Informations détaillées sur le service de stockage de fichiers

Cette rubrique présente des informations détaillées sur l'écriture de politiques permettant de contrôler l'accès au service Stockage de fichiers.

Type de ressource agrégé

file-family

Types de ressource individuels

file-systems
mount-targets
export-sets
outbound-connectors
replications
replication-targets
filesystem-snapshot-policies

Commentaires

Une politique utilisant <verb> file-family équivaut à une politique ayant un énoncé <verb> <individual resource-type> distinct pour chacun des types de ressource individuels.

Voir le tableau sous Informations détaillées sur les combinaisons Verbe + Type de ressource pour plus de détails sur les opérations d'API couvertes par chaque verbe, pour chaque type de ressource individuel inclus dans file-family.

Variables prises en charge

Seules les variables générales sont prises en charge (voir Variables générales pour toutes les demandes).

Informations détaillées sur les combinaisons Verbe + Type de ressource

Les tableaux suivants présentent les autorisations et les opérations d'API couvertes par chaque verbe. Le niveau d'accès est cumulatif depuis inspect > read > use > manage. Par exemple, un groupe qui peut utiliser une ressource peut également inspecter et lire cette ressource. Un signe plus (+) dans une cellule de tableau indique un accès incrémentiel comparé à la cellule directement au-dessus, alors que "aucun accès supplémentaire" indique qu'il n'y a aucun accès incrémentiel.

Par exemple, le verbe read pour le type de ressource file-systems inclut les mêmes autorisations et opérations d'API que le verbe inspect, plus l'autorisation FILE_SYSTEM_READ et un certain nombre d'opérations d'API (par exemple, GetFileSystem, ListMountTargets, etc.). Le verbe use couvre une autre autorisation et un jeu d'opérations d'API par rapport au verbe read. Enfin, manage couvre deux autres autorisations et opérations par rapport au verbe use.

export-sets


Verbes	Autorisations	API entièrement couvertes	API partiellement couvertes
inspect	EXPORT_SET_INSPECT	`ListExportSets`	aucune
read	INSPECT + EXPORT_SET_READ	INSPECT + `GetExport` `GetExportSet` `ListExports`	aucune
use	aucun accès supplémentaire	aucun accès supplémentaire	aucune
manage	USE + EXPORT_SET_CREATE EXPORT_SET_UPDATE EXPORT_SET_DELETE	USE + `CreateExportSet` `UpdateExportSet` `DeleteExportSet`	`CreateExport` `DeleteExport` (les deux requièrent également `use file-systems`. )

systèmes de fichiers


Verbes	Autorisations	API entièrement couvertes	API partiellement couvertes
inspect	FILE_SYSTEM_INSPECT	`ListFileSystems`	aucune
read	INSPECT + FILE_SYSTEM_READ	INSPECT + `GetFileSystem` `GetSnapshot` `ListSnapshots`	aucune
use	READ + FILE_SYSTEM_NFSv3_EXPORT FILE_SYSTEM_NFSv3_UNEXPORT FILE_SYSTEM_CLONE FILE_SYSTEM_REPLICATION_SOURCE FILE_SYSTEM_UPDATE_FILESYSTEM_SNAPSHOT_POLICY	aucun accès supplémentaire	`DeleteExport` (les deux requièrent également`manage export-sets`. )
manage	USE + FILE_SYSTEM_CREATE FILE_SYSTEM_UPDATE FILE_SYSTEM_DELETE FILE_SYSTEM_MOVE FILE_SYSTEM_CREATE_SNAPSHOT FILE_SYSTEM_DELETE_SNAPSHOT FILE_SYSTEM_CLONE FILE_SYSTEM_REPLICATION_TARGET	USE + `CreateFileSystem` `UpdateFileSystem` `DeleteFileSystem` `ChangeFileSystemCompartment` `CreateSnapshot` `DeleteSnapshot`	Si vous créez un système de fichiers ou un clone chiffré avec une clé de chiffrement principale du service de gestion des clés, vous devez également disposer de l'autorisation `use key-delegate` (pour l'appelant) et de l'autorisation `read keys` (pour le principal de service). Pour plus d'informations, voir Informations détaillées sur le service de chambre forte. Lors du clonage d'un système de fichiers, l'API `CreateFileSystem` est utilisée et FILE_SYSTEM_CLONE est nécessaire.

politiques de système de fichiers-instantané


Verbes	Autorisations	API entièrement couvertes	API partiellement couvertes
inspect	FILESYSTEM_SNAPSHOT_POLICY_INSPECT	`ListFilesystemSnapshotPolicies`	aucune
read	INSPECT + FILESYSTEM_SNAPSHOT_POLICY_READ	`ListFilesystemSnapshotPolicies` `GetFilesystemSnapshotPolicy`	aucune
use	READ + FILE_SYSTEM_UPDATE_FILESYSTEM_SNAPSHOT_POLICY	`ListFilesystemSnapshotPolicies` `GetFilesystemSnapshotPolicy`	`UpdateFileSystem`
manage	USE + FILESYSTEM_SNAPSHOT_POLICY_CREATE FILESYSTEM_SNAPSHOT_POLICY_UPDATE FILESYSTEM_SNAPSHOT_POLICY_MOVE FILESYSTEM_SNAPSHOT_POLICY_DELETE	`ListFilesystemSnapshotPolicies` `GetFilesystemSnapshotPolicy` `UpdateFilesystemSnapshotPolicy` `CreateFilesystemSnapshotPolicy` `MoveFilesystemSnapshotPolicy` `DeleteFilesystemSnapshotPolicy`	aucune

cibles de montage


Verbes	Autorisations	API entièrement couvertes	API partiellement couvertes
inspect	MOUNT_TARGET_INSPECT	`ListMountTargets`	aucune
read	INSPECT + MOUNT_TARGET_READ	INSPECT + `GetMountTarget`	aucune
use	aucun accès supplémentaire	aucun accès supplémentaire	aucune
manage	USE + MOUNT_TARGET_CREATE MOUNT_TARGET_UPDATE MOUNT_TARGET_DELETE MOUNT_TARGET_MOVE		USE + `CreateMountTarget`, `DeleteMountTarget` (les deux requièrent également `use vnics`, `use private-ips` et `use subnets`. ) `ChangeMountTargetCompartment`

connecteurs sortants


Verbes	Autorisations	API entièrement couvertes	API partiellement couvertes
inspect	OUTBOUND_CONNECTOR_INSPECT	`ListOutboundConnectors`	aucune
read	INSPECT + OUTBOUND_CONNECTOR_READ	INSPECT + `GetOutboundConnector`	aucune
use	aucun accès supplémentaire	aucun accès supplémentaire	aucune
manage	USE + OUTBOUND_CONNECTOR_CREATE OUTBOUND_CONNECTOR_UPDATE OUTBOUND_CONNECTOR_DELETE OUTBOUND_CONNECTOR_MOVE	USE + `CreateOutboundConnector` `UpdateOutboundConnector` `DeleteOutboundConnector` `ChangeOutboundConnectorCompartment`	aucune

réplications et réplication-cibles


Verbes	Autorisations	API entièrement couvertes	API partiellement couvertes
inspect	REPLICATION_INSPECT	`ListReplications`	aucune
read	INSPECT + REPLICATION_READ	INSPECT + `GetReplication`	aucune
use	aucun accès supplémentaire	aucun accès supplémentaire	aucune
manage	USE + REPLICATION_CREATE REPLICATION_UPDATE REPLICATION_DELETE REPLICATION_MOVE	USE + `CreateReplication` `UpdateReplication` `ChangeReplicationCompartment` `DeleteReplication` `DeleteReplicationTarget`	aucune

Autorisations requises pour chaque opération d'API

Le tableau suivant répertorie les opérations d'API dans un ordre logique, regroupées par type de ressource.

Conseil

Si un groupe utilise la console pour créer des systèmes de fichiers, des autorisations de lecture des cibles de montage sont requises. Voir les exemples de politique du service de stockage de fichiers pour d'autres conseils.

Pour plus d'informations sur les autorisations, voir Autorisations.


Opération d'API	Autorisations requises pour utiliser l'opération
`ListExports`	EXPORT_SET_READ
`CreateExport`	EXPORT_SET_UPDATE + FILE_SYSTEM_NFSv3_EXPORT
`GetExport`	EXPORT_SET_READ
`DeleteExport`	EXPORT_SET_UPDATE + FILE_SYSTEM_NFSv3_UNEXPORT
`ListExportSets`	EXPORT_SET_INSPECT
`CreateExportSet`	EXPORT_SET_CREATE
`GetExportSet`	EXPORT_SET_READ
`UpdateExportSet`	EXPORT_SET_UPDATE
`DeleteExportSet`	EXPORT_SET_DELETE
`ListFileSystems`	FILE_SYSTEM_INSPECT
`CreateFileSystem`	FILE_SYSTEM_CREATE Lors du clonage d'un système de fichiers, FILE_SYSTEM_CLONE est également nécessaire L'association du système de fichiers à une politique d'instantané requiert également FILE_SYSTEM_UPDATE_FILESYSTEM_SNAPSHOT_POLICY
`GetFileSystem`	FILE_SYSTEM_READ
`UpdateFileSystem`	FILE_SYSTEM_UPDATE L'association du système de fichiers à une politique d'instantané requiert également FILE_SYSTEM_UPDATE_FILESYSTEM_SNAPSHOT_POLICY
`DeleteFileSystem`	FILE_SYSTEM_DELETE
`ChangeFileSystemCompartment`	FILE_SYSTEM_MOVE
`GetFilesystemSnapshotPolicy`	FILESYSTEM_SNAPSHOT_POLICY_READ
`ListFilesystemSnapshotPolicies`	FILESYSTEM_SNAPSHOT_POLICY_INSPECT
`CreateFilesystemSnapshotPolicy`	FILESYSTEM_SNAPSHOT_POLICY_CREATE
`UpdateFilesystemSnapshotPolicy`	FILESYSTEM_SNAPSHOT_POLICY_UPDATE
`DeleteFilesystemSnapshotPolicy`	FILESYSTEM_SNAPSHOT_POLICY_DELETE
`MoveFilesystemSnapshotPolicy`	FILESYSTEM_SNAPSHOT_POLICY_MOVE
`ListMountTargets`	MOUNT_TARGET_INSPECT
`CreateMountTarget`	MOUNT_TARGET_CREATE + VNIC_CREATE(vnicCompartment) + SUBNET_ATTACH(subnetCompartment) + VNIC_ATTACH(vnicCompartment) + PRIVATE _IP_CREATE(subnetCompartment) + PRIVATE_IP_ASSIGN(subnetCompartment) + VNIC_ASSIGN(subnetCompartment)
`GetMountTarget`	MOUNT_TARGET_READ
`UpdateMountTarget`	MOUNT_TARGET_UPDATE
`DeleteMountTarget`	MOUNT_TARGET_DELETE + VNIC_DELETE(vnicCompartment) + SUBNET_DETACH(subnetCompartment) + VNIC_DETACH(vnicCompartment) + PRIVATE_IP_DELETE(subnetCompartment) + PRIVATE_IP_UNASSIGN(subnetCompartment) + VNIC_UNASSIGN(vnicCompartment)
`ChangeMountTargetCompartment`	MOUNT_TARGET_MOVE
`ListOutboundConnectors`	OUTBOUND_CONNECTOR_INSPECT
`CreateOutboundConnector`	OUTBOUND_CONNECTOR_CREATE
`GetOutboundConnector`	OUTBOUND_CONNECTOR_READ
`UpdateOutboundConnector`	OUTBOUND_CONNECTOR_UPDATE
`DeleteOutboundConnector`	OUTBOUND_CONNECTOR_DELETE
`ChangeOutboundConnectorCompartment`	OUTBOUND_CONNECTOR_MOVE
`ListSnapshots`	FILE_SYSTEM_READ
`CreateSnapshot`	FILE_SYSTEM_CREATE_SNAPSHOT
`GetSnapshot`	FILE_SYSTEM_READ
`DeleteSnapshot`	FILE_SYSTEM_DELETE_SNAPSHOT
`GetReplication`	REPLICATION_READ
`ListReplications`	REPLICATION_INSPECT
`CreateReplication`	REPLICATION_CREATE + FILE_SYSTEM_REPLICATION_SOURCE (système de fichiers source) + FILE_SYSTEM_REPLICATION_TARGET (système de fichiers cible)
`UpdateReplication`	REPLICATION_UPDATE
`ChangeReplicationCompartment`	REPLICATION_MOVE
`DeleteReplication`	REPLICATION_DELETE
`DeleteReplicationTarget`	REPLICATION_DELETE