Informations de référence sur les politiques

Obtenez des informations de référence sur les politiques GIA, telles que verbes, types de ressources et variables générales.

Ces informations de référence comprennent les éléments suivants :

Pour des instructions sur la création et la gestion des politiques à l'aide de la console ou de l'API, voir Aperçu de l'utilisation des politiques.

Verbes

Les verbes sont listés dans l'ordre croissant, de l'accès le plus restreint à l'accès le plus large. La signification exacte d'un verbe dépend du type de ressource auquel il est associé. Les tableaux figurant plus loin dans cette section présentent les opérations d'API couvertes par chaque combinaison de verbe et de type de ressource.

Verbe Utilisateur cible Types d'accès couverts
inspect Vérificateurs tiers Capacité de lister les ressources, sans accès aux informations confidentielles ou aux métadonnées définies par l'utilisateur qui pourraient faire partie de cette ressource. Important : L'opération permettant de lister les politiques inclut le contenu des politiques elles-mêmes. Les opérations de liste pour les types de ressource Réseau retournent toutes les informations (par exemple, le contenu des listes de sécurité et des tables de routage).
read Vérificateurs internes Inclut inspect plus la possibilité d'obtenir des métadonnées spécifiées par l'utilisateur et la ressource réelle proprement dite.
use Utilisateurs quotidiens de ressources Inclut read plus la possibilité d'utiliser des ressources existantes (les actions varient en fonction du type de ressource). Inclut la capacité de mettre à jour la ressource, sauf pour les types de ressource où l'opération de mise à jour "a la même incidence que l'opération de création (par exemple, UpdatePolicy, UpdateSecurityList, etc.), auquel cas la capacité de mise à jour n'est disponible qu'avec le verbe manage. En général, ce verbe ne permet pas de créer ou de supprimer ce type de ressource.
manage Administrateurs Inclut toutes les autorisations pour la ressource.

Types de ressource

Voici quelques types de ressource de famille courants. Pour les types de ressource individuels qui composent chaque famille, suivez les liens.

IAM n'a pas de type de ressource de famille, mais seulement des ressources individuelles. Voir Aperçu des politiques IAM ou Informations détaillées sur le service IAM sans domaines d'identité, selon que votre location comporte ou non des domaines d'identité.

Variables générales pour toutes les demandes

Vous utilisez des variables lors de l'ajout de conditions à une politique. Pour plus d'information, voir Conditions. Voici les variables générales applicables à toutes les demandes.

Nom Type Description
request.user.id Entité (OCID) OCID de l'utilisateur à l'origine de la demande.
request.user.name Chaîne Nom de l'utilisateur demandeur.
request.user.mfaTotpVerified Valeur booléenne

Indique si l'utilisateur a été vérifié par l'authentification multifacteur. Pour limiter l'accès aux utilisateurs vérifiés par l'authentification multifacteur uniquement, ajoutez la condition

where request.user.mfaTotpVerified='true'

Voir Gestion de l'authentification multifacteur pour des informations sur la configuration de l'authentification multifacteur.

request.groups.id Liste des entités (OCID) OCID des groupes dans lesquels se trouve l'utilisateur demandeur.
request.permission Chaîne Autorisation sous-jacente demandée (voir Autorisations).
request.operation Chaîne Nom de l'opération d'API demandée (par exemple, ListUsers).
request.networkSource.name Chaîne Nom du groupe de sources de réseau qui spécifie les adresses IP autorisées à l'origine de la demande. Voir Gestion des sources de réseau pour plus d'informations.
request.utc-timestamp Chaîne Heure UTC à laquelle la demande est soumise, spécifiée au format ISO 8601. Pour plus d'informations, voir Restriction de l'accès aux ressources par période.
request.utc-timestamp.month-of-year Chaîne Mois où la demande est soumise, spécifié au format ISO 8601 numérique (par exemple, '1', '2', '3', ... '12'). Pour plus d'informations, voir Restriction de l'accès aux ressources par période.
request.utc-timestamp.day-of-month Chaîne Jour du mois où la demande est soumise, spécifié au format numérique '1' - '31'. Pour plus d'informations, voir Restriction de l'accès aux ressources par période.
request.utc-timestamp.day-of-week Chaîne Jour de la semaine où la demande est soumise, spécifié en anglais (par exemple, 'Monday', 'Tuesday', 'Wednesday', etc.). Pour plus d'informations, voir Restriction de l'accès aux ressources par période.
request.utc-timestamp.time-of-day Chaîne Intervalle de temps UTC durant lequel la demande est soumise, spécifié au format ISO 8601 (par exemple, '01:00:00Z' AND '02:01:00Z'). Pour plus d'informations, voir Restriction de l'accès aux ressources par période.
request.region Chaîne

Clé de tierce partie pour la région dans laquelle la demande est faite. Les valeurs autorisées sont les suivantes :

Note : Pour les politiques de quotas, le nom de la région doit être spécifié au lieu des valeurs de clé de 3 lettres suivantes. Pour plus d'informations, consultez également la rubrique Exemples de quotas.

  • AMS - À utiliser pour Pays-Bas - Nord-Ouest (Amsterdam)
  • ARN - À utiliser pour Suède - Centre (Stockholm)
  • AUH - À utiliser pour Émirats arabes unis - Centre (Abu Dhabi)
  • BEG - à utiliser pour Serbia Central (Jovanovac)
  • BOG - à utiliser pour Colombia Central (Bogota)
  • BOM - À utiliser pour Inde - Ouest (Bombay)
  • CDG - à utiliser pour France Central (Paris)
  • CWL - À utiliser pour Royaume-Uni - Ouest (Newport)
  • DXB - À utiliser pour Émirats arabes unis - Est (Dubaï)
  • FRA - À utiliser pour Allemagne - Centre (Francfort)
  • GRU - À utiliser pour Brésil - Est (Sao Paulo)
  • HSG - utilisation pour Indonésie Nord (Batam)
  • HYD - À utiliser pour Inde - Sud (Hyderabad)
  • IAD - À utiliser pour États-Unis - Est (Ashburn)
  • ICN - À utiliser pour Corée du Sud - Centre (Séoul)
  • JED - À utiliser pour Arabie saoudite - Ouest (Jeddah)
  • JNB - À utiliser pour Afrique du Sud - Centre (Johannesburg)
  • KIX - À utiliser pour Japon - Centre (Osaka)
  • LHR - À utiliser pour Royaume-Uni - Sud (Londres)
  • LIN - À utiliser pour Italie - Nord-Ouest (Milan)
  • MAD - à utiliser pour Spain Central (Madrid)
  • MEL - À utiliser pour Australie - Sud-Est (Melbourne)
  • MRS - À utiliser pour France - Sud (Marseille)
  • MTY - à utiliser pour le Mexique, au nord-est (Monterrey)
  • MTZ - À utiliser pour Israël - Centre (Jérusalem)
  • NRT - À utiliser pour Japon - Est (Tokyo)
  • ORD - À utiliser pour les États-Unis - Midwest (Chicago)
  • PHX - À utiliser pour États-Unis - Ouest (Phoenix)
  • QRO - À utiliser pour Mexico Central (Queretaro)
  • RUH - à utiliser pour Saudi Arabia Central (Riyad)
  • SCL - à utiliser pour Chile Central (Santiago)
  • SIN - À utiliser pour Singapour (Singapour)
  • SJC - À utiliser pour États-Unis - Ouest (San Jose)
  • SYD - À utiliser pour Australie - Est (Sydney)
  • VAP - à utiliser pour Chile West (Valparaiso)
  • VCP - À utiliser pour Brésil - Sud-Est (Vinhedo)
  • XSP - à utiliser pour Singapour Ouest (Singapour)
  • YNY - À utiliser pour Corée du Sud - Nord (Chuncheon).
  • YUL - À utiliser pour Canada - Sud-Est (Montréal)
  • YYZ - À utiliser pour Canada - Sud-Est (Toronto)
  • ZRH - À utiliser pour Suisse - Nord (Zurich)
request.ad Chaîne Nom du domaine de disponibilité dans lequel la demande est effectuée. Pour une liste des noms de domaine de disponibilité, utilisez l'opération ListAvailabilityDomains.
request.principal.compartment.tag Chaîne Les marqueurs appliqués au compartiment auquel appartient la ressource à l'origine de la demande sont évalués pour une correspondance. Pour obtenir des instructions d'utilisation, voir Utilisation des marqueurs pour gérer l'accès.
request.principal.group.tag Chaîne Les marqueurs appliqués aux groupes auxquels appartient l'utilisateur sont évalués pour une correspondance. Pour obtenir des instructions d'utilisation, voir Utilisation des marqueurs pour gérer l'accès.
target.compartment.name Chaîne Nom du compartiment indiqué dans target.compartment.id.
target.compartment.id Entité (OCID)

OCID du compartiment contenant la ressource principale.

Note : target.compartment.id et target.compartment.name ne peuvent pas être utilisés avec une opération d'API de liste pour filtrer la liste en fonction de l'accès de l'utilisateur demandeur au compartiment.

target.resource.compartment.tag Chaîne  Le marqueur appliqué au compartiment cible de la demande est évalué. Pour obtenir des instructions d'utilisation, voir Utilisation des marqueurs pour gérer l'accès.
target.resource.tag Chaîne  Le marqueur appliqué à la ressource cible de la demande est évalué. Pour obtenir des instructions d'utilisation, voir Utilisation des marqueurs pour gérer l'accès.