Politiques de sécurité GIA
Les politiques de sécurité IAM sont utilisées pour régir l'accès des groupes IAM aux ressources des compartiments et de la location.
Oracle recommande l'affectation de privilèges d'accès minimaux aux groupes GIA pour l'accès aux ressources. Le format commun des politiques GIA est présenté dans l'exemple suivant.
Allow group <group_name> to <verb> <resource-type> in compartment <compartment_name>
Allow group <group_name> to <verb> <resource-type> in tenancyLes politiques GIA permettent l'utilisation de quatre verbes prédéfinis : inspect, read, use et manage. Inspect accorde le minimum de privilèges et manage accorde le maximum. Les quatre verbes sont présentés en ordre croissant de privilège dans le tableau suivant.
| Verbe | Type d'accès | Exemple d'utilisateur |
|---|---|---|
inspect
|
Devrait seulement afficher les métadonnées. En règle générale, cela permet uniquement de lister les ressources. | vérificateur de tierce partie |
read
|
accès inspect plus capacité de lire les métadonnées de ressource et d'utilisateur. Il s'agit de l'autorisation dont la plupart des utilisateurs ont besoin pour accomplir leur travail. | vérificateurs internes |
use
|
accès read plus capacité d'utiliser les ressources (les actions varient selon le type de ressource). Ne permet pas de créer ou de supprimer une ressource. | utilisateurs ordinaires (développeurs de logiciels, ingénieurs système, gestionnaires de développement, etc.) qui configurent des ressources de la location ainsi que les applications exécutées sur elles. |
manage
|
Toutes les autorisations pour toutes les ressources | administrateurs, cadres (lors de situations d'urgence) |
Les types des ressources d'Oracle Cloud Infrastructure sont présentés dans le tableau suivant.
| Famille de types de ressource | Description | Types de ressource |
|---|---|---|
all-resources |
Tous les types de ressource | |
| Aucun nom par conception | Types de ressource du service GIA | compartments, users, groups, dynamic-groups, policies, identity-providers, tenancy tag-namespaces, tag-definitions |
instance-family |
Types de ressource du service de calcul | console-histories, instance-console-connection, instance-images, instances, volume-attachmentsapp-catalog-listing |
volume-family |
Types de ressource du service de stockage par blocs | volumes, volume-attachments, volume-backups |
virtual-network-family |
Types de ressource du service de réseau virtuel | vcns, subnets, route-tables, security-lists, dhcp-options, private-ips, public-ips, internet-gateways, local-peering-gatewaysdrgs, deg-attachments, cpes, ipsec-connections, cross-connects, cross-connect-groups, virtual-circuits, vnics, vnic-attachments |
object-family |
Types de ressource du service de stockage d'objets | buckets, objects |
database-family |
Types de ressource du service DbaaS | db-systems, db-nodes, db-homes, databases, backups |
load-balancers |
Ressources du service d'équilibrage de charge | load-balancers |
file-family |
Ressources du service de stockage de fichiers | file-systems, mount-targets, export-sets |
dns |
Ressources du service DNS | dns-zones, dns-records, dns-traffic |
email-family |
Ressources du service de transmission de messages | approved-senders, suppressions |
Pour plus d'informations sur les mappages de verbes GIA et d'autorisations pour les types de ressource, voir Informations détaillées sur les services de base.
Les politiques de sécurité GIA peuvent être précisées davantage en utilisant des conditions. L'accès spécifié dans la politique n'est autorisé que si les énoncés de condition sont évalués à Vrai. Les conditions sont spécifiées au moyen de variables prédéfinies. Les variables utilisent les mots clés request ou target, selon que la variable est pertinente pour la demande ou pour la ressource désirée, respectivement. Pour plus d'informations sur les variables prédéfinies prises en charge, voir Informations de référence sur les politiques.
Les groupes dynamiques IAM sont utilisés pour autoriser les instances de calcul à accéder aux API Oracle Cloud Infrastructure. La fonctionnalité de principal d'instance peut être utilisée par les applications qui s'exécutent sur les instances pour accéder par programmation aux services Oracle Cloud Infrastructure. Les clients créent des groupes dynamiques qui incluent des instances en tant que membres et accordent l'accès aux ressources de leur location au moyen de politiques de sécurité GIA. Tous les accès par des instances sont saisis dans les journaux de vérification disponibles pour les clients.