Présentation des ressources et des autorisations du service de mégadonnées dans les politiques GIA
Le service Oracle de gestion des identités et des accès (GIA), Oracle Identity and Access Management, fournit une structure flexible pour la rédaction des énoncés de politique qui contrôlent l'interaction des ressources. Le service GIA définit un certain nombre de ressources standard et les autorisations nécessaires pour interagir avec elles. Le service de mégadonnées ajoute ses propres ressources et autorisations.
Cette rubrique décrit les ressources et les autorisations qu'un administrateur peut utiliser pour créer des énoncés de politique GIA pour le service de mégadonnées.
Types de ressource et autorisations
| Famille de ressources | Type de ressource | Permissions |
|---|---|---|
| bds-family | bds-instances |
|
| bds-family | bds-limits |
|
Mappage des opérations aux autorisations
Le tableau suivant répertorie les opérations GIA propres au service de mégadonnées. Vous pouvez écrire une politique GIA qui inclut ces opérations ou une politique qui utilise un verbe défini qui encapsule ces opérations.
| Opération | Opérations d'API | Autorisation requise pour utiliser l'opération |
|---|---|---|
| Lister toutes les grappes du compartiment indiqué | ListBdsInstances | BDS_INSPECT |
| Créer une grappe | CreateBdsInstance | BDS_CREATE |
| Afficher des détails de la grappe spécifiée | GetBdsInstance | BDS_READ |
| Modifier la taille d'une grappe | ChangeShape | BDS_UPDATE |
| Mettre à jour les détails d'une grappe | UpdateBdsInstance | BDS_UPDATE |
| Supprimer l'instance spécifiée | DeleteBdsInstance | BDS_DELETE |
| Ajouter le stockage par blocs à la grappe spécifiée | AddBlockStorage | BDS_UPDATE |
| Ajouter des noeuds de travail à la grappe spécifiée | AddWorkerNodes | BDS_UPDATE |
| Redémarrer un noeud spécifié d'une grappe | RestartNode | BDS_UPDATE |
| Ajouter Cloud SQL à la grappe spécifiée | AddCloudSql | BDS_UPDATE |
| Supprimer Cloud SQL de la grappe spécifiée | RemoveCloudSql | BDS_UPDATE |
| Déplacer la grappe d'un compartiment à un autre | ChangeBdsInstanceCompartment | BDS_MOVE |
| Répertorier toutes les configurations d'ajustement automatique pour la grappe spécifiée | ListAutoScalingConfigurations | BDS_INSPECT |
| Ajouter une configuration d'ajustement automatique à la grappe spécifiée | AddAutoScalingConfiguration | BDS_UPDATE |
| Afficher les informations détaillées sur la configuration d'ajustement automatique spécifiée | GetAutoScalingConfiguration | BDS_READ |
| Mettre à jour les champs d'une configuration d'ajustement automatique | UpdateAutoScalingConfiguration | BDS_UPDATE |
| Supprimer une configuration d'ajustement automatique | RemoveAutoScalingConfiguration | BDS_UPDATE |
| Répertorier toutes les demandes de travail du service de mégadonnées dans le compartiment spécifié | ListWorkRequests | BDS_INSPECT |
| Afficher les détails des demandes de travail spécifiées | GetWorkRequest | BDS_READ |
| Afficher les journaux de la demande de travail spécifiée | ListWorkRequestLogs | BDS_INSPECT |
| Afficher les erreurs de la demande de travail spécifiée | ListWorkRequestErrors | BDS_INSPECT |
| Afficher les ressources utilisées | ListConsumptions | BDS_CONSUMPTION_INSPECT |
| Lister les clés d'API de la grappe spécifiée | ListBdsApiKeys | BDS_READ |
| Créer une clé d'API pour la grappe spécifiée | CreateBdsApiKey | BDS_UPDATE |
| Obtenir une clé d'API pour la grappe spécifiée | GetBdsApiKey | BDS_READ |
| Supprimer une clé d'API de la grappe spécifiée | DeleteBdsApiKey | BDS_UPDATE |
| Tester l'accès au seau du magasin d'objets à l'aide de la clé d'API spécifiée | TestBdsObjectStorageConnection | BDS_READ |
Attributs propres aux opérations
Pour un type de ressource donné, vous devez avoir le même jeu d'attributs pour toutes les opérations (get, list, delete, etc.). L'une des exceptions concerne l'opération de création qui ne comprend pas encore l'ID de l'objet. Vous ne pouvez pas avoir d'attribut target.RESOURCE-KIND.id pour "create".
| Type de ressource | Le nom | Type | Source |
|---|---|---|---|
| bds-instances | target.bds-instances.source-compartment.id | Entité | Demande |
| bds-instances | target.bds-instances.destination-compartment.id | Entité | Demande |
Verbes IAM à utiliser avec le service de mégadonnées
| Type de ressource | inspecter | lire | utiliser | gérer |
|---|---|---|---|---|
| bds-instances | BDS_INSPECT | inspect + BDS_READ |
lire + BDS_UPDATE |
utiliser + BDS_CREATE BDS_DELETE BDS_MOVE |
| bds-limits | BDS_CONSUMPTION_INSPECT | . | . | . |
Exemple 1 - Administrateurs ayant toutes les autorisations pour les grappes
L'énoncé de politique suivant indique que les membres d'un groupe nommé bds-admins peuvent inspecter, lire, mettre à jour, créer, supprimer et déplacer toutes les grappes d'un compartiment nommé bds-learn.
allow bds-admins to manage bds-instances in compartment bds-devDans l'énoncé ci-dessus :
-
bds-adminsest un groupe créé par un administrateur. -
manageindique les opérations que les membres du groupebds-adminspeuvent utiliser.Manageest l'un des verbes décrits dans "Verbes IAM à utiliser avec le service de mégadonnées". Il autorise un utilisateur ou un groupe à se servir de toutes les opérations exécutées par les verbesinspect,readetuse, ainsi que de quelques opérations propres au verbemanage:- Le verbe
inspectcomprend l'opérationBDS_INSPECT. - Le verbe
readcomprend les opérationsBDS_INSPECTetBDS_READ. - Le verbe
usecomprend les opérationsBDS_INSPECT,BDS_READetBDS_UPDATE. - Le verbe
manageinclut les opérationsBDS_INSPECT,BDS_READ,BDS_UPDATE,BDS_CREATE,BDS_DELETEetBDS_MOVE.
- Le verbe
-
bds-devest un compartiment créé par un administrateur.
L'énoncé de politique suivant indique que les membres du groupe bds-admins peuvent gérer les ressources du réseau en nuage virtuel (VCN) dans l'ensemble de la location.
allow group bds-admins to manage virtual-network-family in tenancyExemple 2 - Utilisateurs
L'énoncé de politique suivant indique que les membres d'un groupe nommé bds-users peuvent inspecter et lire toutes les grappes du compartiment bds-learn. (Le verbe read inclut les autorisations inspect et read.)
allow bds-users to read bds-instances in compartment bds-learnInformations supplémentaires
Pour plus d'informations sur les politiques GIA, voir Aperçu du service de gestion des identités et des accès pour Oracle Cloud Infrastructure dans la documentation Oracle Cloud Infrastructure. Pour plus de détails sur l'écriture des politiques, voir Syntaxe de politique et Informations de référence sur les politiques.