Documentation sur Oracle Cloud Infrastructure

Utilisateurs du cache OCI

Créer et gérer les utilisateurs d'OCI Cache afin d'utiliser la fonctionnalité Liste de contrôle d'accès (LCA) pour définir et appliquer des restrictions d'accès au niveau de l'utilisateur, adaptées à des applications ou à des charges de travail spécifiques.

La fonctionnalité de liste de contrôle d'accès du cache OCI vous permet de limiter l'accès de l'utilisateur aux commandes, clés et données nécessaires. Vous pouvez partager en toute sécurité une seule grappe de cache OCI entre plusieurs applications, tout en assurant l'isolement et en empêchant les accès croisés entre les données de différentes applications. Chaque application utilise souvent des préfixes de clé uniques pour éviter les collisions de clés.

Vous pouvez créer un ou plusieurs utilisateurs du cache OCI dans le cache OCI. Vous pouvez personnaliser les autorisations de ces utilisateurs à l'aide de chaînes de liste de contrôle d'accès et les associer à une ou plusieurs grappes de mémoire cache. Il existe une relation plusieurs à plusieurs entre les utilisateurs du cache OCI et les grappes : un seul utilisateur peut être associé à de nombreuses grappes et une seule grappe peut avoir de nombreux utilisateurs associés. De plus, OCI Cache vous permet de créer plusieurs utilisateurs avec le même nom d'utilisateur, chacun ayant des chaînes de liste de contrôle d'accès différentes. Pour différencier les utilisateurs ayant le même nom d'utilisateur, utilisez le champ de description d'utilisateur pour clarifier leurs rôles ou autorisations.

Important

Chaque grappe du cache OCI inclut un utilisateur défini par le système avec le nom d'utilisateur "par défaut". Cet utilisateur fait partie intégrante de la grappe, mais n'apparaît pas dans la liste des utilisateurs du cache OCI et n'a aucun mot de passe associé. Par conséquent, vous ne pouvez pas affecter d'autorisations de liste de contrôle d'accès à cet utilisateur défini par le système. Toutefois, vous pouvez créer un nouvel utilisateur du cache OCI avec le nom d'utilisateur "par défaut" et définir un mot de passe pour l'authentification. Lorsque vous associez ce nouvel utilisateur à une grappe, vous remplacez l'utilisateur défini par le système par votre nouvel utilisateur, ce qui vous permet de personnaliser les autorisations à l'aide d'une chaîne de liste de contrôle d'accès appropriée. Si vous devez restaurer l'utilisateur défini par le système initial, vous pouvez supprimer de la grappe l'utilisateur par défaut du cache OCI personnalisé.

Cette structure permet une gestion flexible des utilisateurs du cache OCI, fournissant des options d'utilisateur définies par le système et personnalisables pour répondre à différentes exigences opérationnelles et de sécurité.

L'utilisation de la liste de contrôle d'accès du cache OCI offre les avantages suivants :

  • Améliorer la sécurité en limitant l'accès aux commandes et aux clés afin que les clients non approuvés n'aient pas accès et que les clients approuvés aient le niveau d'accès minimal aux données. Par exemple, vous pouvez limiter l'exécution de commandes read à certains utilisateurs.
  • Amélioration de la sécurité opérationnelle pour s'assurer que les personnes ou les processus accédant aux grappes de cache OCI ne compromettent pas les données.

Création d'utilisateurs de cache OCI

Vous pouvez utiliser la console, l'interface de ligne de commande, les trousses SDK ou Terraform pour effectuer des opérations de tâche standard pour les utilisateurs du cache OCI. Pour créer un utilisateur du cache OCI, vous devez fournir les informations suivantes : nom de l'utilisateur, description, chaîne de liste de contrôle d'accès, mode d'authentification et statut.

L'autorisation est définie à l'aide d'une chaîne de liste de contrôle d'accès (LCA). Cette chaîne se compose généralement de nombreux composants qui spécifient les autorisations accordées à un utilisateur du cache OCI.

Pour l'authentification, vous pouvez choisir entre un mot de passe ou des jetons IAM temporaires. Vous pouvez vous authentifier avec un nom d'utilisateur et un mot de passe ou utiliser des jetons IAM, qui sont de courte durée et ne nécessitent pas de mot de passe.
  • Authentification basée sur un mot de passe : Dans le cas de l'authentification basée sur un mot de passe, vous pouvez spécifier jusqu'à deux mots de passe. Pour plus d'informations, voir Gestion des mots de passe pour les utilisateurs du cache OCI.
  • Authentification basée sur IAM : Avec l'authentification basée sur IAM, vous créez un jeton IAM de courte durée, éliminant ainsi le besoin d'un mot de passe. Si l'authentification réussit, la connexion est associée à cet utilisateur du cache OCI et aux autorisations définies. Pour plus d'informations sur l'authentification basée sur IAM, voir Authentification IAM.