Documentation sur Oracle Cloud Infrastructure

Gestion des politiques

Cette rubrique explique comment créer, modifier et supprimer des politiques.

Politique GIA requise

Si vous êtes membre du groupe Administrateurs, vous disposez des droits d'accès requis pour gérer les politiques.

Pour en connaître davantage sur les politiques, voir Introduction aux politiques et Politiques communes. Pour plus de précisions sur l'écriture de politiques pour contrôler qui peut écrire des politiques ou gérer d'autres composants GIA, voir Permettre à un administrateur de compartiment de gérer le compartiment et Informations détaillées sur le service GIA sans domaines d'identité.

Marquage de ressources

Appliquez des marqueurs à vos ressources afin de les organiser en fonction des besoins de l'entreprise. Appliquez des marqueurs au moment de la création d'une ressource, ou mettez à jour la ressource plus tard avec les marqueurs souhaités. Pour des informations générales sur l'application de marqueurs, voir Marqueurs de ressource.

Utilisation des politiques

Si vous ne l'avez pas déjà fait, veillez à consulter Fonctionnement des politiques pour comprendre les principes de base associés.

Lors de la création d'une politique, vous devez spécifier le compartiment où elle doit être associée, qui est la location (compartiment racine) ou un autre compartiment. L'endroit où elle est associée détermine qui peut la modifier ou la supprimer. Pour plus d'informations, voir Association de politique. Lors de la création de la politique dans la console, vous l'attachez à un compartiment en la créant dans ce compartiment. Si vous utilisez l'API, vous spécifiez l'identificateur du compartiment dans la demande CreatePolicy.

Lors de la création d'une politique, vous devez également fournir pour celle-ci un nom qui n'est pas modifiable. Le nom doit être unique parmi toutes les politiques du compartiment dans lequel vous créez cette politique. Vous devez également fournir pour la politique une description qui n'est pas unique et est modifiable. Oracle affecte également à la politique un ID unique appelé Oracle Cloud ID. Pour plus d'informations, voir Identificateurs de ressource.

Note

Si vous supprimez une politique, et que vous créez ensuite une nouvelle politique avec le même nom, elles seront considérées comme étant différentes, car elles auront des OCID différents.

Pour plus d'informations sur l'écriture d'une politique, voir Fonctionnement des politiques et Syntaxe d'une politique. Lorsque vous utilisez la console pour écrire des politiques, vous pouvez vous aider du générateur de politiques pour construire la syntaxe des politiques que vous voulez ajouter.

Lorsque vous créez une politique, apportez des modifications à une politique existante ou supprimez une politique, vos modifications sont généralement appliquées dans les 10 secondes.

Vous pouvez voir une liste de vos politiques dans la console ou avec l'API. Dans la console, la liste est automatiquement filtrée pour n'afficher que les politiques associées au compartiment que vous consultez. Pour déterminer les politiques à appliquer à un groupe particulier, vous devez consulter les énoncés individuels dans toutes vos politiques. Il n'est pas possible d'obtenir automatiquement ces informations dans la console ou l'API.

Pour plus d'informations sur le nombre de politiques que vous pouvez avoir, voir Limites de service.

Écriture d'énoncés de politique avec le générateur de politiques

Le générateur de politiques accessible dans la console vous aide à créer rapidement des politiques communes sans avoir à entrer manuellement les énoncés de politique. Le générateur de politiques suggère automatiquement les autorisations qu'un administrateur peut accorder à des groupes d'utilisateurs ou de ressources de sa location, et à des ressources cibles telles que des instances, des réseaux et des seaux. La plupart des politiques suggérées dans le générateur de politiques figurent également dans la rubrique Politiques communes, qui fournit plus de détails sur l'accès fourni par chaque politique et les cas d'utilisation pour chacune. Les utilisateurs qui n'ont pas besoin des suggestions proposées par le générateur de politiques ou qui ont des exigences de politique lus complexes peuvent ignorer l'option de base du générateur et aller directement à l'éditeur avancé, qui permet d'entrer directement les énoncés de politique dans une zone de texte à structure libre.

Fonctionnalités du générateur de politiques

Le générateur de politiques fournit des modèles de politique que vous pouvez remplir afin de créer des politiques pour votre location. Un modèle de politique comprend tous les énoncés nécessaires pour fournir les autorisations permettant d'effectuer une tâche ou un jeu de tâches connexes dans un service pour OCI. Pour remplir le modèle, sélectionnez le groupe dans un menu de groupes existant et sélectionnez l'emplacement dans une liste de compartiments de la location.

Les modèles de politique du générateur de politiques sont regroupés par cas d'utilisation, tels que Gestion du réseau, Gestion du stockage et Gestion des comptes, pour vous permettre de les parcourir facilement et trouver le jeu d'autorisations dont vous avez besoin.

Par exemple, supposons que vous configuriez les administrateurs de réseau de votre location. Vous devez accorder à un groupe d'utilisateurs les autorisations requises pour utiliser toutes les ressources du service de réseau. Pour créer cette politique dans le générateur de politiques :

  • Commencez par rechercher la politique souhaitée : Dans le menu Cas d'utilisation de politique, sélectionnez Gestion du réseau. Si vous ne savez pas dans quel cas d'utilisation figure une politique, vous pouvez laisser cette option réglée à Tout pour parcourir tous les modèles.
  • Dans le menu Modèles de politique commune, sélectionnez Permettre aux administrateurs de réseau de gérer un réseau en nuage.

    Le générateur de politiques affiche les énoncés de politique qui seront créés. En l'occurrence, il n'y a qu'un seul énoncé :

    Allow {group name} to manage virtual-network-family in {location}
  • À présent, il vous suffit de sélectionner le groupe et l'emplacement de la politique : Lorsque vous sélectionnez un groupe, la chaîne {group name} dans l'énoncé de politique affiché est également mise à jour avec votre sélection.
  • Enfin, sélectionnez l'emplacement. Vous pouvez parcourir la hiérarchie de compartiments pour rechercher et sélectionner le compartiment approprié. Pour créer la politique dans la location, sélectionnez le compartiment racine.

    Cette image présente le générateur de politiques avec la politique des administrateurs de réseau

Personnalisation des politiques

Si vous constatez qu'un modèle ne correspond pas exactement à vos besoins, vous pouvez personnaliser les politiques fournies en ajoutant des énoncés, en supprimant des énoncés, en ajoutant des conditions ou en effectuant d'autres modifications pour créer la politique dont vous avez besoin. Cliquez sur Personnalisation (Avancée) pour modifier les énoncés dans une zone de texte à structure libre. Lorsque vous entrez les énoncés directement dans la zone de texte, veillez à suivre les règles décrites dans la rubrique Syntaxe de politique.

Exemples de personnalisation de la politique des administrateurs de réseau :

  • Vous devez ajouter un autre groupe, GroupB, à cette politique. Pour ajouter un groupe :

    Cliquez sur Customize (Advanced). Dans la zone de texte, entrez les modifications de la politique (selon la syntaxe requise). 

    Allow group GroupA, GroupB to manage virtual-network-family in compartment CompartmentA

    Cette image présente la zone de texte du générateur de politiques avancé avec un énoncé modifié

  • Vous devez ajouter une condition à l'énoncé. Par exemple, vous voulez vous assurer que seuls les utilisateurs vérifiés au moyen de l'authentification multifacteur peuvent gérer vos réseaux. Vous pouvez ajouter cette condition à l'énoncé comme suit :
    Allow group GroupA to manage virtual-network-family in compartment CompartmentA where request.user.mfaTotpVerified='true'

    Cette image présente la zone de texte du générateur de politiques avancé avec un énoncé modifié

  • Vous voulez ajouter un autre énoncé à la politique. Par exemple, vous voulez que GroupA soit autorisé à utiliser des instances. Pour ajouter un autre énoncé, entrez-le sur la ligne suivante :
    Allow group GroupA to manage virtual-network-family in compartment CompartmentA
Allow group GroupA to use instance-family in compartment CompartmentA
  • Cette image présente la zone de texte du générateur de politiques avancé avec un énoncé modifié

Modification des politiques avec le générateur de politiques

Une fois la politique créée, vous pouvez entrer les modifications à apporter directement dans le texte de la politique. Le sélecteur de modèle n'est disponible que lors de la création d'une politique. L'éditeur vous permet de supprimer, d'ajouter ou de modifier des énoncés ou de changer l'ordre des énoncés.

Cette image présente l'éditeur du générateur de politiques avancé avec deux énoncés

Utilisation de la console

Pour créer une politique

Préalables : Le groupe et le compartiment pour lesquels vous écrivez la politique doivent déjà exister.

  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Politiques. Une liste des politiques du compartiment que vous consultez s'affiche.
  2. Cliquez sur Créer une politique.
  3. Entrez les informations suivantes :
    • Nom : Nom unique de la politique. Le nom doit être unique parmi toutes les politiques de votre location. Vous ne pouvez pas modifier cette valeur ultérieurement. Évitez d'entrer des informations confidentielles.
    • Description : Description conviviale. Vous pourrez modifier cet élément ultérieurement si vous le souhaitez.
    • Compartiment : Si vous voulez attacher la politique à un compartiment autre que celui que vous consultez, sélectionnez le compartiment souhaité dans la liste. L'endroit où la politique est attachée contrôle qui peut la modifier ou la supprimer plus tard (voir Attachement de politique).
  4. Entrez les énoncés de politique à l'aide du générateur de politiques. Utilisez l'option De base si vous souhaitez sélectionner un des modèles de politique commune, que vous pouvez également personnaliser. Utilisez l'option Personnalisation (Avancée) si vous savez déjà comment écrire les énoncés dont vous avez besoin et que vous voulez simplement les entrer dans une zone de texte.
    Pour utiliser l'option De base du générateur de politiques :
    1. Sélectionnez un des cas d'utilisation de politique pour filtrer la liste des modèles de politique. Si vous ne savez pas quel cas d'utilisation sélectionner, vous pouvez parcourir la liste Modèles de politique commune.
    2. Sélectionnez le modèle qui correspond le mieux à vos besoins dans la liste Modèles de politique commune.

      Le générateur de politiques affiche la description de la politique sélectionnée et répertorie les énoncés inclus dans celle-ci.

    3. Sélectionnez le groupe auquel cette politique s'applique.
    4. Sélectionnez un emplacement. L'emplacement est le compartiment auquel cette politique accorde l'accès. Le compartiment que vous sélectionnez ici doit être celui auquel vous avez choisi d'attacher la politique à l'étape 3 ou un compartiment de la hiérarchie de ce compartiment.
    5. Si vous devez modifier les énoncés de politique, cliquez sur Personnalisation (Avancée).
    Pour utiliser l'option Personnalisation (Avancée) :
    1. Cliquez sur Personnalisation (Avancée).
    2. Entrez ou modifiez les énoncés de politique selon le format décrit dans Syntaxe de politique, en entrant un énoncé par ligne.
  5. Pour ajouter des marqueurs à cette politique, cliquez sur Afficher les options avancées. Si vous êtes autorisé à créer une ressource, vous disposez également des autorisations nécessaires pour appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous n'êtes pas sûr d'appliquer des marqueurs, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des marqueurs plus tard.
  6. Pour créer une autre politique, sélectionnez Créer une autre politique.
  7. Cliquez sur Créer.

La nouvelle politique prend généralement effet après 10 secondes.

Pour obtenir la liste de vos politiques

Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Politiques. Une liste des politiques du compartiment que vous consultez actuellement s'affiche. Si vous voulez voir les politiques associées à un autre compartiment, sélectionnez ce compartiment dans la liste à gauche. Vous ne pouvez pas obtenir une liste unique de toutes les politiques; elles sont toujours affichées par compartiment.

Pour déterminer les politiques à appliquer à un groupe particulier, vous devez consulter les énoncés individuels dans toutes vos politiques. Il n'est pas possible d'obtenir automatiquement ces informations dans la console.

Pour mettre à jour la description d'une politique existante

Cette fonction est disponible uniquement au moyen de l'API. Une alternative consiste à créer une nouvelle politique avec la nouvelle description et à supprimer l'ancienne politique.

Pour mettre à jour les énoncés dans une politique existante
  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Politiques. Une liste des politiques du compartiment que vous consultez s'affiche. Si vous ne voyez pas celui que vous recherchez, vérifiez que vous consultez le bon compartiment (sélectionnez-le dans la liste située dans la partie gauche de la page).
  2. Cliquez sur la politique à mettre à jour. Les détails et les énoncés de la politique s'affichent.
  3. Cliquez sur Modifier les énoncés de la politique. Utilisez l'option De base du générateur de politiques pour interagir avec les énoncés à l'aide de contrôles graphiques. Utilisez l'option Avancé du générateur de politiques pour modifier les énoncés dans une zone de texte simple.

    Pour utiliser l'option De base :

    • Pour réviser un énoncé, entrez les modifications selon le format décrit dans Principes de base des politiques et Syntaxe de politique.
    • Pour ajouter un énoncé, cliquez sur + Un autre énoncé et entrez l'énoncé selon le format requis.
    • Pour supprimer un énoncé, cliquez sur le X à côté de celui-ci.
    • Pour réorganiser les énoncés, utilisez les flèches vers le haut et vers le bas pour les déplacer dans l'ordre approprié ou utilisez la poignée pour les glisser-déposer vers la position souhaitée.
    Pour utiliser l'option Avancé :
  4. Cliquez sur Enregistrer les modifications une fois les modifications terminées.

En général, les modifications sont appliquées en 10 secondes.

Pour supprimer une politique
  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Politiques. Une liste des politiques du compartiment que vous consultez s'affiche. Si vous ne voyez pas celui que vous recherchez, vérifiez que vous consultez le bon compartiment (sélectionnez-le dans la liste située dans la partie gauche de la page).
  2. Pour la politique à supprimer, cliquez sur Supprimer.
  3. Confirmez l'opération à l'invite.

En général, les modifications sont appliquées en 10 secondes.

Utilisation de l'API

Pour plus d'informations sur l'utilisation de l'API et sur les demandes de signature, voir la documentation de l'API REST et Données d'identification de sécurité. Pour plus d'informations sur les trousses SDK, voir Trousses SDK et interface de ligne de commande.

Note

Les mises à jour ne sont pas immédiates dans toutes les régions

Vos ressources GIA se trouvent dans votre région principale. Pour appliquer une politique à toutes les régions, le service GIA réplique vos ressources dans chacune des régions. Chaque fois que vous créez ou modifiez une politique, un utilisateur ou un groupe, les modifications entrent d'abord en vigueur dans la région principale, puis sont propagées à vos autres régions. L'application des modifications peut prendre quelques minutes. Par exemple, supposons que vous disposiez d'un groupe ayant des autorisations pour lancer des instances dans la location. Si vous ajoutez UserA à ce groupe, UserA pourra lancer des instances dans votre région principale en moins d'une minute. Toutefois, UserA ne pourra pas lancer d'instances dans d'autres régions tant que le processus de réplication ne sera pas terminé. Ce processus peut prendre quelques minutes. Si UserA tente de lancer une instance avant que la réplication soit terminée, il verra s'afficher un message d'erreur indiquant qu'il n'est pas autorisé à le faire.

Utilisez les opérations d'API suivantes pour gérer les politiques :