File Storage with Lustre

Utilisez le service Oracle Cloud Infrastructure Identity and Access Management (IAM) pour créer des politiques pour le service File Storage with Lustre.

Cette rubrique présente des informations détaillées sur l'écriture de politiques permettant de contrôler l'accès au service File Storage with Lustre. Pour plus d'informations, voir Aperçu des politiques IAM.

Aperçu de la syntaxe d'une politique

La syntaxe globale d'un énoncé de politique est la suivante :

allow <subject> to <verb> <resource-type> in <location> where <condition>

Par exemple, vous pouvez spécifier :

Un groupe ou un groupe dynamique par nom ou OCID comme <subject>. Vous pouvez également utiliser any-user pour couvrir tous les utilisateurs de la location.
inspect, read, use et manage comme <verb> pour accorder à <subject> l'accès à une ou plusieurs autorisations.

inspect > read > use > manage représentent des niveaux d'accès croissants et les autorisations octroyées sont cumulatives. Par exemple, use inclut read et la possibilité de mettre à jour.
Une famille de ressources comme virtual-network-family pour resource-type. Vous pouvez également spécifier une ressource individuelle d'une famille telle que vcns et subnets.
Un compartiment par nom ou OCID comme <location>. Vous pouvez également utiliser tenancy pour couvrir l'ensemble de la location.

Pour plus d'informations sur la création de politiques, voir Introduction aux politiques et Informations de référence sur les politiques.

Types de ressource

Pour permettre aux utilisateurs d'accéder aux ressources File Storage with Lustre, créez des politiques IAM avec des types de ressource File Storage with Lustre.

Type de ressource agrégé

lustre-file-family

Une politique utilisant <verb> lustre-file-family est égale à l'écriture d'une politique ayant un énoncé <verb> <individual resource-type> distinct pour chacun des types de ressource individuels.

Voir les tableaux sous Détails pour les combinaisons Verbes + Type de ressource pour plus de détails sur les opérations d'API couvertes par chaque verbe, pour chaque type de ressource individuel inclus dans lustre-file-family.

Types de ressource individuels

Pour accéder aux ressources File Storage with Lustre, utilisez chacun des types de ressource suivants :

lustre-file-system
lfs-work-request

Pour plus d'informations, voir Exemples de politiques.

Variables prises en charge

Le service File Storage with Lustre prend en charge toutes les variables générales, ainsi que celles répertoriées ici.

Pour plus d'informations sur les variables générales prises en charge par les services OCI, voir Variables générales pour toutes les demandes.


Variable	Type de variable	Source
`target.lustre-file-system.id`	Entité (OCID)	Demande

Détails pour les combinaisons Verbes + Type de ressource

Vous pouvez utiliser divers verbes et types de ressource Oracle Cloud Infrastructure pour créer une politique.

Les tableaux suivants présentent les autorisations et les opérations d'API couvertes par chaque verbe pour le service File Storage with Lustre. Le niveau d'accès est cumulatif au fur et à mesure que vous progressez depuis inspect à read, use et manage. Un signe plus (+) dans une cellule de tableau indique un accès supplémentaire par rapport à la cellule qui la précède directement, alors que "aucun accès supplémentaire" indique qu'il n'y a aucun accès supplémentaire.

lustre-file-système


Verbes	Permissions	API entièrement couvertes	API partiellement couvertes
inspect	LUSTRE_FILE_SYSTEM_INSPECT	`ListLustreFileSystems`	aucune
lire	INSPECT + LUSTRE_FILE_SYSTEM_READ	INSPECT + `GetLustreFileSystem`	aucune
use	READ + LUSTRE_FILE_SYSTEM_UPDATE	READ + `UpdateLustreFileSystem`	aucune
manage	USE + LUSTRE_FILE_SYSTEM_CREATE LUSTRE_FILE_SYSTEM_DELETE LUSTRE_FILE_SYSTEM_MOVE	USE + `CreateLustreFileSystem` `DeleteLustreFileSystem` `ChangeLustreFileSystemCompartment`	aucune

lfs-work-request


Verbes	Permissions	API entièrement couvertes	API partiellement couvertes
inspect	LFS_WORK_REQUEST_INSPECT	`ListWorkRequests` `ListWorkRequestErrors` `ListWorkRequestLogs`	aucune
lire	INSPECT + LFS_WORK_REQUEST_READ	INSPECT + `GetWorkRequest`	aucune
use	READ + aucune	READ + aucune	aucune
manage	USE + LFS_WORK_REQUEST_DELETE	USE + `CancelWorkRequest`	aucune

Autorisations requises pour chaque opération d'API

Le tableau suivant liste les opérations d'API pour OCI Database with PostgreSQL dans un ordre logique, regroupées par type de ressource.

Les types de ressource sont lustre-file-system et lfs-work-request.

Pour plus d'informations sur les autorisations, voir Autorisations.

Autorisations requises
Opérations d'API	Autorisations requises pour utiliser l'opération
`ListLustreFileSystems`	LUSTRE_FILE_SYSTEM_INSPECT
`GetLustreFileSystem`	LUSTRE_FILE_SYSTEM_READ
`CreateLustreFileSystem`	LUSTRE_FILE_SYSTEM_CREATE
`UpdateLustreFileSystem`	LUSTRE_FILE_SYSTEM_UPDATE
`DeleteLustreFileSystem`	LUSTRE_FILE_SYSTEM_DELETE
`ChangeLustreFileSystemCompartment`	LUSTRE_FILE_SYSTEM_MOVE
`ListWorkRequests`	LFS_WORK_REQUEST_INSPECT
`GetWorkRequest`	LFS_WORK_REQUEST_READ
`CancelWorkRequest`	LFS_WORK_REQUEST_DELETE
`ListWorkRequestErrors`	LFS_WORK_REQUEST_INSPECT
`ListWorkRequestLogs`	LFS_WORK_REQUEST_INSPECT

Exemples de politique

Utilisez les exemples suivants pour créer des politiques communes en plus de celles requises pour les systèmes de fichiers et de celles requises si vous chiffrez des systèmes de fichiers avec votre propre clé.

Autoriser un groupe à utiliser mais pas à supprimer des systèmes de fichiers

allow group lfsadminusers to use lustre-file-family in compartment <file_system_compartment>

Documentation sur Oracle Cloud Infrastructure