Documentation sur Oracle Cloud Infrastructure

Chaînes de liste de contrôle d'accès d'utilisateur de la mémoire cache OCI

Découvrez les chaînes de liste de contrôle d'accès (LCA) pour configurer les utilisateurs du cache OCI.

La chaîne de liste de contrôle d'accès que vous avez fournie lors de la création de l'utilisateur du cache est une liste de règles prédéfinies qui accordent ou révoquent des autorisations d'utilisateur, en déterminant les opérations qu'un utilisateur du cache peut effectuer. Chaque règle ACL spécifie des autorisations pour les commandes, les modèles de clé, les canaux Pub/Sub et les exigences d'authentification.

Le tableau suivant présente quelques options dans les commandes de liste de contrôle d'accès :
Exemples de commandes ACL
Commande Description
Authentification
on Le statut de l'utilisateur est actif et peut s'authentifier.
nopass L'utilisateur ne nécessite aucun mot de passe.
>mypassword123 L'utilisateur doit s'authentifier à l'aide du mot de passe mypassword123.
#hashedPassword L'utilisateur doit s'authentifier à l'aide du mot de passe plainPassword (où hashedPassword est le convertisseur sha-256 de plainPassword).
Accès aux clés
allkeys L'utilisateur a accès à toutes les clés (représentées par le caractère générique *).
allkeys +get +set L'utilisateur peut extraire toutes les clés et les définir.
allkeys +get -set L'utilisateur peut extraire toutes les clés sans les définir.
allkeys -get -set L'utilisateur ne peut ni extraire ni définir les clés.
~service1:* L'utilisateur a accès uniquement aux clés qui commencent par le préfixe service1:.
Pub/abonnement
allchannels L'utilisateur a accès à tous les canaux Pub/Sub.
&service1:* L'utilisateur a accès uniquement aux canaux Pub/Sub qui commencent par le préfixe service1:.
Accès aux commandes
allcommands L'utilisateur peut exécuter toutes les commandes.
+@write L'utilisateur peut exécuter toutes les commandes d'écriture.
-@read Toutes les commandes de lecture sont refusées à l'utilisateur.
+@read +@write L'utilisateur peut exécuter des opérations de lecture (comme GET, HGET) et d'écriture (comme SET, HSET)
-@write -@read L'utilisateur est limité à toutes les opérations de lecture et d'écriture.
+@read -keys L'utilisateur peut exécuter des opérations de lecture (telles que GET, HGET) mais est limité à partir de la commande keys.
+command|info L'utilisateur peut extraire des informations ou des détails sur les commandes disponibles.

Le cache OCI, en tant que service géré, restreint certaines commandes pour assurer la stabilité du système et empêcher les modifications inattendues de la grappe de cache. Vous ne pouvez pas inclure ces commandes restreintes dans la chaîne de liste de contrôle d'accès lors de la création ou de la mise à jour d'un utilisateur du cache. Voici des exemples de configuration d'utilisateur à accès restreint : 
  • user name : service1
Description : user for service1
Authentication Mode : Password
Password : mypassword123
Access string : ~service1:* &service1:* +@write -@read
user Status : on
  • user name : service1
Description : user for service1
Authentication Mode : IAM
Access string : ~service1:* &service1:* +@write -@read
user Status : on

Bien que votre chaîne de liste de contrôle d'accès puisse contenir @all pour un utilisateur, le cache OCI restreint implicitement les commandes suivantes :

Commandes de liste de contrôle d'accès restreinte au cache OCI
acl|cat cluster|flushslots memory|malloc-stats
acl|deluser cluster|forget memory|purge
acl|dryrun cluster|meet memory|stats
acl|genpass cluster|replicate  memory|usage
acl|getuser cluster|reset cmigrate
acl|help  cluster|saveconfig module
acl|list  cluster|set-config-epoch module|help
acl|load cluster|setslot  module|list
acl|log  config|rewrite  module|load
acl|save  config|set module|loadex
acl|setuser  failover module|unload
acl|users memory psync
cluster|addslots memory|doctor replicaof
cluster|addslotsrange memory|help shutdown
cluster|bumpepoch memory|malloc-stats slaveof
cluster|delslots memory|purge  sync
cluster|delslotsrange   memory|stats
cluster|failover memory|usage