Gestion des valeurs par défaut de marqueur

Si vous faites partie du groupe d'administrateurs, vous disposez des droits d'accès nécessaires pour gérer les valeurs par défaut de marqueur et les espaces de noms de marqueur. Pour des informations plus précises sur les politiques pour cette fonction, voir Autorisations requises pour l'utilisation de marqueurs par défaut.

Pour en savoir plus sur les politiques, voir Gestion des domaines d'identité et Politiques communes. Pour en savoir plus sur l'écriture de politiques pour le marquage ou d'autres composants IAM, voir Informations détaillées sur le service IAM sans domaine d'identité.

Les marqueurs par défaut vous permettent de spécifier des marqueurs qui sont appliqués automatiquement à toutes les ressources d'un compartiment particulier au moment de leur création. Cette fonction vous permet d'appliquer les marqueurs appropriés lors de la création des ressources sans que l'utilisateur qui crée les ressources ait accès aux espaces de noms de marqueur. Prenez l'exemple suivant :

Alice est administrateur pour les finances et a accès à l'espace de noms de marqueur restreint Finance. Alice peut configurer un marqueur par défaut pour appliquer le marqueur Finance.CostCenter avec une valeur W1234 à toutes les ressources. Eli peut créer des ressources, mais n'a pas accès à l'espace de noms de marqueur Finance. Lorsqu'Eli crée une ressource, le marqueur Finance.CostCenter est automatiquement appliqué avec la valeur W1234. Eli ne peut pas modifier ce marqueur. Alice est donc certaine qu'il sera toujours appliqué correctement et qu'il ne sera pas modifié par les utilisateurs qui créent ou modifient des ressources.

Les marqueurs par défaut permettent aux administrateurs d'une location de créer des limites d'autorisation sécurisées entre les utilisateurs chargés de la gouvernance et les utilisateurs qui ont besoin de créer et d'administrer des ressources.

Les valeurs par défaut de marqueur sont définies pour un compartiment spécifique. Dans la console, vous gérez les valeurs par défaut de marqueur dans la page Détails du compartiment.

Pour créer ou modifier une valeur par défaut de marqueur pour un compartiment, vous devez disposer de la combinaison d'autorisations suivante :

• Accès manage tag-defaults pour le compartiment où vous ajoutez le marqueur par défaut
• Accès use tag-namespaces pour le compartiment où réside l'espace de noms de marqueur
• Accès inspect tag-namespaces pour la location

Pour le mappage complet des autorisations aux opérations d'API, voir Informations détaillées sur le service IAM sans domaine d'identité.

Par exemple, supposons que vous ayez créé un ensemble d'espaces de noms de marqueur dans CompartmentA. Pour accorder au groupe nommé TagAdmins l'autorisation d'ajouter des marqueurs par défaut à CompartmentA, écrivez une politique contenant les énoncés suivants :

Allow group TagAdmins to manage tag-defaults in compartment CompartmentA
Allow group TagAdmins to use tag-namespaces in compartment CompartmentA
Allow group TagAdmins to inspect tag-namespaces in tenancy

Supposons maintenant que vous souhaitiez autoriser TagAdmins à créer des valeurs par défaut de marqueur dans CompartmentA à l'aide des espaces de noms de marqueur figurant dans CompartmentZ. Ajoutez un énoncé autorisant TagAdmins à utiliser les espaces de noms de marqueur dans CompartmentZ :

Allow group TagAdmins to use tag-namespaces in compartment CompartmentZ

Maintenant, lorsque les utilisateurs du groupe TagAdmins créent des marqueurs par défaut dans CompartmentC, Ils peuvent utiliser des espaces de noms de marqueur situés dans CompartmentA ou CompartmentZ.

Un maximum de 20 valeurs par défaut de marqueur peuvent être définies par compartiment.

Voir Limites relatives aux marqueurs pour plus d'informations sur les limites associées aux marqueurs.

Vous ne pouvez utiliser des valeurs par défaut de marqueur qu'avec des marqueurs définis. Les marqueurs à structure libre ne sont pas pris en charge comme marqueurs par défaut.

Vous pouvez définir jusqu'à 20 marqueurs par défaut par compartiment.

Une fois qu'une valeur par défaut de marqueur est créée dans un compartiment :

• Le marqueur par défaut est appliqué à toute nouvelle ressource créée dans ce compartiment.
• Les ressources existantes du compartiment ne sont pas marquées de manière rétroactive.
• Si vous modifiez la valeur par défaut de marqueur, les occurrences existantes ne sont pas mises à jour.

• Si vous supprimez la valeur par défaut de marqueur du compartiment, les occurrences existantes du marqueur ne sont pas supprimées des ressources.
• Lorsque vous supprimez une définition de clé de marqueur, les valeurs par défaut de marqueur existantes basées sur cette définition de clé de marqueur ne sont pas supprimées du compartiment. Tant que vous ne supprimez pas la valeur par défaut de marqueur dans le compartiment, elle continue d'être comptabilisée dans votre limite de 20 valeurs par défaut de marqueur par compartiment.

Pour les marqueurs par défaut, vous devez inclure une valeur, mais vous avez le choix concernant l'application de la valeur.

• Valeur par défaut
• Valeur appliquée par l'utilisateur

Si vous utilisez une valeur par défaut, vous devez la créer. Cette valeur est appliquée à toutes les ressources.

Si vous spécifiez qu'une valeur appliquée par l'utilisateur est requise, l'utilisateur qui crée la ressource doit entrer la valeur pour le marqueur lors de la création de la ressource. Les utilisateurs ne peuvent pas créer de ressources sans entrer de valeur pour ce marqueur.

Le marqueur par défaut est appliqué à toutes les ressources créées dans le compartiment, y compris les compartiments enfants et les ressources créées dans les compartiments enfants.

Exemple :

• Dans CompartmentA, vous créez un marqueur par défaut, TagA.

  Les ressources (et les compartiments) créées dans CompartmentA sont automatiquement marquées avec TagA.

  • Dans le sous-compartiment CompartmentB, vous créez un marqueur par défaut, TagB.

    Les ressources et les compartiments créés dans CompartmentB sont automatiquement marqués avec TagA et TagB.

    • Dans le sous-compartiment CompartmentC, vous créez un marqueur par défaut, TagC.

      Les ressources créées dans CompartmentC sont automatiquement marquées avec TagA, TagB et TagC.

Cet exemple est illustré dans le diagramme ci-dessous.

Les valeurs par défaut de marqueur peuvent être remplacées lors de la création d'une ressource par des utilisateurs qui disposent des autorisations appropriées pour créer la ressource et utiliser l'espace de noms de marqueur.

Exemple : CompartmentA a un marqueur par défaut défini appliquant CostCenter.Operations="42". Pradeep appartient à un groupe qui l'autorise à créer des instances dans CompartmentA et également à utiliser les espaces de noms de marqueur dans CompartmentA. Il crée une instance dans CompartmentA, et dans la boîte de dialogue Créer une instance, il applique le marqueur CostCenter.Operations="50". Comme il a les autorisations appropriées, lors de la création de l'instance, le marqueur par défaut est remplacé et l'instance est marquée avec CostCenter.Operations="50".

Une fois qu'une ressource a été créée et marquée, les utilisateurs ayant les autorisations appropriées pour mettre à jour la ressource et utiliser l'espace de noms de marqueur peuvent modifier les valeurs par défaut de marqueur qui ont été appliquées lors de la création de la ressource.

Les marqueurs désactivés ne peuvent pas être appliqués aux nouvelles ressources. Par conséquent, si l'espace de noms de marqueur ou la clé de marqueur spécifié dans une valeur par défaut de marqueur est mis hors service, le marqueur mis hors service n'est pas appliqué lorsque de nouvelles ressources sont créées. À titre de meilleure pratique, supprimez la valeur par défaut de marqueur qui spécifie le marqueur mis hors service.

Vous pouvez utiliser des variables de marqueur dans les marqueurs par défaut. Les variables de marqueurs sont résolues de façon dynamique lors de la création de ressources. Par exemple, vous entrez une variable de marqueur pour le nom de principal comme marqueur par défaut dans un compartiment particulier.

Operations.CostCenter="${iam.principal.name}"

Davis et Garcia créent tous deux des seaux dans ce compartiment. Les seaux que Davis crée incluent des marqueurs par défaut contenant son nom comme valeur, tandis que les seaux créés par Garcia contiennent son nom.

Operations.CostCenter="Davis"

Operations.CostCenter="Garcia"

Tout ce temps, le marqueur par défaut contient toujours les variables initiales. Voir Utilisation de variables de marqueur.