Documentation sur Oracle Cloud Infrastructure

Aperçu de la syntaxe d'une politique

La syntaxe globale d'un énoncé de politique est expliquée dans cette section.

Avant de pouvoir contrôler l'accès aux ressources de gestion des dépendances d'application, vous devez créer des utilisateurs et les placer dans les groupes appropriés (voir Gestion des utilisateurs et Gestion des groupes). Vous pouvez ensuite créer des politiques et des énoncés pour contrôler l'accès (voir Gestion des politiques). Un groupe dynamique est un type spécial de groupe contenant les ressources qui correspondent aux règles que vous définissez. Pour plus d'informations, voir Gestion des groupes dynamiques.

Une politique permet à un groupe  d'utiliser de certaines façons des types spécifiques de ressource  dans un compartiment  particulier. 

Allow <subject> to <verb> <resource-type> in <location> where <condition>

Par exemple, vous pouvez spécifier :

  • Un groupe ou un groupe dynamique par nom ou OCID comme <subject>. Vous pouvez également utiliser any-user pour couvrir tous les utilisateurs de la location.

  • inspect, read, use et manage comme <verb> pour accorder à <subject> l'accès à une ou plusieurs autorisations.

    Lorsque vous passez de inspect > read > use > manage, le niveau d'accès augmente et les autorisations accordées sont cumulatives. Par exemple, use inclut read et la possibilité de mettre à jour.

  • Famille de ressources, par exemple adm-family pour <resource-type>. Vous pouvez également spécifier une ressource individuelle dans une famille, par exemple adm-knowledge-bases et adm-vulnerability-audits.

  • Un compartiment par nom ou OCID comme <location>. Vous pouvez également utiliser tenancy pour couvrir l'ensemble de la location.

  • Une ou plusieurs conditions dans <condition>, qui doivent être remplies pour que l'accès soit accordé. Pour plusieurs conditions, vous pouvez utiliser any ou all.

    Une condition est constituée d'une ou plusieurs variables. Une variable peut être pertinente pour la demande elle-même (par exemple, request.operation) ou pour la ressource qui fait l'objet d'une action dans la demande (par exemple, target.compartment.id). Voici la marche à suivre pour permettre à un groupe de gérer une base de connaissances spécifique et non aucune autre :

    Allow group <group-name> to manage adm-knowledge-bases in compartment <compartment-name> where target.compartment.id = '<compartment-ocid>'

    Ou, pour permettre à un groupe de gérer toutes les ressources de gestion des dépendances d'application, à l'exception de la suppression des bases de connaissances :

    Allow group <group-name> to manage adm-family in compartment <compartment-name> where request.permission != 'ADM_KNOWLEDGE_BASE_DELETE'

Pour plus de détails, voir Syntaxe de politique. Pour plus d'informations sur la création de politiques, voir Fonctionnement des politiques et Informations de référence sur les politiques.