Politiques pour le service de gestion des identités et des accès (IAM)

Voyez comment écrire des politiques IAM pour OCI pour contrôler l'accès aux ressources de la solution VMware pour Oracle Cloud.

Par défaut, seuls les utilisateurs du groupe Administrators peuvent accéder à toutes les ressources et fonctions de la solution VMware. Pour contrôler l'accès des utilisateurs non administrateurs aux ressources et fonctions de la solution VMware, vous créez des groupes IAM, puis vous écrivez des politiques qui donnent aux groupes un accès approprié.

Si vous avez besoin de la liste complète des politiques Oracle Cloud Infrastructure, voir Informations de référence sur les politiques.

Types de ressource

sddcs

Variables prises en charge

Seules les variables générales sont prises en charge (voir Variables générales pour toutes les demandes).

Informations détaillées sur les combinaisons Verbe + Type de ressource

Les tableaux suivants présentent les autorisations et les opérations d'API couvertes par chaque verbe pour la solution VMware. Le niveau d'accès est cumulatif au fur et à mesure que vous progressez depuis inspect à read, use et manage. Un signe plus (+) dans une cellule de tableau indique un accès incrémentiel par rapport à la cellule directement au-dessus, alors que la mention "aucun accès supplémentaire" indique qu'il n'y a aucun accès incrémentiel.

sddcs


Verbes	Autorisations	API entièrement couvertes	API partiellement couvertes
inspecter	SDDC_INSPECT	`ListSddcs` `ListWorkRequests`	aucun
lire	INSPECTER + SDDC_READ	INSPECTER + `GetSddc` `GetWorkRequest`	aucun
utiliser	LIRE + SDDC_UPDATE SDDC_UPDATE_ESXI_HOST	LIRE + `UpdateSddc` `UpdateEsxiHost`	aucun
gérer	UTILISER + SDDC_CREATE SDDC_MOVE SDDC_ADD_ESXI_HOST SDDC_DELETE_ESXI_HOST SDDC_DELETE	UTILISER + `ChangeSddcCompartment`	`CreateSddc` (Vous avez également besoin de `manage instances`, `manage vcns`, `use subnets`, `use vnics`, `use vlans`, `use private-ips`, `inspect security-lists`, `use network-security-groups`) `DeleteSddc`, `CreateEsxiHost`, `DeleteEsxiHost` (également besoin de `manage instances`, `manage vcns`, `use subnets`, `use vnics`, `use vlans`, `use private-ips`)

Autorisations requises pour chaque opération d'API

Le tableau suivant liste les opérations d'API dans un ordre logique, regroupées par type de ressource.


Opérations d'API	Autorisations requises pour utiliser l'opération
`ListSddcs`	SDDC_INSPECT
`GetSddc`	SDDC_READ
`CreateSddc`	SDDC_CREATE & INSTANCE_CREATE & INSTANCE_ATTACH_SECONDARY_VNIC & VCN_READ & VCN_ATTACH & SUBNET_READ & SUBNET_ATTACH & VNIC_READ & VNIC_CREATE & VLAN_READ & VLAN_ATTACH & PRIVATE_IP_CREATE & PRIVATE_IP_ASSIGN & SECURITY_LIST_READ & NETWORK_SECURITY_GROUP_LIST_SECURITY_RULES
`ListWorkRequests`	SDDC_INSPECT
`GetWorkRequest`	SDDC_READ
`ChangeSddcCompartment`	SDDC_MOVE
`UpdateSddc`	SDDC_UPDATE
`DeleteSddc`	SDDC_DELETE & INSTANCE_DELETE & INSTANCE_DETACH_SECONDARY_VNIC & VCN_DETACH & SUBNET_DETACH & VLAN_DETACH & VNIC_READ & VNIC_DELETE & PRIVATE_IP_DELETE & PRIVATE_IP_UNASSIGN
`ListEsxiHosts`	SDDC_INSPECT
`CreateEsxiHost`	SDDC_ADD_ESXI_HOST & INSTANCE_CREATE & INSTANCE_ATTACH_SECONDARY_VNIC & VCN_READ & VCN_ATTACH & SUBNET_READ & SUBNET_ATTACH & VLAN_READ & VLAN_ATTACH & VNIC_READ & VNIC_CREATE & PRIVATE_IP_CREATE & PRIVATE_IP_ASSIGN
`UpdateEsxiHost`	SDDC_UPDATE_ESXI_HOST
`DeleteEsxiHost`	SDDC_DELETE_ESXI_HOST & INSTANCE_DELETE & INSTANCE_DETACH_SECONDARY_VNIC & VCN_DETACH & SUBNET_DETACH & VLAN_DETACH & VNIC_READ & VNIC_DELETE & PRIVATE_IP_DELETE & PRIVATE_IP_UNASSIGN

Création d'une politique

Pour créer des politiques pour un groupe d'utilisateurs, vous devez connaître le nom du groupe GIA pour Oracle Cloud Infrastructure.

Pour créer une politique :

Dans le menu de navigation de la console, sélectionnez Identité et sécurité, puis sous Identité, sélectionnez Politiques.
Cliquez sur Créer une politique.
Entrez un nom et une description (facultative) pour la politique.
Sélectionnez le compartiment dans lequel créer la politique.
Sélectionnez Afficher l'éditeur manuel. Entrez ensuite les énoncés de politique dont vous avez besoin.
(Facultatif) Sélectionnez Créer une autre politique pour rester dans la page Créer une politique après avoir créé cette politique.
Pour créer la politique, cliquez sur Créer.

Politiques communes

Permettre aux utilisateurs de créer, de gérer et de supprimer des SDDC, des hôtes ESXi et des réseaux VLAN

Type d'accès : Permet de créer, de gérer ou de supprimer un SDDC, un hôte ESXi ou des réseaux VLAN.

Où créer la politique : dans la location pour que tous les compartiments puissent facilement créer, gérer ou supprimer une ressource de VMware Solution au moyen de l'héritage des politiques. Pour réduire la portée de ces fonctions d'administration aux SDDC d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Cet exemple de politique inclut également des autorisations pour les ressources de calcul et de réseau. Ces ressources de calcul et de réseau sont requises pour créer, gérer ou supprimer des SDDC, des hôtes ESXi ou des réseaux VLAN. L'autorisation minimale requise est affichée pour chacun d'eux.

Allow group <group_name> to manage sddcs in tenancy
Allow group <group_name> to manage instances in tenancy
Allow group <group_name> to manage vcns in tenancy
Allow group <group_name> to use subnets in tenancy
Allow group <group_name> to use vnics in tenancy
Allow group <group_name> to use vlans in tenancy
Allow group <group_name> to use private-ips in tenancy
Allow group <group_name> to inspect security-lists in tenancy
Allow group <group_name> to use network-security-groups in tenancy

Documentation sur Oracle Cloud Infrastructure