Politiques d'accès entre locations
Utilisez des énoncés de politique interlocation pour créer des politiques IAM qui fonctionnent entre les locations.
Vous pouvez créer des énoncés de politique interlocation, en plus des énoncés de politique d'utilisateur et de service requis, pour partager des ressources avec une autre organisation qui a sa propre location. Cette organisation peut être une autre unité d'affaires de votre société, un client de la société, une société qui vous fournit des services, etc.
Pour accéder aux ressources et les partager, les administrateurs des deux locations doivent créer des énoncés de politique spéciaux indiquant explicitement les ressources accessibles et pouvant être partagées. Ces énoncés spéciaux utilisent les verbes Define, Endorse et Admit.
Énoncés Endorse, Admit et Define
Utilisez les mots de début spéciaux suivants dans les énoncés interlocation :
- Endorse : Indique le jeu général de fonctions qu'un groupe de votre propre location peut exécuter dans d'autres locations. L'énoncé Endorse se trouve toujours dans la location qui contient le groupe d'utilisateurs qui franchit les limites pour utiliser les ressources d'une autre location. Dans les exemples, cette location est appelée location source.
- Admit : Indique le type de fonction dans votre propre location que vous voulez accorder à un groupe de l'autre location. L'énoncé Admit se trouve dans la location qui accorde "l'entrée" à la location. L'énoncé Admit identifie le groupe d'utilisateurs qui demande l'accès aux ressources de la location source et qui est identifié par un énoncé Endorse correspondant. Dans les exemples, cette location est appelée location de destination.
-
Define : Affecte un alias à un OCID de location pour les énoncés de politique Endorse et Admit. L'énoncé Définir est également requis dans la location de destination pour affecter un alias à l'OCID du groupe IAM source pour les énoncés Admit.
Incluez un énoncé Dead dans le même énoncé de politique que celui de l'énoncé de politique Endorse ou Admit.
Les énoncés Endorse et Admit fonctionnent ensemble. Un énoncé Endorse se trouve dans la location source et un énoncé Admit, dans la location de destination. Sans un énoncé correspondant indiquant l'accès, un énoncé Endorse ou Admit particulier n'octroie aucun accès. Les deux locations doivent accepter l'accès.
En plus des énoncés de politique, les locations cible et source doivent s'abonner aux mêmes régions pour partager des ressources.
Exemples interlocation
-
La politique suivante permet au groupe
StorageAdminsde gérer les ressources dans les ressources de stockage d'objets de la location de destination :Endorse group StorageAdmins to manage object-family in any-tenancyLes énoncés de politique suivants endossent le groupe IAM
StorageAdminsdans la location source pour effectuer toutes les opérations sur toutes les ressources de stockage d'objets de votre location de destination :Define tenancy SourceTenancy as ocid1.tenancy.oc1.exampleuniqueID Define group StorageAdmins as ocid1.group.oc1.exampleuniqueID Admit group StorageAdmins of tenancy SourceTenancy to manage object-family in tenancy -
Pour écrire une politique qui réduit la portée de l'accès de la location, l'administrateur source doit référencer l'OCID de la location de destination fourni par l'administrateur de la destination. Les énoncés de politique suivants endossent le groupe IAM
StorageAdminspour gérer les ressources de stockage d'objets dansDestinationTenancyuniquement :Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID> Endorse group StorageAdmins to manage object-family in tenancy DestinationTenancyCes exemples d'énoncés de politique endossent le groupe IAM
StorageAdminsdans la location source pour gérer les ressources de stockage d'objets uniquement le compartimentSharedBuckets:Define tenancy SourceTenancy as ocid1.tenancy.oc1..exampleuniqueID Define group StorageAdmins as ocid1.group.oc1..exampleuniqueID Admit group StorageAdmins of tenancy SourceTenancy to manage object-family in compartment SharedBuckets