Informations détaillées sur les services de stockage d'archives, de stockage d'objets et de transfert de données
Cette rubrique présente des informations détaillées sur l'écriture de politiques permettant de contrôler l'accès aux services Stockage d'archives, Stockage d'objets et Transfert de données.
Les politiques de cycle de vie des objets exigent que vous accordiez des autorisations au service Stockage d'objets pour archiver et supprimer des objets en votre nom. Pour plus d'informations, voir Utilisation des politiques de cycle de vie des objets.
Types de ressource
Types de ressource individuels
objectstorage-namespaces
buckets
objects
Type de ressource agrégé
object-family
Une politique utilisant <verb> object-family
équivaut à une politique ayant un énoncé <verb> <individual resource-type>
distinct pour chacun des types de ressource individuels.
Voir le tableau sous Informations détaillées sur les combinaisons Verbe + Type de ressource pour plus de détails sur les opérations d'API couvertes par chaque verbe, pour chaque type de ressource individuel inclus dans object-family
.
Type de ressource supplémentaire pour le service Transfert de données
data-transfer-jobs
Variables prises en charge
Le service Stockage d'objets prend en charge toutes les variables générales (voir Variables générales pour toutes les demandes), plus celles répertoriées ici :
Opérations pour ce type de ressource... | Peut utiliser cette variable | Type de variable | Commentaires |
---|---|---|---|
buckets et objects |
target.bucket.name
|
Chaînes et modèles | Utilisez cette variable pour contrôler l'accès à un seau spécifique. Pour un exemple de politique, voir Permettre aux utilisateurs d'écrire des objets dans les seaux de stockage d'objets. Important : La correspondance des conditions n'est pas sensible à la casse. Si vous avez un seau nommé "BucketA" et un compartiment nommé "bucketA", la condition where target.bucket.name="BucketA" s'applique aux deux. Pour éviter les problèmes potentiels liés aux noms de ressource dans la politique, donnez des noms distincts aux ressources. |
buckets et objects |
target.bucket.tag.<TagNamespace>.<TagKeyDefinition> |
Chaîne | Utilisez cette variable pour contrôler l'accès aux seaux qui comportent le marqueur spécifique. Voir Permettre aux utilisateurs d'écrire des objets dans les seaux de stockage d'objets. Important : Vous ne pouvez pas utiliser cette variable pour des opérations CreateBucket et des opérations impliquant plusieurs seaux tels que ListBucket . |
objects |
target.object.name |
Chaînes et modèles | Utilisez cette variable pour contrôler l'accès à un objet ou à des modèles d'objet spécifiques. |
Les variables
request.ipv4.ipaddress
et request.vcn.id
sont obsolètes. Au lieu d'utiliser ces variables, créez une source de réseau pour spécifier un intervalle d'adresses IP ou un ID réseau en nuage virtuel spécifique. Vous pouvez ensuite utiliser la source de réseau dans votre politique pour limiter l'accès uniquement aux demandes qui proviennent des réseaux autorisés. Pour plus d'informations, voir Aperçu des sources de réseau.Informations détaillées sur les combinaisons Verbe + Type de ressource
Les tableaux suivants présentent les autorisations et les opérations d'API couvertes par chaque verbe. Le niveau d'accès est cumulatif depuis inspect
> read
> use
> manage
. Par exemple, un groupe qui peut utiliser une ressource peut également inspecter et lire cette ressource. Un signe plus (+) dans une cellule de tableau indique un accès incrémentiel comparé à la cellule directement au-dessus, alors que "aucun accès supplémentaire" indique qu'il n'y a aucun accès incrémentiel.
Pour les types de ressource object-family
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
read | Aucune |
GetNamespace
|
aucune |
manage | OBJECTSTORAGE_NAMESPACE_READ OBJECTSTORAGE_NAMESPACE_UPDATE |
|
aucune |
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | BUCKET_INSPECT |
|
aucune |
read | INSPECT + BUCKET_READ |
INSPECT +
|
aucune |
use | READ + BUCKET_UPDATE |
READ +
|
PutObjectLifecyclePolicy
|
manage | USE + BUCKET_CREATE BUCKET_DELETE PAR_MANAGE RETENTION_RULE_MANAGE RETENTION_RULE_LOCK (si vous utilisez un verrouillage de règle facultatif) |
USE +
|
|
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | OBJECT_INSPECT |
|
aucune |
read | INSPECT + OBJECT_READ |
INSPECT +
|
aucune |
use | READ + OBJECT_OVERWRITE |
READ +
|
READ +
|
manage | USE + OBJECT_CREATE OBJECT_DELETE OBJECT_VERSION_DELETE OBJECT_RESTORE OBJECT_UPDATE_TIER |
USE +
|
|
Les politiques relatives aux tâches de transfert de données requièrent également la gestion des objets ou la gestion des objets et des seaux. Voir Création des utilisateurs, groupes et politiques GIA requis pour plus de détails.
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | TRANSFER_JOB_INSPECT |
aucune API destinée au client |
aucune API destinée au client |
read | INSPECT + TRANSFER_JOB_READ |
INSPECT + aucune API destinée au client |
aucune API destinée au client |
use | READ + TRANSFER_JOB_UPDATE |
READ + aucune API destinée au client |
READ + aucune API destinée au client |
manage | USE + TRANSFER_JOB_CREATE TRANSFER_JOB_DELETE |
USE + aucune API destinée au client |
USE + aucune API destinée au client |
Autorisations requises pour chaque opération d'API
Le tableau suivant répertorie les opérations d'API dans un ordre logique, regroupées par type de ressource.
Pour plus d'informations sur les autorisations, voir Autorisations.
Opération d'API | Autorisations requises pour utiliser l'opération |
---|---|
GetNamespace
|
L'API ne requiert aucune autorisation et retourne l'espace de noms du programme d'appel. Utilisez l'API pour valider vos données d'identification. L'autorisation OBJECTSTORAGE_NAMESPACE_READ est requise si vous incluez le paramètre facultatif |
GetNamespaceMetadata
|
OBJECTSTORAGE_NAMESPACE_READ |
UpdateNamespaceMetadata
|
OBJECTSTORAGE_NAMESPACE_UPDATE |
CreateBucket
|
BUCKET_CREATE |
UpdateBucket
|
BUCKET_UPDATE |
GetBucket
|
BUCKET_READ |
HeadBucket
|
BUCKET_INSPECT |
ListBuckets
|
BUCKET_INSPECT |
DeleteBucket
|
BUCKET_DELETE |
ReencryptBucket
|
BUCKET_UPDATE |
PutObject
|
L'autorisation requise est fonction de l'existence ou de l'absence de l'objet dans le seau :
|
RenameObject
|
OBJECT_CREATE et OBJECT_OVERWRITE |
GetObject
|
OBJECT_READ |
HeadObject
|
OBJECT_READ ou OBJECT_INSPECT |
DeleteObject
|
OBJECT_DELETE |
DeleteObjectVersion
|
OBJECT_VERSION_DELETE |
ListObjects
|
OBJECT_INSPECT |
ReencryptObject
|
OBJECT_READ & OBJECT_OVERWRITE |
RestoreObjects
|
OBJECT_RESTORE |
UpdateObjectStorageTier |
OBJECT_UPDATE_TIER |
CreateMultipartUpload
|
OBJECT_CREATE et OBJECT_OVERWRITE |
UploadPart
|
OBJECT_CREATE et OBJECT_OVERWRITE |
CommitMultipartUpload
|
OBJECT_CREATE et OBJECT_OVERWRITE |
ListMultipartUploadParts
|
OBJECT_INSPECT |
ListMultipartUploads
|
BUCKET_READ |
AbortMultipartUpload
|
OBJECT_DELETE |
CreatePreauthenticatedRequest
|
PAR_MANAGE |
GetPreauthenticatedRequest
|
PAR_MANAGE ou BUCKET_READ |
ListPreauthenticatedRequests
|
PAR_MANAGE ou BUCKET_READ |
DeletePreauthenticatedRequest
|
PAR_MANAGE |
PutObjectLifecyclePolicy
|
BUCKET_UPDATE, OBJECT_CREATE et OBJECT_DELETE |
GetObjectLifecyclePolicy
|
BUCKET_READ |
DeleteObjectLifecyclePolicy
|
BUCKET_UPDATE |
CreateRetentionRule
|
BUCKET_UPDATE & RETENTION_RULE_MANAGE (& RETENTION_RULE_LOCK) |
GetRetentionRule
|
BUCKET_READ |
ListRetentionRule
|
BUCKET_READ |
UpdateRetentionRule
|
BUCKET_UPDATE & RETENTION_RULE_MANAGE (& RETENTION_RULE_LOCK) |
DeleteRetentionRule
|
BUCKET_UPDATE & RETENTION_RULE_MANAGE |
CreateCopyRequest
|
OBJECT_READ, OBJECT_CREATE, OBJECT_OVERWRITE et OBJECT_INSPECT |
GetWorkRequest
|
OBJECT_READ |
ListWorkRequests
|
OBJECT_INSPECT |
CancelWorkRequest
|
OBJECT_DELETE |
CreateReplicationPolicy
|
OBJECT_READ, OBJECT_CREATE, OBJECT_OVERWRITE, OBJECT_INSPECT, OBJECT_DELETE, OBJECT_RESTORE, BUCKET_READ et BUCKET_UPDATE |
GetReplicationPolicy
|
BUCKET_READ |
DeleteReplicationPolicy
|
OBJECT_READ, OBJECT_CREATE, OBJECT_OVERWRITE, OBJECT_INSPECT, OBJECT_DELETE, OBJECT_RESTORE, BUCKET_READ et BUCKET_UPDATE |
ListReplicationPolicies
|
BUCKET_READ |
ListReplicationSources
|
BUCKET_READ |
MakeBucketWritable
|
OBJECT_READ, OBJECT_CREATE, OBJECT_OVERWRITE, OBJECT_INSPECT, OBJECT_DELETE, BUCKET_READ et BUCKET_UPDATE |