Verbes
L'élément verbe d'un énoncé de politique spécifie le type d'accès. Par exemple, utilisez inspect pour permettre aux vérificateurs tiers de lister les ressources spécifiées.
Les verbes permettant de créer des politiques IAM sont définis par Oracle.
Du moins à la plupart des accès, voici les verbes possibles :
- inspect
- read
- use
- manage
Accès général couvert par chaque verbe
Voici les types généraux d'accès et d'utilisateurs cibles pour chaque verbe possible, qui sont classés du moins au plus grand nombre. Certaines ressources prennent en charge les exceptions. Voir
| Verbe | Utilisateur cible | Types d'accès couverts |
|---|---|---|
inspect
|
Vérificateurs tiers | Capacité de lister les ressources, sans accès aux informations confidentielles ou aux métadonnées définies par l'utilisateur qui pourraient faire partie de cette ressource. Important : L'opération permettant de lister les politiques inclut le contenu des politiques elles-mêmes. Les opérations de liste pour les types de ressource Réseau retournent toutes les informations (par exemple, le contenu des listes de sécurité et des tables de routage). |
read
|
Vérificateurs internes | Inclut inspect plus la possibilité d'obtenir des métadonnées spécifiées par l'utilisateur et la ressource réelle proprement dite. |
use
|
Utilisateurs quotidiens de ressources | Inclut read plus la possibilité d'utiliser des ressources existantes (les actions varient en fonction du type de ressource). Inclut la capacité de mettre à jour la ressource, sauf pour les types de ressource où l'opération de mise à jour "a la même incidence que l'opération de création (par exemple, UpdatePolicy, UpdateSecurityList, etc.), auquel cas la capacité de mise à jour n'est disponible qu'avec le verbe manage. En général, ce verbe ne permet pas de créer ou de supprimer ce type de ressource. |
manage
|
Administrateurs | Inclut toutes les autorisations pour la ressource. |
Le verbe fournit un certain type d'accès général (par exemple, inspect vous permet de lister et d'obtenir les ressources). Lorsque vous associez ensuite ce type d'accès à un type de ressource particulier dans une politique (par exemple, Allow group XYZ to inspect compartments in the tenancy), vous accordez à ce groupe l'accès à un jeu spécifique d'autorisations et d'opérations d'API (par exemple, ListCompartments, GetCompartment). Pour d'autres exemples, voir Informations détaillées sur les combinaisons Verbe + Type de ressource. La rubrique Informations de référence sur les politiques présente un tableau similaire pour chaque service, qui vous fournit une liste des opérations d'API couvertes pour chaque combinaison de verbe et de type de ressource.
Des exceptions spéciales ou des nuances s'appliquent à certains types de ressource.
Utilisateurs : L'accès à manage users et manage groups vous permet d'effectuer toutes les opérations liées aux utilisateurs et groupes, notamment de créer et de supprimer des utilisateurs et des groupes, et d'ajouter des utilisateurs à des groupes ou d'en retirer. Pour ajouter des utilisateurs à des groupes ou en retirer sans accès à la création et à la suppression d'utilisateurs et de groupes, seuls use users et use groups sont requis. Voir Modèles de politique du générateur de politiques.
Politiques : La possibilité de mettre à jour une politique est disponible uniquement avec manage policies, et non avec use policies, car la mise à jour d'une politique est similaire à celle permettant la création d'une nouvelle politique (vous pouvez remplacer les énoncés existants). De plus, inspect policies vous permet d'obtenir tout le contenu des politiques.
Objets de stockage d'objets : inspect objects vous permet de répertorier tous les objets d'un seau et d'effectuer une opération HEAD sur un objet particulier. En comparaison, read objects vous permet de télécharger l'objet lui-même.
R ressources d'équilibreur de charge : Gardez à l'esprit que inspect load-balancers vous permet d'obtenir toutes les informations sur vos équilibreurs de charge et composants connexes ( jeux dorsaux, etc.).
Ressources de réseau :
Par exemple, le verbe inspect ne retourne pas seulement les informations générales sur les composants du réseau en nuage (par exemple, le nom et l'OCID d'une liste de sécurité ou d'une table de routage). Il inclut également le contenu du composant (par exemple, les règles réelles dans la liste de sécurité, les routes dans la table de routage, etc.).
De plus, les types de fonction suivants sont disponibles uniquement avec le verbe manage et ne le sont pas avec le verbe use :
- Mettre à jour (activer/désactiver)
internet-gateways - Mettre à jour
security-lists - Mettre à jour
route-tables - Mettre à jour
dhcp-options - Attacher une passerelle de routage dynamique (DRG) à un réseau en nuage virtuel (VCN)
- Créer une connexion IPSec entre une passerelle de routage dynamique (DRG) et un équipement local d'abonné (CPE)
- Appairer des réseaux en nuage virtuels (VCN)
Chaque VCN comprend différents composants qui ont une incidence directe sur le comportement du réseau (tables de routage, listes de sécurité, options DHCP, passerelle Internet, etc.). Lorsque vous créez l'un de ces composants, vous établissez une relation entre celui-ci et le réseau VCN. La politique doit donc vous autoriser à créer le composant et à gérer le réseau VCN. En revanche, la possibilité de mettre à jour ce composant (pour modifier les règles de routage, les règles de liste de sécurité, etc.) ne requiert pas d'autorisation pour gérer le VCN lui-même, même si la modification de ce composant peut avoir une incidence directe sur le comportement du réseau. Vous disposez ainsi de la flexibilité nécessaire pour octroyer un privilège minimal aux utilisateurs sans avoir à accorder d'accès excessif au VCN pour que l'utilisateur puisse gérer d'autres composants du réseau. En accordant à un utilisateur la capacité de mettre à jour un type de composant particulier, vous lui confiez implicitement le contrôle du comportement du réseau.