Politiques pour le service de gestion des identités et des accès (IAM)
Voyez comment écrire des politiques IAM pour OCI pour contrôler l'accès aux ressources de la solution VMware pour Oracle Cloud.
Par défaut, seuls les utilisateurs du groupe Administrators
peuvent accéder à toutes les ressources et fonctions de la solution VMware. Pour contrôler l'accès des utilisateurs non administrateurs aux ressources et fonctions de la solution VMware, vous créez des groupes IAM, puis vous écrivez des politiques qui donnent aux groupes un accès approprié.
Si vous avez besoin de la liste complète des politiques Oracle Cloud Infrastructure, voir Informations de référence sur les politiques.
Types de ressource
sddcs
Variables prises en charge
Seules les variables générales sont prises en charge (voir Variables générales pour toutes les demandes).
Informations détaillées sur les combinaisons Verbe + Type de ressource
Les tableaux suivants présentent les autorisations et les opérations d'API couvertes par chaque verbe pour la solution VMware. Le niveau d'accès est cumulatif au fur et à mesure que vous progressez depuis inspect
à read
, use
et manage
. Un signe plus (+)
dans une cellule de tableau indique un accès incrémentiel par rapport à la cellule directement au-dessus, alors que la mention "aucun accès supplémentaire" indique qu'il n'y a aucun accès incrémentiel.
sddcs
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspecter |
SDDC_INSPECT |
|
aucun |
lire |
INSPECTER + SDDC_READ |
INSPECTER +
|
aucun |
utiliser |
LIRE + SDDC_UPDATE SDDC_UPDATE_ESXI_HOST |
LIRE +
|
aucun |
gérer |
UTILISER + SDDC_CREATE SDDC_MOVE SDDC_ADD_ESXI_HOST SDDC_DELETE_ESXI_HOST SDDC_DELETE |
UTILISER +
|
|
Autorisations requises pour chaque opération d'API
Le tableau suivant liste les opérations d'API dans un ordre logique, regroupées par type de ressource.
Opérations d'API | Autorisations requises pour utiliser l'opération |
---|---|
ListSddcs
|
SDDC_INSPECT |
GetSddc
|
SDDC_READ |
CreateSddc
|
SDDC_CREATE & INSTANCE_CREATE & INSTANCE_ATTACH_SECONDARY_VNIC & VCN_READ & VCN_ATTACH & SUBNET_READ & SUBNET_ATTACH & VNIC_READ & VNIC_CREATE & VLAN_READ & VLAN_ATTACH & PRIVATE_IP_CREATE & PRIVATE_IP_ASSIGN & SECURITY_LIST_READ & NETWORK_SECURITY_GROUP_LIST_SECURITY_RULES |
ListWorkRequests
|
SDDC_INSPECT |
GetWorkRequest
|
SDDC_READ |
ChangeSddcCompartment
|
SDDC_MOVE |
UpdateSddc
|
SDDC_UPDATE |
DeleteSddc
|
SDDC_DELETE & INSTANCE_DELETE & INSTANCE_DETACH_SECONDARY_VNIC & VCN_DETACH & SUBNET_DETACH & VLAN_DETACH & VNIC_READ & VNIC_DELETE & PRIVATE_IP_DELETE & PRIVATE_IP_UNASSIGN |
ListEsxiHosts
|
SDDC_INSPECT |
CreateEsxiHost
|
SDDC_ADD_ESXI_HOST & INSTANCE_CREATE & INSTANCE_ATTACH_SECONDARY_VNIC & VCN_READ & VCN_ATTACH & SUBNET_READ & SUBNET_ATTACH & VLAN_READ & VLAN_ATTACH & VNIC_READ & VNIC_CREATE & PRIVATE_IP_CREATE & PRIVATE_IP_ASSIGN |
UpdateEsxiHost
|
SDDC_UPDATE_ESXI_HOST |
DeleteEsxiHost
|
SDDC_DELETE_ESXI_HOST & INSTANCE_DELETE & INSTANCE_DETACH_SECONDARY_VNIC & VCN_DETACH & SUBNET_DETACH & VLAN_DETACH & VNIC_READ & VNIC_DELETE & PRIVATE_IP_DELETE & PRIVATE_IP_UNASSIGN |
Création d'une politique
Pour créer des politiques pour un groupe d'utilisateurs, vous devez connaître le nom du groupe GIA pour Oracle Cloud Infrastructure.
Pour créer une politique :
- Dans le menu de navigation de la console, sélectionnez Identité et sécurité, puis sous Identité, sélectionnez Politiques.
- Cliquez sur Créer une politique.
- Entrez un nom et une description (facultative) pour la politique.
- Sélectionnez le compartiment dans lequel créer la politique.
- Sélectionnez Afficher l'éditeur manuel. Entrez ensuite les énoncés de politique dont vous avez besoin.
- (Facultatif) Sélectionnez Créer une autre politique pour rester dans la page Créer une politique après avoir créé cette politique.
- Pour créer la politique, cliquez sur Créer.
Politiques communes
Permettre aux utilisateurs de créer, de gérer et de supprimer des SDDC, des hôtes ESXi et des réseaux VLAN
Type d'accès : Permet de créer, de gérer ou de supprimer un SDDC, un hôte ESXi ou des réseaux VLAN.
Où créer la politique : dans la location pour que tous les compartiments puissent facilement créer, gérer ou supprimer une ressource de VMware Solution au moyen de l'héritage des politiques. Pour réduire la portée de ces fonctions d'administration aux SDDC d'un compartiment particulier, indiquez ce compartiment au lieu de la location.
Cet exemple de politique inclut également des autorisations pour les ressources de calcul et de réseau. Ces ressources de calcul et de réseau sont requises pour créer, gérer ou supprimer des SDDC, des hôtes ESXi ou des réseaux VLAN. L'autorisation minimale requise est affichée pour chacun d'eux.
Allow group <group_name> to manage sddcs in tenancy
Allow group <group_name> to manage instances in tenancy
Allow group <group_name> to manage vcns in tenancy
Allow group <group_name> to use subnets in tenancy
Allow group <group_name> to use vnics in tenancy
Allow group <group_name> to use vlans in tenancy
Allow group <group_name> to use private-ips in tenancy
Allow group <group_name> to inspect security-lists in tenancy
Allow group <group_name> to use network-security-groups in tenancy