Exemples de politique

Utilisez les exemples suivants pour en savoir plus sur la création de politiques IAM pour diverses ressources de gestion des dépendances d'application.

Base de connaissances

Créez une politique pour permettre aux utilisateurs d'un groupe de créer, mettre à jour ou supprimer une base de connaissances :

Allow group <group-name> to manage adm-knowledge-bases in compartment <compartment_name>

Recherche de vulnérabilités

Créez une politique pour permettre aux utilisateurs d'utiliser une base de connaissances dans un compartiment spécifique et de créer, mettre à jour ou supprimer des vérifications de vulnérabilité dans ce compartiment :

Allow group <group-name> to use adm-knowledge-bases in compartment <compartment_name>

Allow group <group-name> to manage adm-vulnerability-audits in compartment <compartment_name>

Mesure corrective

Vous devez créer un groupe dynamique pour exécuter correctement les mesures correctives. Les règles de correspondance définissent les ressources appartenant au groupe dynamique :

ALL {resource.type = 'admremediationrecipe', resource.compartment.id = 'compartmentOCID'}

Créez une politique pour accorder aux membres du groupe adm-admin l'autorisation de gérer (inspecter, lire, créer, mettre à jour, démarrer, supprimer, déplacer) les ressources de recette de mesure corrective, d'exécution de mesure corrective, d'étape d'exécution de mesure corrective, de recherche de vulnérabilités, de recommandation et de demande de travail :

Allow group adm-admin to manage adm-remediations-family in tenancy

Créez une politique pour accorder aux membres du groupe adm-dev l'autorisation d'inspecter, de lire et d'utiliser les ressources Activité, Exécution d'activité, Étape d'exécution d'activité, Recette de mesure corrective, Exécution de mesure corrective, Étape d'exécution de mesure corrective, Recherche de vulnérabilités et Recommandation. Les membres ne peuvent pas créer, supprimer ou déplacer des activités, supprimer des exécutions d'activité, supprimer des vérifications de vulnérabilité, supprimer des recommandations :

Allow group adm-dev to use adm-family in tenancy

Pour exécuter une mesure corrective, créez les politiques suivantes. Vous pouvez nommer le groupe dynamique de manière appropriée et remplacer compartmentOCID par l'OCID du compartiment :

Allow dynamic-group created-adm-dynamic-group to inspect dhcp-options in compartment <compartmentOCID>
Allow dynamic-group created-adm-dynamic-group to { ADM_KNOWLEDGE_BASE_READ, ADM_VULNERABILITY_AUDIT_READ, ADM_VULNERABILITY_AUDIT_CREATE } in compartment <compartmentOCID>
Allow dynamic-group created-adm-dynamic-group to inspect subnets in compartment <compartmentOCID>
Allow service adm to use subnets in compartment <compartmentOCID>
Allow service adm to use vnics in compartment <compartmentOCID>

Créez la politique suivante si vous utilisez la gestion du code source externe (SCM) :

Allow dynamic-group created-adm-dynamic-group to read secret-bundles in compartment <compartmentOCID>

Créez la politique suivante si vous utilisez OCI DevOps SCM (indiquez le nom du référentiel) :

Allow dynamic-group created-adm-dynamic-group to { DEVOPS_REPOSITORY_READ } in compartment <compartmentOCID> where target.repository.name = 'repositoryName'
Allow dynamic-group created-adm-dynamic-group to { DEVOPS_PULL_REQUEST_UPDATE, DEVOPS_PULL_REQUEST_CREATE, DEVOPS_PULL_REQUEST_INSPECT, DEVOPS_PULL_REQUEST_READ } in compartment <compartmentOCID> where target.repository.name = 'repositoryName'

Créez la politique suivante si vous utilisez un sous-réseau propre au domaine de disponibilité :

Allow dynamic-group created-adm-dynamic-group to use subnets in compartment <compartmentOCID>
Allow dynamic-group created-adm-dynamic-group to {COMPARTMENT_INSPECT} in compartment <compartmentOCID>

Créez le groupe dynamique et la politique suivants si vous utilisez le pipeline de compilation Devops pour OCI :

ALL {resource.type = 'devopsbuildpipeline', resource.compartment.id = 'compartmentOCID'}

Allow dynamic-group devops-build-dynamic-group to { DEVOPS_BUILD_RUN_READ, DEVOPS_BUILD_RUN_CREATE } in compartment <compartmentOCID>