE OUTBOUND_CONNECTOR_MOVE |
USE +
|
aucune |
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect |
REPLICATION_INSPECT |
ListReplications
|
aucune |
read |
INSPECT + REPLICATION_READ |
INSPECT +
|
aucune |
use |
aucun accès supplémentaire |
aucun accès supplémentaire |
aucune |
manage |
USE + REPLICATION_CREATE REPLICATION_UPDATE REPLICATION_DELETE REPLICATION_MOVE |
USE +
|
aucune |
Autorisations requises pour chaque opération d'API
Le tableau suivant répertorie les opérations d'API dans un ordre logique, regroupées par type de ressource.
Si un groupe utilise la console pour créer des systèmes de fichiers, des autorisations de lecture des cibles de montage sont requises. Voir les exemples de politique du service de stockage de fichiers pour d'autres conseils.
Pour plus d'informations sur les autorisations, voir Autorisations.
Opération d'API | Autorisations requises pour utiliser l'opération |
---|---|
ListExports
|
EXPORT_SET_READ |
CreateExport
|
EXPORT_SET_UPDATE + FILE_SYSTEM_NFSv3_EXPORT |
GetExport
|
EXPORT_SET_READ |
DeleteExport
|
EXPORT_SET_UPDATE + FILE_SYSTEM_NFSv3_UNEXPORT |
ListExportSets
|
EXPORT_SET_INSPECT |
CreateExportSet
|
EXPORT_SET_CREATE |
GetExportSet
|
EXPORT_SET_READ |
UpdateExportSet
|
EXPORT_SET_UPDATE |
DeleteExportSet
|
EXPORT_SET_DELETE |
ListFileSystems
|
FILE_SYSTEM_INSPECT |
CreateFileSystem
|
FILE_SYSTEM_CREATE Lors du clonage d'un système de fichiers, FILE_SYSTEM_CLONE est également nécessaire L'association du système de fichiers à une politique d'instantané requiert également FILE_SYSTEM_UPDATE_FILESYSTEM_SNAPSHOT_POLICY |
GetFileSystem
|
FILE_SYSTEM_READ |
UpdateFileSystem
|
FILE_SYSTEM_UPDATE L'association du système de fichiers à une politique d'instantané requiert également FILE_SYSTEM_UPDATE_FILESYSTEM_SNAPSHOT_POLICY |
DeleteFileSystem
|
FILE_SYSTEM_DELETE |
ChangeFileSystemCompartment |
FILE_SYSTEM_MOVE |
GetFilesystemSnapshotPolicy |
FILESYSTEM_SNAPSHOT_POLICY_READ |
ListFilesystemSnapshotPolicies |
FILESYSTEM_SNAPSHOT_POLICY_INSPECT |
CreateFilesystemSnapshotPolicy |
FILESYSTEM_SNAPSHOT_POLICY_CREATE |
UpdateFilesystemSnapshotPolicy |
FILESYSTEM_SNAPSHOT_POLICY_UPDATE |
DeleteFilesystemSnapshotPolicy |
FILESYSTEM_SNAPSHOT_POLICY_DELETE |
MoveFilesystemSnapshotPolicy |
FILESYSTEM_SNAPSHOT_POLICY_MOVE |
ListMountTargets
|
MOUNT_TARGET_INSPECT |
CreateMountTarget
|
MOUNT_TARGET_CREATE + VNIC_CREATE(vnicCompartment) + SUBNET_ATTACH(subnetCompartment) + VNIC_ATTACH(vnicCompartment) + PRIVATE _IP_CREATE(subnetCompartment) + PRIVATE_IP_ASSIGN(subnetCompartment) + VNIC_ASSIGN(subnetCompartment) |
GetMountTarget
|
MOUNT_TARGET_READ |
UpdateMountTarget
|
MOUNT_TARGET_UPDATE |
DeleteMountTarget
|
MOUNT_TARGET_DELETE + VNIC_DELETE(vnicCompartment) + SUBNET_DETACH(subnetCompartment) + VNIC_DETACH(vnicCompartment) + PRIVATE_IP_DELETE(subnetCompartment) + PRIVATE_IP_UNASSIGN(subnetCompartment) + VNIC_UNASSIGN(vnicCompartment) |
ChangeMountTargetCompartment |
MOUNT_TARGET_MOVE |
ListOutboundConnectors |
OUTBOUND_CONNECTOR_INSPECT |
CreateOutboundConnector |
OUTBOUND_CONNECTOR_CREATE |
GetOutboundConnector |
OUTBOUND_CONNECTOR_READ |
UpdateOutboundConnector |
OUTBOUND_CONNECTOR_UPDATE |
DeleteOutboundConnector |
OUTBOUND_CONNECTOR_DELETE |
ChangeOutboundConnectorCompartment |
OUTBOUND_CONNECTOR_MOVE |
ListSnapshots
|
FILE_SYSTEM_READ |
CreateSnapshot
|
FILE_SYSTEM_CREATE_SNAPSHOT |
GetSnapshot
|
FILE_SYSTEM_READ |
DeleteSnapshot
|
FILE_SYSTEM_DELETE_SNAPSHOT |
GetReplication
|
REPLICATION_READ |
ListReplications
|
REPLICATION_INSPECT |
CreateReplication
|
REPLICATION_CREATE + FILE_SYSTEM_REPLICATION_SOURCE (système de fichiers source) + FILE_SYSTEM_REPLICATION_TARGET (système de fichiers cible) |
UpdateReplication
|
REPLICATION_UPDATE |
ChangeReplicationCompartment
|
REPLICATION_MOVE |
DeleteReplication
|
REPLICATION_DELETE |
DeleteReplicationTarget
|
REPLICATION_DELETE |