Informations détaillées sur le service GIA avec domaines d'identité
Cette rubrique présente des informations détaillées sur l'écriture de politiques permettant de contrôler l'accès au service GIA (pour les locations qui ont des domaines d'identité).
Types de ressource
authentication-policies
compartments
credentials
domains
dynamic-groups
groups
iamworkrequest
identity-providers
network-sources
policies
tag-defaults
tag-namespaces
tenancies
users
workrequest
Variables prises en charge
Le service GIA prend en charge toutes les variables générales (voir Variables générales pour toutes les demandes), plus les variables répertoriées ici :
Opérations pour ce type de ressource... | Peut utiliser ces variables... | Type de variable | Commentaires |
---|---|---|---|
users
|
target.user.id
|
Entité (OCID) | Non disponible pour utilisation avec CreateUser ou ListUsers. |
target.user.name
|
Chaîne | Non disponible pour utilisation avec ListUsers. | |
target.resource.domain.id |
Entité (OCID) | ||
target.resource.domain.name |
Chaîne | ||
groups
|
target.group.id
|
Entité (OCID) | Non disponible pour utilisation avec CreateGroup ou ListGroups. |
target.group.name
|
Chaîne | Non disponible pour utilisation avec ListGroups. | |
target.group.member
|
Valeur booléenne |
Valeur Vrai si request.user est membre du groupe target.group. Valeur False si le service crée le groupe cible. Non disponible pour utilisation avec ListGroups. |
|
target.resource.domain.id |
Entité (OCID) | ||
target.resource.domain.name |
Chaîne | ||
dynamic-groups
|
target.dynamicgroup.id
|
Entité (OCID) | Non disponible pour utilisation avec CreateDynamicGroup ou ListDynamicGroups. |
target.dynamicgroup.name |
Chaîne | Non disponible pour utilisation avec CreateDynamicGroup ou ListDynamicGroups. | |
target.resource.domain.id |
Entité (OCID) | ||
target.resource.domain.name |
Chaîne | ||
policies
|
target.policy.id
|
Entité (OCID) | Non disponible pour utilisation avec CreatePolicy ou ListPolicies. |
target.policy.name
|
Chaîne | Non disponible pour utilisation avec ListPolicies. | |
target.policy.autoupdate |
Valeur booléenne | Non disponible pour utilisation avec ListPolicies. | |
compartments
|
target.compartment.id
|
Entité (OCID) |
Il s'agit d'une variable universelle disponible pour toutes les demandes de tous les services (voir Variables générales pour toutes les demandes), à ceci près qu'elle n'est pas disponible pour ListCompartments. Pour CreateCompartment, il s'agit de la valeur du compartiment parent (par exemple, le compartiment racine). |
target.compartment.name
|
Chaîne | Il s'agit d'une variable universelle disponible pour toutes les demandes de tous les services (voir Variables générales pour toutes les demandes), à ceci près qu'elle n'est pas disponible pour ListCompartments. |
|
credentials |
target.credential.type |
Chaîne | Par exemple, "smtp", "switft", "secretkey". |
target.user.id |
Entité (OCID) | ||
target.user.name |
Chaîne | ||
target.resource.domain.id |
Entité (OCID) | ||
target.resource.domain.name |
Chaîne | ||
domain
|
target.domain.id
|
Entité (OCID) | Non disponible pour utilisation avec CreateDomain ou ListDomains. |
target.domain.name
|
Chaîne | Non disponible pour utilisation avec ListDomains. | |
tag-namespace
|
target.tag-namespace.id
|
Entité (OCID) |
Cette variable n'est prise en charge que dans les énoncés accordant des autorisations pour le type de ressource |
target.tag-namespace.name
|
Chaîne | Non disponible pour utilisation avec ListTagNamespaces. |
Informations détaillées sur les combinaisons Verbe + Type de ressource
Les tableaux suivants présentent les autorisations et les opérations d'API couvertes par chaque verbe. Le niveau d'accès est cumulatif depuis inspect
> read
> use
> manage
. Par exemple, un groupe qui peut utiliser une ressource peut également inspecter et lire cette ressource. Un signe plus (+) dans une cellule de tableau indique un accès incrémentiel comparé à la cellule directement au-dessus, alors que "aucun accès supplémentaire" indique qu'il n'y a aucun accès incrémentiel.
Par exemple, le verbe read
pour les compartiments ne couvre pas d'autorisations ou d'opérations d'API supplémentaires par rapport au verbe inspect
. Le verbe use
couvre les mêmes autorisations que le verbe read
, plus l'autorisation COMPARTMENT_UPDATE et l'opération d'API UpdateCompartment
. Le verbe manage
couvre les mêmes autorisations et opérations d'API que le verbe use
, plus l'autorisation COMPARTMENT_CREATE et deux opérations d'API : CreateCompartment
et DeleteCompartment
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | AUTHENTICATION_POLICY_INSPECT |
|
aucune |
read | aucun accès supplémentaire |
aucun accès supplémentaire |
aucune |
use | aucun accès supplémentaire |
aucun accès supplémentaire |
aucune |
manage | USE + AUTHENTICATION_POLICY_UPDATE |
USE +
|
aucune |
Pour déplacer un compartiment (c'est-à-dire utiliser l'opération MoveCompartment
), vous devez appartenir à un groupe ayant des autorisations manage all-resources
sur le compartiment parent partagé le plus bas du compartiment courant et du compartiment de destination.
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | COMPARTMENT_INSPECT |
|
aucune |
read | aucun accès supplémentaire |
aucun accès supplémentaire |
aucune |
use | READ + COMPARTMENT_UPDATE |
READ +
|
aucune |
manage | USE + COMPARTMENT_CREATE COMPARTMENT_DELETE COMPARTMENT_RECOVER |
USE +
|
aucune |
Le type de ressource credentials
fait référence uniquement aux données d'identification SMTP. Les autorisations nécessaires pour utiliser d'autres données d'identification pouvant être ajoutées à un utilisateur (notamment les jetons d'authentification, les clés d'API et les clés secrètes client) sont incluses avec les autorisations de ressource users
.
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | CREDENTIAL_INSPECT |
ListSmtpCredentials
|
aucune |
read | aucun accès supplémentaire |
aucun accès supplémentaire |
aucune |
use | aucun accès supplémentaire |
aucun accès supplémentaire |
aucune |
manage | USE + CREDENTIAL_ADD CREDENTIAL_UPDATE CREDENTIAL_REMOVE |
USE +
|
aucune |
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect |
DOMAIN_INSPECT |
|
aucune |
read |
INSPECT + DOMAIN_READ DOMAIN_LICENSETYPE_READ |
|
aucune |
use |
READ + DOMAIN_UPDATE IAM_WORKREQUEST_READ |
READ +
|
aucune |
manage |
USE + DOMAIN_CREATE DOMAIN_DELETE DOMAIN_MOVE DOMAIN_REPLICATE DOMAIN_ACTIVATE DOMAIN_DEACTIVATE |
USE +
|
aucune |
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | DYNAMIC_GROUP_INSPECT |
|
Aucun accès supplémentaire |
read | aucun accès supplémentaire |
aucun accès supplémentaire |
aucun accès supplémentaire |
use | READ + DYNAMIC_GROUP_UPDATE |
READ +
|
aucun accès supplémentaire |
manage | USE + DYNAMIC_GROUP_CREATE DYNAMIC_GROUP_DELETE |
USE +
|
aucun accès supplémentaire |
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | GROUP_INSPECT |
|
|
read | aucun accès supplémentaire |
aucun accès supplémentaire |
aucun accès supplémentaire |
use | READ + GROUP_UPDATE |
READ +
|
READ +
|
manage | USE + GROUP_CREATE GROUP_DELETE |
USE +
|
aucun accès supplémentaire |
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | IDENTITY_PROVIDER_INSPECT |
|
ListIdpGroupMappings , GetIdpGroupMapping (les deux requièrent également inspect groups )
|
read | aucun accès supplémentaire |
aucun accès supplémentaire |
aucun accès supplémentaire |
use | aucun accès supplémentaire |
aucun accès supplémentaire |
aucun accès supplémentaire |
manage | USE + IDENTITY_PROVIDER_UPDATE IDENTITY_PROVIDER_CREATE IDENTITY_PROVIDER_DELETE |
USE +
|
USE +
|
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | NETWORK_SOURCE_INSPECT |
|
Aucun accès supplémentaire |
read | aucun accès supplémentaire |
aucun accès supplémentaire |
aucun accès supplémentaire |
use | READ + NETWORK_SOURCE_UPDATE |
READ +
|
aucun accès supplémentaire |
manage | USE + NETWORK_SOURCE_CREATE NETWORK_SOURCE_DELETE |
USE +
|
aucun accès supplémentaire |
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | POLICY_READ |
|
aucune |
read | aucun accès supplémentaire |
aucun accès supplémentaire |
aucune |
use | aucun accès supplémentaire |
aucun accès supplémentaire Note : Il n'est possible de mettre à jour des politiques qu'avec |
aucune |
manage | USE + POLICY_UPDATE POLICY_CREATE POLICY_DELETE |
USE +
|
aucune |
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | TAG_NAMESPACE_INSPECT |
|
aucune |
read | aucun accès supplémentaire |
aucun accès supplémentaire |
aucune |
use | READ + TAG_NAMESPACE_USE Note : Pour appliquer, mettre à jour ou supprimer les marqueurs définis pour une ressource, un utilisateur doit disposer d'autorisations sur la ressource et d'autorisations pour utiliser l'espace de noms de marqueur. |
READ +
|
aucune |
manage | USE + TAG_NAMESPACE_UPDATE TAG_NAMESPACE_CREATE TAG_NAMESPACE_MOVE TAG_NAMESPACE_DELETE |
USE +
|
aucune |
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect |
TAG_DEFAULT_INSPECT TAG_NAMESPACE_READ (Utiliser les deux autorisations) |
|
aucune |
read | aucun accès supplémentaire |
aucun accès supplémentaire |
aucune |
use | aucun accès supplémentaire |
aucun accès supplémentaire |
aucune |
manage | INSPECT + TAG_DEFAULT_CREATE TAG_DEFAULT_UPDATE TAG_DEFAULT_DELETE |
USE +
|
aucune |
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | TENANCY_INSPECT |
|
aucune |
read | aucun accès supplémentaire |
aucun accès supplémentaire |
aucune |
use | READ + TENANCY_UPDATE |
aucun accès supplémentaire |
aucune |
manage | USE + TENANCY_UPDATE |
USE +
|
aucune |
Notez que pour utiliser les données d'identification SMTP d'un utilisateur, vous devez disposer d'autorisations pour le type de ressource credentials
.
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | USER_INSPECT |
|
GetUserGroupMembership (requiert également inspect groups )
|
read | INSPECT + USER_READ |
INSPECT +
|
aucun accès supplémentaire |
use | READ + USER_UPDATE |
READ +
|
READ +
|
manage | USE + USER_CREATE USER_DELETE USER_UNBLOCK USER_APIKEY_ADD USER_APIKEY_REMOVE USER_UIPASS_SET USER_UIPASS_RESET USER_SWIFTPASS_SET USER_SWIFTPASS_RESET USER_SWIFTPASS_REMOVE USER_AUTHTOKEN_SET USER_AUTHTOKEN_RESET USER_AUTHTOKEN_REMOVE USER_OAUTH2_CLIENT_CRED_CREATE USER_OAUTH2_CLIENT_CRED_UPDATE USER_OAUTH2_CLIENT_CRED_REMOVE USER_SECRETKEY_ADD USER_SECRETKEY_UPDATE USER_SECRETKEY_REMOVE USER_SUPPORT_ACCOUNT_LINK USER_SUPPORT_ACCOUNT_UNLINK USER_TOTPDEVICE_ADD USER_TOTPDEVICE_REMOVE USER_TOTPDEVICE_UPDATE |
USE +
|
aucun accès supplémentaire |
Autorisations requises pour chaque opération d'API
Le tableau suivant répertorie les opérations d'API dans un ordre logique, regroupées par type de ressource.
Pour plus d'informations sur les autorisations, voir Autorisations.
Opération d'API | Autorisations requises pour utiliser l'opération |
---|---|
ListRegions
|
TENANCY_INSPECT |
ListRegionSubscriptions
|
TENANCY_INSPECT |
CreateRegionSubscription
|
TENANCY_UPDATE |
GetTenancy
|
TENANCY_INSPECT |
ListDomains |
DOMAIN_INSPECT |
GetDomain |
DOMAIN_READ |
CreateDomain |
DOMAIN_CREATE |
ActivateDomain |
DOMAIN_ACTIVATE |
UpdateDomain |
DOMAIN_UPDATE |
ReplicateDomainRegion |
DOMAIN_REPLICATE |
ChangeDomainCompartment |
DOMAIN_MOVE |
GetDomainLicenseTypes |
DOMAIN_LICENSETYPE_READ |
ChangeSku |
DOMAIN_MOVE |
DeactivateDomain |
DOMAIN_DEACTIVATE |
DeleteDomain |
DOMAIN_DELETE |
GetAuthenticationPolicy
|
AUTHENTICATION_POLICY_INSPECT |
UpdateAuthenticationPolicy
|
AUTHENTICATION_POLICY_UPDATE |
ListAvailabilityDomains
|
COMPARTMENT_INSPECT |
ListFaultDomains
|
COMPARTMENT_INSPECT |
ListCompartments
|
COMPARTMENT_INSPECT |
GetCompartment
|
COMPARTMENT_INSPECT |
UpdateCompartment
|
COMPARTMENT_UPDATE |
CreateCompartment
|
COMPARTMENT_CREATE |
RecoverCompartment
|
COMPARTMENT_RECOVER |
DeleteCompartment
|
COMPARTMENT_DELETE |
MoveCompartment
|
Aucune autorisation unique n'est associée à l'opération MoveCompartment . Cette opération requiert des autorisations manage all-resources sur le compartiment parent partagé le plus bas du compartiment courant et du compartiment de destination. |
GetWorkRequest
|
COMPARTMENT_READ |
ListUsers
|
USER_INSPECT |
GetUser
|
USER_INSPECT |
UpdateUser
|
USER_UPDATE |
UpdateUserState
|
USER_UPDATE et USER_UNBLOCK |
CreateUser
|
USER_CREATE |
DeleteUser
|
USER_DELETE |
CreateOrResetUIPassword
|
USER_UPDATE et USER_UIPASS_RESET |
ListApiKeys
|
USER_READ |
UploadApiKey
|
USER_UPDATE et USER_APIKEY_ADD |
DeleteApiKey
|
USER_UPDATE et USER_APIKEY_REMOVE |
ListAuthTokens
|
USER_READ |
UpdateAuthToken
|
USER_UPDATE et USER_AUTHTOKEN_RESET |
CreateAuthToken
|
USER_UPDATE et USER_AUTHTOKEN_SET |
DeleteAuthToken
|
USER_UPDATE et USER_AUTHTOKEN_REMOVE |
ListSwiftPasswords
|
USER_READ |
UpdateSwiftPassword
|
USER_UPDATE et USER_SWIFTPASS_RESET |
CreateSwiftPassword
|
USER_UPDATE et USER_SWIFTPASS_SET |
DeleteSwiftPassword
|
USER_UPDATE et USER_SWIFTPASS_REMOVE |
ListCustomerSecretKeys
|
USER_READ |
CreateSecretKey
|
USER_UPDATE et USER_SECRETKEY_ADD |
UpdateCustomerSecretKey
|
USER_UPDATE et USER_SECRETKEY_UPDATE |
DeleteCustomerSecretKey
|
USER_UPDATE et USER_SECRETKEY_REMOVE |
CreateOAuthClientCredential |
USER_UPDATE et USER_OAUTH2_CLIENT_CRED_CREATE |
UpdateOAuthClientCredential |
USER_UPDATE et USER_OAUTH2_CLIENT_CRED_UPDATE |
ListOAuthClientCredentials |
USER_READ |
DeleteOAuthClientCredential |
USER_UPDATE et USER_OAUTH2_CLIENT_CRED_REMOVE |
LinkSupportAccount |
USER_SUPPORT_ACCOUNT_LINK |
UnlinkSupportAccount |
USER_SUPPORT_ACCOUNT_UNLINK |
CreateSmtpCredential |
CREDENTIAL_ADD |
ListSmtpCredentials |
CREDENTIAL_INSPECT |
UpdateSmtpCredential |
CREDENTIAL_UPDATE |
DeleteSmtpCredential |
CREDENTIAL_REMOVE |
ListUserGroupMemberships
|
GROUP_INSPECT et USER_INSPECT |
GetUserGroupMembership
|
USER_INSPECT et GROUP_INSPECT |
AddUserToGroup
|
GROUP_UPDATE et USER_UPDATE |
RemoveUserFromGroup
|
GROUP_UPDATE et USER_UPDATE |
ListGroups
|
GROUP_INSPECT |
GetGroup
|
GROUP_INSPECT |
UpdateGroup
|
GROUP_UPDATE |
CreateGroup
|
GROUP_CREATE |
DeleteGroup
|
GROUP_DELETE |
ListDynamicGroups
|
DYNAMIC_GROUP_INSPECT |
GetDynamicGroup
|
DYNAMIC_GROUP_INSPECT |
UpdateDynamicGroup
|
DYNAMIC_GROUP_UPDATE |
CreateDynamicGroup
|
DYNAMIC_GROUP_CREATE |
DeleteDynamicGroup
|
DYNAMIC_GROUP_DELETE |
GetNetworkSource
|
NETWORK_SOURCE_INSPECT |
ListNetworkSources
|
NETWORK_SOURCE_INSPECT |
CreateNetworkSource
|
NETWORK_SOURCE_CREATE |
UpdateNetworkSource
|
NETWORK_SOURCE_UPDATE |
DeleteNetworkSource
|
NETWORK_SOURCE_DELETE |
ListPolicies
|
POLICY_READ |
GetPolicy
|
POLICY_READ |
UpdatePolicy
|
POLICY_UPDATE |
CreatePolicy
|
POLICY_CREATE |
DeletePolicy
|
POLICY_DELETE |
ListIdentityProviders
|
IDENTITY_PROVIDER_INSPECT |
GetIdentityProvider
|
IDENTITY_PROVIDER_INSPECT |
UpdateIdentityProvider
|
IDENTITY_PROVIDER_UPDATE |
CreateIdentityProvider
|
IDENTITY_PROVIDER_CREATE |
DeleteIdentityProvider
|
IDENTITY_PROVIDER_DELETE |
ListIdpGroupMappings
|
IDENTITY_PROVIDER_INSPECT et GROUP_INSPECT |
GetIdpGroupMapping
|
IDENTITY_PROVIDER_INSPECT et GROUP_INSPECT |
AddIdpGroupMapping
|
IDENTITY_PROVIDER_UPDATE et GROUP_UPDATE |
DeleteIdpGroupMapping
|
IDENTITY_PROVIDER_UPDATE et GROUP_UPDATE |
ListIamWorkRequests |
IAM_WORKREQUEST_INSPECT |
GetIamWorkRequest |
IAM_WORKREQUEST_READ |
ListWorkRequestErrors |
IAM_WORKREQUEST_INSPECT |
ListIamWorkRequestLogs |
IAM_WORKREQUEST_INSPECT |
ListTagNamespaces
|
TAG_NAMESPACE_INSPECT |
ListTaggingWorkRequest
|
TAG_NAMESPACE_INSPECT |
ListTaggingWorkRequestErrors
|
TAG_NAMESPACE_INSPECT |
ListTaggingWorkRequestLogs
|
TAG_NAMESPACE_INSPECT |
GetTaggingWorkRequest
|
TAG_NAMESPACE_INSPECT |
GetTagNamespace
|
TAG_NAMESPACE_INSPECT |
CreateTagNamespace
|
TAG_NAMESPACE_CREATE |
UpdateTagNamespace
|
TAG_NAMESPACE_UPDATE |
ChangeTagNamespaceCompartment
|
TAG_NAMESPACE_MOVE |
CascadeDeleteTagNamespace
|
TAG_NAMESPACE_DELETE |
DeleteTagNamespace
|
TAG_NAMESPACE_DELETE |
ListTags
|
TAG_NAMESPACE_INSPECT |
BulkEditTags
|
TAG_NAMESPACE_INSPECT |
ListCostTrackingTags
|
TAG_NAMESPACE_INSPECT |
GetTag
|
TAG_NAMESPACE_INSPECT |
CreateTag
|
TAG_NAMESPACE_USE |
UpdateTag
|
TAG_NAMESPACE_USE |
DeleteTag
|
TAG_NAMESPACE_DELETE |
BulkDeleteTags
|
TAG_NAMESPACE_DELETE |
ListTagDefaults
|
TAG_DEFAULT_INSPECT |
GetTagDefault
|
TAG_DEFAULT_INSPECT |
CreateTagDefault
|
TAG_DEFAULT_MANAGE |
UpdateTagDefault
|
TAG_DEFAULT_MANAGE |
DeleteTagDefault
|
TAG_DEFAULT_MANAGE |