Documentation sur Oracle Cloud Infrastructure

Aperçu des politiques IAM

Les politiques IAM régissent le contrôle des ressources dans les locations Oracle Cloud Infrastructure (OCI).

Une politique contient un ou plusieurs énoncés. Chaque instruction utilise une syntaxe de base ou conditionnelle.

Syntaxe de base :

Allow <subject> to <verb> <resource> in <location>

Syntaxe conditionnelle :

Allow <subject> to <verb> <resource> in <location> where <conditions>

Le tableau suivant explique brièvement les éléments de la syntaxe et fournit des liens vers des informations détaillées sur chaque élément.

Élément Description
Autoriser Mot de début obligatoire. Un énoncé de politique commence toujours par le mot Allow. Les politiques permettent uniquement l'accès; elles ne peuvent pas le refuser.
<sujet>

Utilisateur, groupe ou autre principal auquel l'accès doit être accordé. Le sujet inclut le type et l'identificateur de principal (nom ou OCID) et est précédé du nom du domaine d'identité, sauf si le domaine d'identité par défaut est utilisé.

Un administrateur de votre organisation définit les groupes et les compartiments de votre location. 

Allow group <identity_domain_name>/<group_name> to <verb> <resource-type> in tenancy
<verbe> Niveau d'accès. Oracle définit les verbes possibles et les types de ressource que vous pouvez utiliser dans les politiques. Voir Verbes.
<ressource>

Ressources auxquelles la politique accorde l'accès. Oracle définit les types de ressource possibles que vous pouvez utiliser dans les politiques. Voir Ressources. Certaines opérations d'API nécessitent un accès à plusieurs types de ressource. Par exemple, LaunchInstance nécessite de pouvoir créer des instances et d'utiliser un réseau en nuage. L'opération CreateVolumeBackup nécessite l'accès au volume et à la sauvegarde du volume. Cela nécessite des énoncés de politique distincts pour donner accès à chaque type de ressource. Il n'est pas nécessaire que ces énoncés individuels figurent dans la même politique. Un utilisateur peut obtenir l'accès requis en faisant partie de différents groupes.

<emplacement>

(Facultatif) Compartiment ou location auquel la politique s'applique. Pour un compartiment, la valeur inclut un identificateur (nom ou OCID).

Parfois, la politique doit s'appliquer à l'ensemble de la location, et non à un compartiment dans la location. Voici un exemple d'énoncé de politique propre à un compartiment, dans lequel <location> est un compartiment spécifique :

Allow group <identifier> to <verb> <resource> in compartment <identifier>

Voici un exemple d'énoncé de politique à l'échelle de la location, dans lequel <location> est location :

Allow group <identifier> to <verb> <resource> in tenancy
<condition> (Facultatif) Limite l'accès à une ressource.
Diagramme ferroviaire de la structure politique IAM

OCI vous permet également de créer des politiques interlocation. Pour plus d'informations, voir Politiques d'accès interlocation.

Politiques interlocations

Les énoncés de politique interlocation donnent aux sujets l'autorisation d'utiliser des ressources dans d'autres locations. Voir Politiques d'accès entre locations.