Documentation sur Oracle Cloud Infrastructure

Politiques IAM - AWS

Créer les politiques IAM requises pour la migration.

Aperçu

AWS utilise des politiques IAM pour contrôler l'accès aux ressources et aux API AWS.

Pour migrer des ressources AWS vers OCI, vous devez créer des politiques AWS IAM. Ces politiques accordent les autorisations nécessaires à la migration. Un utilisateur AWS IAM dédié peut d'abord être créé dans votre compte AWS. L'utilisateur est ensuite ajouté à un groupe d'utilisateurs IAM auquel toutes les politiques AWS IAM sont affectées. À l'aide du groupe d'utilisateurs Amazon IAM, les autorisations peuvent être affectées de manière permanente à un groupe d'utilisateurs AWS IAM.

Les politiques AWS IAM sont de deux types, basés sur les ressources et sur l'identité. Pour autoriser l'accès, une politique basée sur l'identité doit autoriser certaines autorisations et les politiques basées sur les ressources ne doivent pas interdire les actions nécessaires à la migration. Lorsqu'un utilisateur IAM a un rôle autorisant l'action, mais qu'une ressource a une stratégie qui interdit l'action explicitement, le gestionnaire d'accès AWS interdit l'accès. Pour plus d'informations sur les politiques AWS IAM, voir Politiques et autorisations dans IAM.

Les rôles AWS IAM accordent temporairement l'accès à votre compte AWS aux applications de migration Oracle Cloud. Si l'option de rôle AWS IAM est sélectionnée, il est nécessaire de mettre à jour manuellement les données d'identification après toutes les 12 heures pour empêcher l'expiration. Chaque expiration des données d'identification bloque la migration. Bien que la mise à jour des données d'identification temporaires lors de la migration soit possible en modifiant les champs correspondants d'une source de ressources dans la console OCI.

Note

Nous vous recommandons d'utiliser des données d'identification à long terme avec rotation.

Un rôle affecté à un utilisateur IAM doit avoir une politique qui accorde les autorisations nécessaires. En cas de problèmes avec des instances EC2 ou des volumes EBS particuliers, il est nécessaire de s'assurer qu'aucune politique n'interdit explicitement l'accès aux ressources AWS en cours de migration.

Variables prises en charge

Utilisez des variables lors de l'ajout de conditions à une politique.

Le service de migration prend en charge les types de variable suivants :

  • Entité : Identificateur Oracle Cloud (OCID)
  • Chaîne : Texte à structure libre.
  • Liste : Liste d'entités ou de chaînes

Voir Variables générales pour toutes les demandes.

Les variables sont en minuscules et séparées par des tirets. Par exemple, target.tag-namespace.name, target.display-name. Ici, name doit être unique et display-name est la description.

Les variables requises sont fournies par le service de migration pour chaque demande. Les variables automatiques sont fournies par le moteur d'autorisation (intégré au service avec la trousse SDK pour un client lourd ou dans le plan de données d'identité pour un client léger).

Variables requises Type Description
target.compartment.id Entité (OCID) OCID de la ressource principale de la demande.
request.operation String ID opération (par exemple, GetUser) de la demande.
target.resource.kind String Nom du type de ressource de la ressource principale de la demande.
Variables automatiques Type Description
request.user.id Entité (OCID) OCID de l'utilisateur à l'origine de la demande.
request.groups.id Liste d'entités (OCID) OCID des groupes auxquels appartient l'utilisateur à l'origine de la demande.
target.compartment.name String Nom du compartiment indiqué dans target.compartment.id.
target.tenant.id Entité (OCID) OCID de l'ID locataire cible.
Variables dynamiques Type Description
request.principal.group.tag.<tagNS>.<tagKey> String Valeur de chaque marqueur d'un groupe dont le principal est un membre.
request.principal.compartment.tag.<tagNS>.<tagKey> String Valeur de chaque marqueur du compartiment qui contient le principal.
target.resource.tag.<tagNS>.<tagKey> String Valeur de chaque marqueur sur la ressource cible. La variable est calculée sur la base de tagSlug fournie par le service à chaque demande.
target.resource.compartment.tag.<tagNS>.<tagKey> String Valeur de chaque marqueur du compartiment contenant la ressource cible. La variable est calculée sur la base de tagSlug fournie par le service à chaque demande.

Création d'une politique

Vérifiez les étapes requises pour créer une politique.

Pour créer une politique dans la console Oracle Cloud, procédez de la façon suivante :

  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Politiques.
  2. Cliquez sur Créer une politique.
  3. Entrez le nom et la description de la politique.
  4. Sous Générateur de politiques, cliquez sur Afficher l'éditeur manuel pour activer l'éditeur.

    Entrez une règle de politique dans le format suivant : 

    allow <resource_type> to <verb> in <compartment or tenancy details>
  5. Cliquez sur Créer.

Pour plus d'informations sur la création de politiques, voir Fonctionnement des politiques et Informations de référence sur les politiques.

Pour permettre aux utilisateurs d'accéder aux ressources Oracle Cloud Migrations, voir Politiques d'utilisateur. Pour utiliser le service Oracle Cloud Migrations, voir Politiques de service.