File Storage with Lustre
Utilisez le service Oracle Cloud Infrastructure Identity and Access Management (IAM) pour créer des politiques pour le service File Storage with Lustre.
Cette rubrique présente des informations détaillées sur l'écriture de politiques permettant de contrôler l'accès au service File Storage with Lustre. Pour plus d'informations, voir Aperçu des politiques IAM.
Aperçu de la syntaxe d'une politique
La syntaxe globale d'un énoncé de politique est la suivante :
allow <subject> to <verb> <resource-type> in <location> where <condition>
Par exemple, vous pouvez spécifier :
-
Un groupe ou un groupe dynamique par nom ou OCID comme
<subject>
. Vous pouvez également utiliserany-user
pour couvrir tous les utilisateurs de la location. -
inspect
,read
,use
etmanage
comme<verb>
pour accorder à<subject>
l'accès à une ou plusieurs autorisations.inspect
>read
>use
>manage
représentent des niveaux d'accès croissants et les autorisations octroyées sont cumulatives. Par exemple,use
inclutread
et la possibilité de mettre à jour. -
Une famille de ressources comme
virtual-network-family
pourresource-type
. Vous pouvez également spécifier une ressource individuelle d'une famille telle quevcns
etsubnets
. -
Un compartiment par nom ou OCID comme
<location>
. Vous pouvez également utilisertenancy
pour couvrir l'ensemble de la location.
Pour plus d'informations sur la création de politiques, voir Introduction aux politiques et Informations de référence sur les politiques.
Types de ressource
Pour permettre aux utilisateurs d'accéder aux ressources File Storage with Lustre, créez des politiques IAM avec des types de ressource File Storage with Lustre.
Type de ressource agrégé
lustre-file-family
Une politique utilisant <verb> lustre-file-family
est égale à l'écriture d'une politique ayant un énoncé <verb> <individual resource-type>
distinct pour chacun des types de ressource individuels.
Voir les tableaux sous Détails pour les combinaisons Verbes + Type de ressource pour plus de détails sur les opérations d'API couvertes par chaque verbe, pour chaque type de ressource individuel inclus dans lustre-file-family
.
Types de ressource individuels
Pour accéder aux ressources File Storage with Lustre, utilisez chacun des types de ressource suivants :
lustre-file-system
lfs-work-request
Pour plus d'informations, voir Exemples de politiques.
Variables prises en charge
Le service File Storage with Lustre prend en charge toutes les variables générales, ainsi que celles répertoriées ici.
Pour plus d'informations sur les variables générales prises en charge par les services OCI, voir Variables générales pour toutes les demandes.
Variable | Type de variable | Source |
---|---|---|
target.lustre-file-system.id |
Entité (OCID) | Demande |
Détails pour les combinaisons Verbes + Type de ressource
Vous pouvez utiliser divers verbes et types de ressource Oracle Cloud Infrastructure pour créer une politique.
Les tableaux suivants présentent les autorisations et les opérations d'API couvertes par chaque verbe pour le service File Storage with Lustre. Le niveau d'accès est cumulatif au fur et à mesure que vous progressez depuis inspect
à read
, use
et manage
. Un signe plus (+)
dans une cellule de tableau indique un accès supplémentaire par rapport à la cellule qui la précède directement, alors que "aucun accès supplémentaire" indique qu'il n'y a aucun accès supplémentaire.
Verbes | Permissions | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect |
LUSTRE_FILE_SYSTEM_INSPECT |
|
aucune |
lire |
INSPECT + LUSTRE_FILE_SYSTEM_READ |
INSPECT +
|
aucune |
use |
READ + LUSTRE_FILE_SYSTEM_UPDATE |
READ +
|
aucune |
manage |
USE + LUSTRE_FILE_SYSTEM_CREATE LUSTRE_FILE_SYSTEM_DELETE LUSTRE_FILE_SYSTEM_MOVE |
USE +
|
aucune |
Verbes | Permissions | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect |
LFS_WORK_REQUEST_INSPECT |
ListWorkRequestLogs |
aucune |
lire |
INSPECT + LFS_WORK_REQUEST_READ |
INSPECT +
|
aucune |
use |
READ + aucune |
READ + aucune |
aucune |
manage |
USE + LFS_WORK_REQUEST_DELETE |
USE +
|
aucune |
Autorisations requises pour chaque opération d'API
Le tableau suivant liste les opérations d'API pour OCI Database with PostgreSQL dans un ordre logique, regroupées par type de ressource.
Les types de ressource sont lustre-file-system
et lfs-work-request
.
Pour plus d'informations sur les autorisations, voir Autorisations.
Opérations d'API | Autorisations requises pour utiliser l'opération |
---|---|
ListLustreFileSystems |
LUSTRE_FILE_SYSTEM_INSPECT |
GetLustreFileSystem |
LUSTRE_FILE_SYSTEM_READ |
CreateLustreFileSystem |
LUSTRE_FILE_SYSTEM_CREATE |
UpdateLustreFileSystem |
LUSTRE_FILE_SYSTEM_UPDATE |
DeleteLustreFileSystem |
LUSTRE_FILE_SYSTEM_DELETE |
ChangeLustreFileSystemCompartment |
LUSTRE_FILE_SYSTEM_MOVE |
ListWorkRequests |
LFS_WORK_REQUEST_INSPECT |
GetWorkRequest |
LFS_WORK_REQUEST_READ |
CancelWorkRequest |
LFS_WORK_REQUEST_DELETE |
ListWorkRequestErrors |
LFS_WORK_REQUEST_INSPECT |
ListWorkRequestLogs |
LFS_WORK_REQUEST_INSPECT |
Exemples de politique
Utilisez les exemples suivants pour créer des politiques communes en plus de celles requises pour les systèmes de fichiers et de celles requises si vous chiffrez des systèmes de fichiers avec votre propre clé.
Autoriser un groupe à utiliser mais pas à supprimer des systèmes de fichiers
allow group lfsadminusers to use lustre-file-family in compartment <file_system_compartment>