Documentation sur Oracle Cloud Infrastructure

Politiques IAM pour les groupes de positionnement de cluster

Écrivez des politiques IAM pour contrôler l'accès au service de groupes de positionnement de grappe.

Types de ressource

cluster-placement-group

cluster-placement-groups

Variables prises en charge

Les groupes de positionnement de cluster prennent en charge toutes les variables générales, plus les variables répertoriées ici. Pour plus d'informations sur les variables générales prises en charge par les services Oracle Cloud Infrastructure, voir Variables générales pour toutes les demandes.

Variable Type de variable Commentaires
target.cluster-placement-group.id Entité (OCID) Utilisez cette variable pour contrôler s'il faut autoriser les opérations sur un groupe de positionnement de grappe spécifique en réponse à une demande de lecture, de mise à jour, de suppression ou de déplacement d'un groupe de positionnement de grappe ou pour voir les informations relatives aux demandes de travail d'un groupe de positionnement de grappe.
target.cluster-placement-group.name String Utilisez cette variable pour contrôler s'il faut autoriser les opérations sur un groupe de positionnement de grappe spécifique en réponse à une demande de lecture, de mise à jour, de suppression ou de déplacement d'un groupe de positionnement de grappe ou pour voir les informations relatives aux demandes de travail d'un groupe de positionnement de grappe. Cette variable ne peut pas être utilisée pour contrôler s'il faut autoriser les opérations sur un groupe de placement de grappe spécifique en réponse à une demande de création d'une ressource dans un groupe de placement de grappe spécifique.

Informations détaillées sur les combinaisons Verbe + Type de ressource

Le niveau d'accès est cumulatif au fur et à mesure que vous progressez depuis inspect à read, use et manage.

Un signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule qui la précède directement, alors que la mention no extra indique qu'il n'y a aucun accès incrémentiel.

Par exemple, le service read pour le type de ressource cluster-placement-group inclut les mêmes autorisations et opérations d'API que le service inspect, mais ajoute également l'opération d'API GetClusterPlacementGroup. De même, le verbe manage pour le type de ressource cluster-placement-group autorise encore plus d'autorisations que l'autorisation use. Pour le type de ressource cluster-placement-group, le verbe manage inclut les mêmes autorisations et opérations d'API que le verbe use, plus les autorisations CLUSTER_PLACEMENT_GROUP_CREATE, CLUSTER_PLACEMENT_GROUP_UPDATE, CLUSTER_PLACEMENT_GROUP_DELETE et CLUSTER_PLACEMENT_GROUP_MOVE et plusieurs opérations d'API (CreateClusterPlacementGroup, UpdateClusterPlacementGroup, DeleteClusterPlacementGroup et ChangeClusterPlacementGroupCompartment).

groupe de positionnement de grappe

Verbes Permissions API entièrement couvertes API partiellement couvertes
inspecter

CLUSTER_PLACEMENT_GROUP_INSPECT

ListClusterPlacementGroups

aucune
lire

INSPECTION +

CLUSTER_PLACEMENT_GROUP_READ

INSPECTION +

GetClusterPlacementGroup

aucune
utiliser

LIRE +

CLUSTER_PLACEMENT_GROUP_USE

  

no extra

aucune
gérer

USE +

CLUSTER_PLACEMENT_GROUP_CREATE

CLUSTER_PLACEMENT_GROUP_UPDATE

CLUSTER_PLACEMENT_GROUP_DELETE

CLUSTER_PLACEMENT_GROUP_MOVE

USE +

CreateClusterPlacementGroup

UpdateClusterPlacementGroup

ChangeClusterPlacementGroupCompartment

ActivateClusterPlacementGroup

DeactivateClusterPlacementGroup

DeleteClusterPlacementGroup (requiert également l'autorisation inspect all-resources)

Autorisations requises pour chaque opération d'API

Le tableau suivant liste les opérations d'API dans l'ordre logique.

Pour plus d'informations sur les autorisations, voir Autorisations.

Opérations d'API Autorisations requises pour utiliser l'opération
ListClusterPlacementGroups CLUSTER_PLACEMENT_GROUP_INSPECT
GetClusterPlacementGroup CLUSTER_PLACEMENT_GROUP_READ
CreateClusterPlacementGroup CLUSTER_PLACEMENT_GROUP_CREATE
UpdateClusterPlacementGroup CLUSTER_PLACEMENT_GROUP_UPDATE
DeleteClusterPlacementGroup CLUSTER_PLACEMENT_GROUP_DELETE
ChangeClusterPlacementGroupCompartment CLUSTER_PLACEMENT_GROUP_MOVE
DeactivateClusterPlacementGroup CLUSTER_PLACEMENT_GROUP_UPDATE
ActivateClusterPlacementGroup CLUSTER_PLACEMENT_GROUP_UPDATE

Exemple de politique

Les exemples de stratégie Cluster Placement Groups sont les suivants :

  • Autoriser les utilisateurs du groupe NetworkAdmins à créer et mettre à jour toutes les ressources de groupes de positionnement de grappe dans l'ensemble de la location :

    Allow group NetworkAdmins to manage cluster-placement-groups in tenancy

  • Autoriser les utilisateurs du groupe ClusterPlacementGroupUsers à créer des ressources dans des groupes de placement de grappe dans l'ensemble de la location :

    Allow group ClusterPlacementGroupUsers to use cluster-placement-groups in tenancy

  • Autoriser les utilisateurs du groupe NetworkAdmins à lister les ressources des groupes de placement de grappe dans l'ensemble de la location :

    Allow group NetworkAdmins to inspect all-resources in tenancy

  • Autoriser les utilisateurs du groupe NetworkAdmins à supprimer toutes les ressources de groupes de positionnement de grappe dans l'ensemble de la location :

    Allow group NetworkAdmins to manage cluster-placement-groups in tenancy
Allow group NetworkAdmins to inspect all-resources in tenancy

Pour créer une instance ou un volume par blocs dans un groupe de positionnement de grappe, les utilisateurs ont besoin des autorisations suivantes pour d'autres ressources Oracle Cloud Infrastructure :

  • Gérer les instances
  • Lire les instances
  • Lire les plugiciels d'agent d'instance (Oracle Cloud Agent)
  • Gérer les volumes par blocs
  • Lire les volumes par blocs
  • Inspection des demandes de travail
  • Utiliser des groupes de positionnement de grappe

Pour plus d'informations, voir Informations détaillées sur les services de base.