Documentation sur Oracle Cloud Infrastructure

Service de gestion des identités et des accès isolée Compute Cloud@Customer

Le service de gestion des identités et des accès (IAM) d'Oracle Compute Cloud@Customer isolé permet de contrôler quels utilisateurs ont accès aux ressources de votre location d'infrastructure locale.

Vous pouvez créer des utilisateurs, des groupes d'utilisateurs et des groupes dynamiques (groupes d'instances) et créer des politiques pour permettre différents types d'accès aux ressources spécifiées dans les compartiments spécifiés.

Un administrateur de location a pour tâche de contrôler le type d'accès d'un groupe d'utilisateurs et les ressources spécifiques auxquelles l'accès s'applique. La responsabilité de gérer et de tenir à jour le contrôle d'accès peut être déléguée à d'autres utilisateurs privilégiés, par exemple en leur accordant un accès complet à un sous-compartiment de la location.

En plus des utilisateurs, les principaux d'instance sont également autorisés à gérer les ressources.

Tâche

Liens

Les compartiments sont les principaux composants de base permettant d'organiser et de contrôler l'accès aux ressources en nuage. Les utilisateurs peuvent créer des compartiments pour séparer l'accès aux ressources.

Votre location est le compartiment racine où vous pouvez créer des ressources en nuage et d'autres compartiments. Vous pouvez créer des hiérarchies de compartiments jusqu'à six niveaux. Vous pouvez limiter l'accès aux ressources de compartiment aux groupes d'utilisateurs spécifiés au moyen de politiques.

Création et gestion de compartiments

Une location a un utilisateur administrateur dans un groupe d'administrateurs et une politique permet au groupe d'administrateurs de gérer la location. Un administrateur crée des comptes pour d'autres utilisateurs.

Pour accorder aux utilisateurs l'accès uniquement à un sous-ensemble de ressources de la location ou d'un autre compartiment, ou pour fournir un accès de gestion inférieur à la totalité de certaines ressources, l'administrateur de la location ajoute des comptes d'utilisateur à un ou plusieurs groupes et crée des politiques pour ces groupes.

En tant qu'administrateur de location, lors de la création d'un compte d'utilisateur, fournissez un mot de passe temporaire à l'utilisateur afin qu'il puisse définir son propre mot de passe et activer son compte.

Création et gestion des comptes d'utilisateurs

L'accès aux ressources en nuage est accordé aux groupes, et non directement aux utilisateurs. Un compte d'utilisateur n'est automatiquement membre d'aucun groupe. Vous devez ajouter l'utilisateur à un groupe, puis créer une politique d'accès pour ce groupe.

Un groupe est un ensemble d'utilisateurs qui ont le même type d'accès au même jeu de ressources en nuage. Organisez les utilisateurs en groupes en fonction des compartiments et des ressources auxquels ils ont besoin d'accéder et de la façon dont ils doivent travailler avec ces ressources. Un utilisateur peut être membre de plusieurs groupes.

Création et gestion de groupes d'utilisateurs

Si votre organisation utilise déjà Microsoft Active Directory pour gérer les données d'identification des utilisateurs, vous pouvez configurer la fédération afin que les utilisateurs puissent se connecter au service de calcul Cloud@Customer isolé à l'aide des mêmes données d'identification.

Fédération avec Microsoft Active Directory

Un principal d'instance est une instance de calcul autorisée à effectuer des actions sur les ressources de service. Les applications s'exécutant sur un principal d'instance peuvent appeler des services et gérer des ressources de la même façon que les utilisateurs isolés de Compute Cloud@Customer appellent des services pour gérer les ressources, mais sans avoir à configurer les données d'identification d'utilisateur.

Pour accorder des autorisations à un principal d'instance, incluez l'instance en tant que membre d'un groupe dynamique.

Configurer des instances pour les services d'appel

Les groupes dynamiques sont des groupes d'instances de calcul qui répondent aux critères définis pour le groupe. L'appartenance change lorsque les instances répondent ou ne répondent plus aux critères.

Affectez des politiques pour définir des autorisations pour les applications exécutées sur les instances d'un groupe dynamique.

Création et gestion de groupes dynamiques

La prémisse de sécurité de base est que tout accès est refusé à moins qu'une autorisation explicite ne soit accordée. Une politique est un ensemble nommé d'énoncés, dans lesquels chaque énoncé accorde aux utilisateurs l'autorisation d'accéder aux ressources.

Lorsque vous créez une politique, elle doit être associée à un compartiment. L'emplacement auquel vous l'associez détermine qui peut la modifier. Les compartiments héritent des politiques de leur compartiment parent.

Tous les énoncés de politique sont écrits en utilisant la même syntaxe générale :

Allow <subject> to <verb> <resource-type> in <location> where <conditions>

Gestion des politiques

Syntaxe d'énoncé de politique

Le marquage vous permet d'ajouter des métadonnées aux ressources en appliquant des paires clé-valeur.

  • Les marqueurs à structure libre permettent aux utilisateurs d'inclure rapidement et facilement des informations pertinentes dans les métadonnées de la ressource.

  • Les marqueurs définis vous permettent d'appliquer l'utilisation de clés et de valeurs particulières. Les marqueurs connexes peuvent être regroupés dans un espace de noms de marqueur commun.

Vous pouvez utiliser les valeurs par défaut de marqueur pour appliquer automatiquement un marqueur défini à une ressource lors de sa création. Des marqueurs de ressource spéciaux peuvent également être utilisés pour étendre la fonctionnalité.

Marquage de ressources

Configuration des valeurs par défaut des marqueurs

Étendre les fonctionnalités avec des marqueurs de ressource