Politiques IAM du cache OCI

Découvrez les politiques IAM et les détails d'autorisation requis pour le cache OCI.

Permissions d'utilisateur

Pour créer ou gérer une grappe, les utilisateurs doivent disposer d'autorisations d'accès pour créer et gérer les ressources de réseau requises, en plus des autorisations de création et de gestion des ressources de mémoire cache OCI.

L'exemple de politique suivant accorde ces autorisations au groupe ClusterAdmins :

Allow group ClusterAdmins to manage redis-family in compartment <USER_COMPARTMENT>
Allow group ClusterAdmins to use virtual-network-family in compartment <USER_COMPARTMENT>

Vous pouvez configurer ces autorisations avec plus de granularité, voir Exemples de politique.

Types de ressource et autorisations

Liste des types de ressource de mémoire cache OCI et des autorisations associées.

Pour affecter des autorisations à toutes les ressources du cache OCI, utilisez le type d'agrégat redis-family. Pour plus d'informations, voir Autorisations.

Le tableau suivant répertorie toutes les ressources dans redis-family :


Nom de la famille	Type de ressource individuel
`redis-family`	`redis-clusters` `oci-cache-users` `oci-cache-configsets` `redis-work-requests`

Une politique utilisant <verb> redis-family est égale à l'écriture d'une politique avec un énoncé <verb> <resource-type> distinct pour chaque type de ressource individuel.


Type de ressource	Permissions
grappes redis	REDIS_CLUSTER_INSPECT REDIS_CLUSTER_READ REDIS_CLUSTER_USE REDIS_CLUSTER_MANAGE
oci-cache-usagers	OCI_CACHE_USER_INSPECT OCI_CACHE_USER_READ OCI_CACHE_USER_USE OCI_CACHE_USER_MANAGE
oci-cache-configsets	OCI_CACHE_CONFIGSET_INSPECT OCI_CACHE_CONFIGSET_READ OCI_CACHE_CONFIGSET_USE OCI_CACHE_CONFIGSET_MANAGE
redis-work-demandes	REDIS_WORK_REQUEST_INSPECT REDIS_WORK_REQUEST_READ REDIS_WORK_REQUEST_MANAGE

Informations détaillées sur les combinaisons de verbe et de type de ressource

Identifiez les autorisations et les opérations d'API couvertes par chaque verbe pour les ressources du cache OCI.

Le niveau d'accès est cumulatif au fur et à mesure que vous progressez depuis inspect à read, use et manage. Un signe plus (+) dans une cellule de tableau indique un accès incrémentiel par rapport à la cellule précédente.

Pour plus d'informations sur l'octroi de l'accès, voir Autorisations.

grappes redis


Verbes	Permissions	API entièrement couvertes	API partiellement couvertes
inspect	`REDIS_CLUSTER_INSPECT`	`ListRedisClusters`	aucune
`read`	`inspect+` `REDIS_CLUSTER_READ`	`inspect+` `GetRedisCluster`	aucune
`use`	`read+` `REDIS_CLUSTER_USE`	`read+` `ChangeRedisClusterCompartment` `ListAttachedOciCacheUsers`	`AttachOciCacheUsers` (requiert également `OCI_CACHE_USER_USE`) `DetachOciCacheUsers` (requiert également `OCI_CACHE_USER_USE`) `Generate Token for OCI Cache User` (requiert également `OCI_CACHE_USER_USE`) `UpdateRedisCluster` (requiert également `OCI_CACHE_CONFIGSET_USE`)
`manage`	`use+` `REDIS_CLUSTER_MANAGE`	`use+` `DeleteRedisCluster`	`CreateRedisCluster` (requiert également `OCI_CACHE_CONFIGSET_USE`)

oci-cache-usagers


Verbes	Permissions	API entièrement couvertes	API partiellement couvertes
`inspect`	`OCI_CACHE_USER_INSPECT`	`ListOciCacheUsers`	aucune
`read`	`inspect+` `OCI_CACHE_USER_READ`	`inspect+` `GetOciCacheUser`	aucune
`use`	`read+` `OCI_CACHE_USER_USE`	`read+` `ChangeOciCacheUserCompartment` `UpdateOciCacheUser`	`AttachOciCacheUsers` (requiert également `REDIS_CLUSTER_USE`) `DetachOciCacheUsers` (requiert également `REDIS_CLUSTER_USE`) `Generate Token for OCI Cache User` (requiert également `REDIS_CLUSTER_USE`)
`manage`	`use+` `OCI_CACHE_USER_MANAGE`	`use+` `CreateOciCacheUser` `DeleteOciCacheUser`	aucune

oci-cache-configsets


Verbes	Permissions	API entièrement couvertes	API partiellement couvertes
`inspect`	`OCI_CACHE_CONFIGSET_INSPECT`	`ListOciCacheConfigSets` `ListOciCacheDefaultConfigSets`	aucune
`read`	`inspect+` `OCI_CACHE_CONFIGSET_READ`	`inspect+` `GetOciCacheConfigSet` `GetOciCacheDefaultConfigSet`	aucune
`use`	`read+` `OCI_CACHE_CONFIGSET_USE`	`read+` `ChangeOciCacheConfigSetCompartment` `ListAssociatedOciCacheClusters` `UpdateOciCacheConfigSet`	`CreateRedisCluster` (requiert également `REDIS_CLUSTER_MANAGE`) `UpdateRedisCluster` (requiert également `REDIS_CLUSTER_USE`)
`manage`	`use+` `OCI_CACHE_CONFIGSET_MANAGE`	`use+` `CreateOciCacheConfigSet` `DeleteOciCacheConfigSet`	aucune

redis-work-demandes


Verbes	Permissions	API entièrement couvertes	API partiellement couvertes
`inspect`	`REDIS_WORK_REQUEST_INSPECT`	`ListWorkRequests`	aucune
`read`	`inspect+` `REDIS_WORK_REQUEST_READ`	`inspect+` `ListWorkRequestErrors` `ListWorkRequestLogs` `GetWorkRequest`	aucune
`manage`	`use+` `REDIS_WORK_REQUEST_MANAGE`	`use+` `DeleteWorkRequest`	aucune

Autorisations requises pour chaque opération d'API

Le tableau suivant liste les opérations d'API pour la mémoire cache OCI dans un ordre logique, regroupées par type de ressource.


Opérations d'API	Autorisations requises pour utiliser l'opération
`ListRedisClusters`	REDIS_CLUSTER_INSPECT
`GetRedisCluster`	REDIS_CLUSTER_READ
`CreateRedisCluster`	REDIS_CLUSTER_MANAGE, OCI_CACHE_CONFIGSET_USE
`ListAttachedOciCacheUsers`	REDIS_CLUSTER_USE
`UpdateRedisCluster`	REDIS_CLUSTER_USE, OCI_CACHE_CONFIGSET_USE
`ChangeRedisClusterCompartment`	REDIS_CLUSTER_USE
`DeleteRedisCluster`	REDIS_CLUSTER_MANAGE
`ListOciCacheUsers`	OCI_CACHE_USER_INSPECT
`GetOciCacheUser`	OCI_CACHE_USER_READ
`CreateOciCacheUser`	OCI_CACHE_USER_MANAGE
`UpdateOciCacheUser`	OCI_CACHE_USER_USE
`ChangeOciCacheUserCompartment`	OCI_CACHE_USER_USE
`DeleteOciCacheUser`	OCI_CACHE_USER_MANAGE
`AttachOciCacheUsers`	REDIS_CLUSTER_USE, OCI_CACHE_USER_USE
`DetachOciCacheUsers`	REDIS_CLUSTER_USE, OCI_CACHE_USER_USE
`Generate Token for OCI Cache User`	REDIS_CLUSTER_USE, OCI_CACHE_USER_USE
`ListOciCacheConfigSets`	OCI_CACHE_CONFIGSET_INSPECT
`GetOciCacheConfigSet`	OCI_CACHE_CONFIGSET_READ
`CreateOciCacheConfigSet`	OCI_CACHE_CONFIGSET_MANAGE
`UpdateOciCacheConfigSet`	OCI_CACHE_CONFIGSET_USE
`ChangeOciCacheConfigSetCompartment`	OCI_CACHE_CONFIGSET_USE
`DeleteOciCacheConfigSet`	OCI_CACHE_CONFIGSET_MANAGE
`ListAssociatedOciCacheClusters`	OCI_CACHE_CONFIGSET_USE
`ListOciCacheDefaultConfigSets`	OCI_CACHE_CONFIGSET_INSPECT
`GetOciCacheDefaultConfigSet`	OCI_CACHE_CONFIGSET_READ
`ListWorkRequests`	REDIS_WORK_REQUEST_INSPECT
`ListWorkRequestErrors`	REDIS_WORK_REQUEST_READ
`ListWorkRequestLogs`	REDIS_WORK_REQUEST_READ
`GetWorkRequest`	REDIS_WORK_REQUEST_READ
`DeleteWorkRequest`	REDIS_WORK_REQUEST_MANAGE

Exemples de politique

Les énoncés de politique suivants permettent au groupe ClusterAdmins d'utiliser et de gérer les ressources de mémoire cache OCI.

Permet un accès en mode d'utilisation seulement aux réseaux en nuage virtuels, aux compartiments et aux sous-réseaux.

Allow group ClusterAdmins to use compartments in tenancy

Allow group ClusterAdmins to use vcns in compartment <USER_NETWORK_COMPARTMENT_NAME>

Allow group ClusterAdmins to use subnet in compartment <USER_NETWORK_COMPARTMENT_NAME>

Allow group ClusterAdmins to use network-security-groups in compartment <USER_NETWORK_COMPARTMENT_NAME>

Allow group ClusterAdmins to use vcns in compartment <USER_ENGINEERING_COMPARTMENT_NAME>

Note

Les réseaux en nuage virtuels se trouvent dans le compartiment Réseau, alors que les grappes se trouvent dans le compartiment Ingénierie.

Permet d'accéder uniquement aux cartes vNIC du compartiment Ingénierie. Exemple :

Allow group ClusterAdmins to use VNICs in compartment <USER_ENGINEERING_COMPARTMENT_NAME>

Permet de gérer l'autorisation de créer ou de mettre à jour des points d'extrémité privés. Exemple :

Allow group ClusterAdmins to manage redis-family in compartment <USER_ENGINEERING_COMPARTMENT_NAME>

Allow group ClusterAdmins to manage redis-work-requests in compartment <USER_ENGINEERING_COMPARTMENT_NAME>

Allow group ClusterAdmins to manage vcns in compartment <USER_NETWORK_COMPARTMENT_NAME> where ALL{ ANY
{ request.operation = 'CreatePrivateEndpoint', request.operation = 'UpdatePrivateEndpoint', request.operation ='DeletePrivateEndpoint', request.operation = 'EnableReverseConnection', request.operation = 'ModifyReverseConnection', request.operation = 'DisableReverseConnection' }
, ANY {request.operation = 'CreateRedisCluster', request.operation = 'DeleteRedisCluster' , request.operation = 'UpdateRedisCluster' } }

(Facultatif) Autorise le trafic sur les ports Redis. Exemple :

Allow group ClusterAdmins to manage security-lists in compartment <USER_NETWORK_COMPARTMENT_NAME> where ANY
{ request.operation = 'CreateRedisCluster', request.operation = 'DeleteRedisCluster' , request.operation = 'UpdateRedisCluster' }

Note

Si la politique n'est pas fournie, vous devez ajouter des règles de sécurité et autoriser le trafic TCP pour les ports, 6379.

L'énoncé de politique suivant permet au groupe ClusterUsers d'utiliser des grappes, mais de restreindre d'autres accès :

Allow group ClusterUsers to use redis-clusters in compartment <USER_COMPARTMENT>

L'énoncé de politique suivant permet au groupe CacheUsers d'utiliser des utilisateurs du cache OCI :

Allow group CacheUsers to use oci-cache-users in compartment <USER_COMPARTMENT>

Les énoncés de politique suivants permettent de gérer l'autorisation d'attacher et de détacher des points d'extrémité privés :

Allow group ClusterAdmins to manage vcns in compartment <USER_NETWORK_COMPARTMENT_NAME> where ALL{ ANY
{ request.operation = 'CreatePrivateEndpoint', request.operation = 'UpdatePrivateEndpoint', request.operation ='DeletePrivateEndpoint', request.operation = 'EnableReverseConnection', request.operation = 'ModifyReverseConnection', request.operation = 'DisableReverseConnection' }
, ANY {request.operation = 'CreateRedisCluster', request.operation = 'DeleteRedisCluster' , request.operation = 'UpdateRedisCluster', request.operation = 'AttachOciCacheUsers', request.operation = 'DetachOciCacheUsers' } }

L'énoncé de politique suivant autorise l'attachement et le détachement du trafic sur les ports Redis :

Allow group ClusterAdmins to manage security-lists in compartment <USER_NETWORK_COMPARTMENT_NAME> where ANY
{ request.operation = 'CreateRedisCluster', request.operation = 'DeleteRedisCluster' , request.operation = 'UpdateRedisCluster',  request.operation = 'AttachOciCacheUsers', request.operation = 'DetachOciCacheUsers'}

L'énoncé de politique suivant permet au groupe ClusterConfig d'utiliser les configurations de mémoire cache OCI :

Allow group ClusterConfig to use oci-cache-configsets in compartment <USER_COMPARTMENT>

L'énoncé de politique suivant permet aux utilisateurs du groupe SecurityAdmins de créer, mettre à jour et supprimer toutes les politiques de routage de paquets avec confiance zéro dans l'ensemble de la location :

Allow group SecurityAdmins to manage zpr-configuration in tenancy
Allow group SecurityAdmins to manage security-attribute-namespace in tenancy
Allow group SecurityAdmins to manage zpr-policy in tenancy

L'énoncé de politique suivant permet au groupe cluster-admin de gérer uniquement l'espace de noms d'attribut de sécurité, cache-applications des politiques de routage de paquets avec confiance nul.

Allow group cluster-admin to manage security-attribute-namespace where target.security-attribute-namespace.name = 'cache-applications'

Pour en connaître davantage sur les politiques, voir Introduction aux politiques et Politiques communes.