Documentation sur Oracle Cloud Infrastructure

Écriture d'énoncés de politique avec le générateur de politiques

utilisation du générateur de politiques;

Le générateur de politiques accessible dans la console vous aide à créer rapidement des politiques communes sans avoir à entrer manuellement les énoncés de politique. Le générateur de politiques suggère automatiquement les autorisations qu'un administrateur peut accorder à des groupes d'utilisateurs ou de ressources de sa location, et à des ressources cibles telles que des instances, des réseaux et des seaux. La plupart des politiques suggérées dans le générateur de politiques figurent également dans la rubrique Politiques communes, qui fournit plus de détails sur l'accès fourni par chaque politique et les cas d'utilisation pour chacune. Les utilisateurs qui n'ont pas besoin des suggestions proposées par le générateur de politiques ou qui ont des exigences de politique lus complexes peuvent ignorer l'option de base du générateur et aller directement à l'éditeur avancé, qui permet d'entrer directement les énoncés de politique dans une zone de texte à structure libre.

Fonctions du générateur de politiques

Le générateur de politiques fournit des modèles de politique que vous pouvez remplir afin de créer des politiques pour votre location. Un modèle de politique comprend tous les énoncés nécessaires pour fournir les autorisations permettant d'effectuer une tâche ou un jeu de tâches connexes dans un service pour OCI. Pour remplir le modèle, sélectionnez le groupe dans un menu de groupes existant dans la location et sélectionnez l'emplacement dans une liste de compartiments de la location.

Les modèles de politique du générateur de politiques sont regroupés par cas d'utilisation, tels que Gestion du réseau, Gestion du stockage et Gestion des comptes, pour vous permettre de les parcourir facilement et trouver le jeu d'autorisations dont vous avez besoin.

Par exemple, supposons que vous configuriez les administrateurs de réseau de votre location. Vous devez accorder à un groupe d'utilisateurs les autorisations requises pour utiliser toutes les ressources du service de réseau. Pour créer cette politique dans le générateur de politiques :

  • Commencez par rechercher la politique souhaitée : Dans le menu Cas d'utilisation de politique, sélectionnez Gestion du réseau. Si vous ne savez pas dans quel cas d'utilisation figure une politique, vous pouvez laisser cette option réglée à Tout pour parcourir tous les modèles.
  • Dans le menu Modèles de politique commune, sélectionnez Permettre aux administrateurs de réseau de gérer un réseau en nuage.

    Le générateur de politiques affiche les énoncés de politique qui seront créés. En l'occurrence, il n'y a qu'un seul énoncé :

    Allow {group name} to manage virtual-network-family in {location}
  • À présent, il vous suffit de sélectionner le domaine d'identité et le groupe de la politique : Lorsque vous sélectionnez un groupe, la chaîne {group name} dans l'énoncé de politique affiché est également mise à jour avec votre sélection.
  • Enfin, sélectionnez l'emplacement. Vous pouvez parcourir la hiérarchie de compartiments pour rechercher et sélectionner le compartiment approprié. Pour créer la politique dans la location, sélectionnez le compartiment racine.

Personnalisation des politiques

Si vous constatez qu'un modèle ne correspond pas exactement à vos besoins, vous pouvez personnaliser les politiques fournies en ajoutant des énoncés, en supprimant des énoncés, en ajoutant des conditions ou en effectuant d'autres modifications pour créer la politique dont vous avez besoin. Cliquez sur Afficher l'éditeur manuel pour modifier les énoncés dans une zone de texte à structure libre. Lorsque vous entrez les énoncés directement dans la zone de texte, veillez à suivre les règles décrites dans la rubrique Syntaxe de politique.

Exemples de personnalisation de la politique des administrateurs de réseau :

  • Vous devez inclure un autre groupe (provenant du domaine d'identité par défaut), GroupB, à cette politique. Pour ajouter un groupe :

    Cliquez sur Afficher l'éditeur manuel. Dans la zone de texte, entrez les modifications de la politique (selon la syntaxe requise). 

    Allow group 'Default'/'GroupA', 'Default'/'GroupB' to manage virtual-network-family in compartment CompartmentA

    Cette image présente la zone de texte du générateur de politiques avancé avec un énoncé modifié

    Note

    Si vous incluez uniquement le nom du groupe sans domaine d'identité, le générateur de politiques suppose que le groupe se trouve dans le domaine d'identité par défaut.
  • Vous devez ajouter une condition à l'énoncé. Par exemple, vous voulez vous assurer que seuls les utilisateurs vérifiés au moyen de l'authentification multifacteur peuvent gérer vos réseaux. Vous pouvez ajouter cette condition à l'énoncé comme suit :
    Allow group GroupA to manage virtual-network-family in compartment CompartmentA where request.user.mfaTotpVerified='true'
  • Vous voulez ajouter un autre énoncé à la politique. Par exemple, vous voulez que GroupA soit autorisé à utiliser des instances. Pour ajouter un autre énoncé, entrez-le sur la ligne suivante :
    Allow group GroupA to manage virtual-network-family in compartment CompartmentA
Allow group GroupA to use instance-family in compartment CompartmentA

Modification des politiques avec le générateur de politiques

Une fois la politique créée, vous pouvez entrer les modifications à apporter directement dans le texte de la politique. Le sélecteur de modèle n'est disponible que lors de la création d'une politique. L'éditeur vous permet de supprimer, d'ajouter ou de modifier des énoncés ou de changer l'ordre des énoncés.