Documentation sur Oracle Cloud Infrastructure

Politiques GIA pour les instances de conteneur

Cette rubrique présente des informations détaillées sur l'écriture de politiques permettant de contrôler l'accès aux instances Oracle Cloud Infrastructure Container Instances.

Pour plus d'informations sur le service IAM, voir Aperçu du service IAM.

Types de ressource

Types de ressource individuels

compute-container-instances

compute-containers

Type de ressource agrégé

compute-container-family

Commentaires

Une politique utilisant <verb> compute-container-family équivaut à une politique ayant un énoncé <verb> <individual resource-type> distinct pour chacun des types de ressource individuels.

Informations détaillées sur les combinaisons Verbe + Type de ressource

Les tableaux suivants présentent les autorisations et les opérations d'API couvertes par chaque verbe. Le niveau d'accès est cumulatif depuis inspect > read > use > manage. Un signe plus (+) dans une cellule de tableau indique un accès incrémentiel par rapport à la cellule directement au-dessus, alors que la mention "aucun accès supplémentaire" indique qu'il n'y a aucun accès incrémentiel.

Par exemple, les verbes read et use pour le type de ressource vcns ne couvrent pas d'autres autorisations ou opérations d'API par rapport au verbe inspect. En revanche, le verbe manage comprend plusieurs autorisations et opérations d'API supplémentaires.

Pour les types de ressource compute-container-family

Les tableaux suivants répertorient les autorisations et les opérations d'API couverts par chaque type de ressource individuel inclus dans compute-container-family.

compute-container-instances
Verbes Autorisations API entièrement couvertes API partiellement couvertes
inspecter

COMPUTE_CONTAINER_INSTANCE_INSPECT

ListContainerInstanceShapes

ListContainerInstances

ListWorkRequests

ListWorkRequestErrors

ListWorkRequestLogs

aucun
lu

VÉRIFIER +

COMPUTE_CONTAINER_INSTANCE_READ

GetWorkRequest

GetContainerInstance (requiert également inspect compute-container)
utiliser

LU +

COMPUTE_CONTAINER_INSTANCE_UPDATE

COMPUTE_CONTAINER_INSTANCE_START

COMPUTE_CONTAINER_INSTANCE_STOP

COMPUTE_CONTAINER_INSTANCE_RESTART

UpdateContainerInstance

StartContainerInstance

StopContainerInstance

RestartContainerInstance

aucun accès supplémentaire
gérer

UTILISER +

COMPUTE_CONTAINER_INSTANCE_CREATE

COMPUTE_CONTAINER_INSTANCE_DELETE

COMPUTE_CONTAINER_INSTANCE_MOVE

ChangeContainerInstanceCompartment

CreateContainerInstance (requiert également use vnics, use subnets et manage compute-container)

DeleteContainerInstance (requiert également use vnics, use subnets et manage compute-container)
compute-container
Verbes Autorisations API entièrement couvertes API partiellement couvertes
inspecter

COMPUTE_CONTAINER_INSPECT

ListContainers

GetContainerInstance (requiert également read compute-container-instances)
lu

VÉRIFIER +

COMPUTE_CONTAINER_READ

GetContainer

aucun accès supplémentaire
utiliser

LU +

COMPUTE_CONTAINER_UPDATE

COMPUTE_CONTAINER_LOG_RETRIEVE

UpdateContainer

RetrieveLogs

aucun accès supplémentaire
gérer

UTILISER +

COMPUTE_CONTAINER_CREATE

COMPUTE_CONTAINER_DELETE

aucun accès supplémentaire

CreateContainerInstance (requiert également use vnics, use subnets et manage compute-container-instances)

DeleteContainerInstance (également besoin de use vnics, use subnets et manage compute-container-instances)

Autorisations requises pour chaque opération d'API

Le tableau suivant liste les opérations d'API regroupées par type de ressource. Les types de ressource sont listés par ordre alphabétique.

Pour plus d'informations sur les autorisations, voir Autorisations.

Opérations d'API Autorisations requises pour utiliser l'opération
GetContainer COMPUTE_CONTAINER_READ
ListContainers COMPUTE_CONTAINER_INSPECT
RetrieveLogs COMPUTE_CONTAINER_LOG_RETRIEVE
UpdateContainer COMPUTE_CONTAINER_UPDATE
CreateContainerInstance COMPUTE_CONTAINER_INSTANCE_CREATE et VNIC_CREATE et SUBNET_USE et COMPUTE_CONTAINER_CREATE
GetContainerInstance COMPUTE_CONTAINER_INSTANCE_READ et COMPUTE_CONTAINER_INSPECT
ListContainerInstances COMPUTE_CONTAINER_INSTANCE_INSPECT
ListContainerInstanceShapes COMPUTE_CONTAINER_INSTANCE_INSPECT
UpdateContainerInstance COMPUTE_CONTAINER_INSTANCE_UPDATE
StartContainerInstance COMPUTE_CONTAINER_INSTANCE_START
StopContainerInstance COMPUTE_CONTAINER_INSTANCE_STOP
RestartContainerInstance COMPUTE_CONTAINER_INSTANCE_RESTART
ChangeContainerInstanceCompartment COMPUTE_CONTAINER_INSTANCE_MOVE
DeleteContainerInstance COMPUTE_CONTAINER_INSTANCE_DELETE et VNIC_DELETE et SUBNET_USE et COMPUTE_CONTAINER_DELETE
GetWorkRequest COMPUTE_CONTAINER_INSTANCE_READ
ListWorkRequestLogs COMPUTE_CONTAINER_INSTANCE_INSPECT
ListWorkRequestErrors COMPUTE_CONTAINER_INSTANCE_INSPECT
ListWorkRequests COMPUTE_CONTAINER_INSTANCE_INSPECT

Exemples de politiques

Utilisez l'exemple suivant pour construire des politiques pour la location.
Note

Les exemples suivants permettent de configurer rapidement votre location. Pour plus de personnalisation des politiques de votre location, voir Fonctions avancées des politiques IAM.

Permettre aux utilisateurs de créer des instances de conteneur

Type d'accès : Permet aux utilisateurs de créer des instances de conteneur dans le compartiment <container-instance-compartment-name> et d'utiliser des sous-réseaux dans le compartiment <subnet-compartment-name>.

Où créer la politique : L'approche la plus facile consiste à placer cette politique dans la location. Si vous voulez que les administrateurs des compartiments individuels aient un contrôle sur les énoncés de politique individuels pour leurs compartiments, voir Association de politique.

Allow group ContainerInstanceLaunchers to manage compute-container-family in compartment <container-instance-compartment-name>
Allow group ContainerInstanceLaunchers to use virtual-network-family in compartment <subnet-compartment-name>
Allow group ContainerInstanceLaunchers to read repos in tenancy

Pour permettre aux utilisateurs de créer de nouveaux réseaux en nuage et de nouveaux sous-réseaux, voir Autoriser les administrateurs de réseau à gérer un réseau en nuage.

Permettre aux instances de conteneur d'extraire des images du registre de conteneurs

Type d'accès : Permet au service d'instances de conteneur de lire des images à partir des référentiels privés du registre de conteneurs.

Où créer la politique : L'approche la plus facile consiste à placer cette politique dans la location.

  1. Créez un groupe dynamique avec les instances de conteneur comme type de ressource. Ajoutez une règle avec la syntaxe suivante :
    ALL {resource.type='computecontainerinstance', resource.compartment.id = '<container-instance-compartment-ocid>'}

  2. Écrivez la politique suivante pour accorder l'accès au groupe dynamique :

    Allow dynamic-group ContainerInstanceDynamicGroup to read repos in compartment <container-registry-repo-compartment-name>

Sélection de l'image de conteneur à l'aide de la console

Type d'accès : Lorsque vous créez votre instance de conteneur dans la console, vous pouvez sélectionner l'image de conteneur. Pour générer l'adresse correcte de l'image de conteneur, vous devez ajouter cette politique pour lire les espaces de noms du service de stockage d'objets.

Où créer la politique : L'approche la plus facile consiste à placer cette politique dans la location.

Allow group ContainerInstanceLaunchers to read objectstorage-namespaces in tenancy

Fonctions avancées des politiques IAM

Pour plus d'informations sur les fonctions avancées des politiques IAM ou sur le redimensionnement des politiques de registre de conteneurs, voir :