Autorisations
Les autorisations sont les unités atomiques de permission qui contrôlent la capacité d'un utilisateur à exécuter des opérations sur les ressources. Oracle définit toutes les autorisations dans le langage de politique.
Lorsque vous écrivez une politique permettant à un groupe d'accéder à un verbe et à un type de ressource Verbes particuliers, vous donnez à ce groupe l'accès à une ou à plusieurs autorisations prédéfinies. Les verbes visent à simplifier le processus d'octroi de plusieurs autorisations connexes couvrant un large éventail d'accès ou un scénario opérationnel particulier. Les sections suivantes offrent davantage de détails et d'exemples.
Relation avec les verbes
Pour comprendre la relation entre les autorisations et les verbes, prenons un exemple. Un énoncé qui permet à un groupe d'inspecter les volumes (inspect volumes
) permet en fait à ce groupe d'accéder à une autorisation nommée VOLUME_INSPECT (les autorisations sont toujours écrites en lettres majuscules avec des traits de soulignement). En général, cette autorisation permet à l'utilisateur d'obtenir des informations sur les volumes par blocs.
Lorsque vous passez de inspect
> read
> use
> manage
, le niveau d'accès augmente généralement et les autorisations accordées sont cumulatives. Le tableau suivant présente les autorisations incluses avec chaque verbe pour le type de ressource volumes
. Notez qu'aucune autorisation supplémentaire n'est accordée lors du passage de inspect
à read
.
Inspecter les volumes | Lire les volumes | Utiliser les volumes | Gérer les volumes |
---|---|---|---|
VOLUME_INSPECT | VOLUME_INSPECT |
VOLUME_INSPECT VOLUME_UPDATE VOLUME_WRITE |
VOLUME_INSPECT VOLUME_UPDATE VOLUME_WRITE VOLUME_CREATE VOLUME_DELETE |
La rubrique Informations de référence sur les politiques répertorie les autorisations couvertes par chaque verbe pour chaque type de ressource indiqué. Par exemple, pour les volumes par blocs et les autres ressources couvertes par les services de base, voir les tableaux sous Informations détaillées sur les combinaisons Verbe + Type de ressource. La colonne de gauche de chaque tableau répertorie les autorisations couvertes par chaque verbe. Les autres sections de la rubrique Informations de référence sur les politiques présentent le même type d'informations pour les autres services.
Relation avec les opérations d'API
Chaque opération d'API nécessite que le programme d'appel ait accès à une ou plusieurs autorisations. Par exemple, pour utiliser ListVolumes
ou GetVolume
, vous devez avoir accès à une seule autorisation : VOLUME_INSPECT. Pour attacher un volume à une instance, vous devez avoir accès à plusieurs autorisations, dont certaines sont liées au type de ressource volumes
, d'autres au type de ressource volume-attachments
et d'autres au type de ressource instances
:
- VOLUME_WRITE
- VOLUME_ATTACHMENT_CREATE
- INSTANCE_ATTACH_VOLUME
La rubrique Informations de référence sur les politiques répertorie les autorisations requises pour chaque opération d'API. Par exemple, pour les opérations d'API des services de base, voir le tableau sous Autorisations requises pour chaque opération d'API.
Présentation de l'accès d'un utilisateur
Le langage de politique permet d'écrire des énoncés simples impliquant uniquement des verbes et des types de ressource, sans avoir à indiquer les autorisations souhaitées dans l'énoncé. Cela dit, il arrive parfois qu'un membre ou un vérificateur de l'équipe de sécurité souhaite en savoir plus sur les autorisations spécifiques dont dispose un utilisateur. Les tableaux figurant sous Informations de référence sur les politiques présentent chaque verbe et les autorisations associées. Vous pouvez consulter les groupes dans lesquels figure l'utilisateur et les politiques qui s'appliquent à ces groupes, et compiler à partir de là une liste des autorisations accordées. En revanche, il ne suffit pas de disposer d'une liste des autorisations pour avoir une vision complète. Les conditions incluses dans un énoncé de politique peuvent cibler l'accès d'un utilisateur au-delà des autorisations individuelles (voir la section suivante). En outre, chaque énoncé de politique spécifie un compartiment particulier et peut comporter des conditions qui limitent encore l'accès à certaines ressources de ce compartiment.