Documentation sur Oracle Cloud Infrastructure

Contrôle des privilèges d'accès des administrateurs

Un administrateur dispose de privilèges d'accès basés sur les groupes d'autorisations dont le compte est membre. La politique associée à un groupe d'autorisations définit l'accès aux ressources et aux fonctions. Sans politique valide, les membres du groupe d'autorisations ne disposent pas de privilèges d'accès.

Utilisation des groupes d'autorisations

Lors de la configuration de l'accès administratif, vous pouvez utiliser les groupes d'autorisations par défaut ou en créer un nouveau. Les groupes par défaut sont les suivants :

  • Initiale

    Les utilisateurs ont un accès limité à l'Enclave de service. Ils sont autorisés à créer le compte d'administrateur initial et à voir les informations sur le boîtier, mais ne disposent pas d'un accès en lecture aux autres ressources.

  • OCIApp

    Les utilisateurs ont un accès spécifique aux opérations liées à l'utilisation des API et des applications OCI.

  • OracleServiceAdmin

    Les utilisateurs ont un accès spécifique aux opérations liées à l'utilisation des services Private Cloud Appliance.

  • SuperAdmin

    Les utilisateurs ont un accès illimité à l'Enclave de service. Ils sont autorisés à effectuer toutes les opérations disponibles, y compris la configuration d'autres comptes d'administrateur et la gestion des groupes d'autorisations et des familles.

Note

Il existe d'autres groupes d'autorisations internes. Par exemple, le groupe Day0 fournit un accès spécifique aux opérations liées à la configuration initiale du boîtier.

Dans les systèmes existants mis à niveau à partir d'une ancienne version, les groupes d'autorisations existants ne sont pas supprimés. Pour assurer la continuité, les familles d'autorisations et les politiques sont créées au cours du processus de mise à niveau afin de garantir le maintien des mêmes privilèges d'accès.

Utiliser l'interface utilisateur Web du service

  1. Ouvrez le menu de navigation et cliquez sur Authorization Group (Groupe d'autorisation).

  2. Cliquez sur Créer un groupe.

  3. Entrez un nom de 1 à 255 caractères, puis cliquez sur Créer un groupe d'autorisations.

    La page des détails du nouveau groupe d'autorisations s'affiche.

  4. Cliquez sur Add Policy Statement. La fenêtre Formulaire d'énoncé de politique d'autorisation s'affiche.

    Note

    Pour plus d'informations, voir Écriture d'énoncés de politique.

  5. Entrez un nom comportant de 1 à 255 caractères.

  6. Sélectionnez une action : Inspecter, Lire, Utiliser ou Gérer.

  7. Sélectionnez une application de politique :

    • Ressources - Entrez les ressources auxquelles la politique doit s'appliquer.

    • Famille de fonctions - Sélectionnez-en une dans la liste déroulante.

    • Famille de ressources - Sélectionnez-en une dans la liste déroulante.

    Note

    Pour plus d'informations, voir Utilisation des familles d'autorisations.

  8. Cliquez sur Create Policy Statement.

    Le nouvel énoncé de politique s'affiche dans la page de détails. Ajoutez jusqu'à 100 énoncés de politique supplémentaires.

Utilisation de l'interface de ligne de commande du service

  1. Créez un groupe d'autorisations.

    PCA-ADMIN> create AuthorizationGroup name=authors
JobId: 14ea4d22-acf1-455d-a7a1-ec0a30f29671
Data:
id:c672d9c6-90ec-4776-bccb-caae128e86db name:authors

  2. Consultez l'aide pour la commande create authpolicyStatement.

    PCA-ADMIN> create authpolicyStatement ?
*action
activeState
functionFamily
resourceFamily
resources
*on
  3. Entrez showcustomcmds ? pour voir les options des ressources, ou entrez showallcustomcmds pour voir les options des fonctions, par exemple :
    PCA-ADMIN> showcustomcmds ?
                          ASRBundle
                          ASRPhonehome
                          BackupJob
                          CnUpdateManager
                          ComputeInstance
                          ComputeNode
                          [...]

PCA-ADMIN> showallcustomcmds
    Operation Name: <Related Object(s)>
    -----------------------------------
    [...]
    backup:  BackupJob
    changeIlomPassword:  ComputeNode, ManagementNode
    changePassword:  ComputeNode, LeafSwitch, ManagementNode, ManagementSwitch, SpineSwitch, User, ZFSAppliance
    clearFirstBootError:  NetworkConfig
    configZFSAdDomain:  ZfsAdDomain
    configZFSAdWorkgroup:  ZfsAdDomain
    createAdminAccount:  
    createUserInGroup:  User
    deletePlatformImage:  PlatformImage
    deprovision:  ComputeNode
    disableVmHighAvailability:  PcaSystem
    drAddComputeInstance:  ComputeInstance
    drAddSiteMapping:  DrSiteMapping
    [...]
    Note

    Pour plus d'informations sur les commandes et la syntaxe, voir Utilisation de l'interface de ligne de commande du service.

  4. Créez un énoncé de politique à l'aide de resources, functionFamily ou resourceFamily.

    Note

    Pour plus d'informations, voir Écriture d'énoncés de politique et Utilisation des familles d'autorisations.

    PCA-ADMIN> create authpolicyStatement action=manage resources=ComputeNode on authorizationGroup id=c672d9c6-90ec-4776-bccb-caae128e86db
    PCA-ADMIN> create authpolicyStatement action=manage authresourceFamily=rackops on authorizationGroup id=c672d9c6-90ec-4776-bccb-caae128e86db
    PCA-ADMIN> create authpolicyStatement action=manage authfunctionFamily=computeops on authorizationGroup id=c672d9c6-90ec-4776-bccb-caae128e86db

  5. Sert à consulter les détails sur le groupe d'autorisations.

    PCA-ADMIN> show authorizationGroup name=authors
Data:
Id = c672d9c6-90ec-4776-bccb-caae128e86db
Type = AuthorizationGroup
Name = authors
Policy Statements 1 = dea601bf-9bfc-4b2c-a135-d98378e69c87(ACTIVE)-Allow authors to MANAGE ComputeNode
Is Predefined Authorization Group = false
AuthPolicyStatementIds 1 = id:4adde579-1f6a-49eb-a783-9478465f135e type:AuthPolicyStatement name:
AuthPolicyStatementIds 2 = id:be498a4e-3e0a-4cfa-9013-188542adb8e3 type:AuthPolicyStatement name:

Pour désactiver un énoncé de politique :

  1. Consultez l'aide pour la commande edit authpolicyStatement.

    PCA-ADMIN> edit authpolicyStatement ?
id=<object identifier>

  2. Recherchez l'ID de l'énoncé de politique à l'aide de la commande show authorizationGroup name=group-name.

    PCA-ADMIN> show authorizationGroup name=authors
[...]
Policy Statements 1 = dea601bf-9bfc-4b2c-a135-d98378e69c87(ACTIVE)-Allow authors to MANAGE ComputeNode
Is Predefined Authorization Group = false
AuthPolicyStatementIds 1 = id:4adde579-1f6a-49eb-a783-9478465f135e type:AuthPolicyStatement name:
AuthPolicyStatementIds 2 = id:be498a4e-3e0a-4cfa-9013-188542adb8e3 type:AuthPolicyStatement name:

  3. À l'aide de l'ID de l'énoncé de politique (AuthPolicyStatementIds Number = id:unique-identifier), consultez la commande permettant d'activer ou de désactiver l'énoncé de politique.

    PCA-ADMIN> edit authpolicyStatement id=be498a4e-3e0a-4cfa-9013-188542adb8e3 ?
activeState

  4. Désactivez l'énoncé de politique.

    PCA-ADMIN> edit authpolicyStatement id=be498a4e-3e0a-4cfa-9013-188542adb8e3 activeState=inactive
JobId: 842c444e-060d-461d-a4e0-c9cdd9f1d3c3

  5. Vérifiez que l'énoncé de politique est inactif.

    PCA-ADMIN> show authorizationGroup name=authors
Data:
Id = c672d9c6-90ec-4776-bccb-caae128e86db
Type = AuthorizationGroup
Name = authors
Policy Statements 1 = 4adde579-1f6a-49eb-a783-9478465f135e(ACTIVE)-Allow authors to MANAGE ComputeNode
Policy Statements 2 = be498a4e-3e0a-4cfa-9013-188542adb8e3(INACTIVE)-Allow authors to MANAGE ComputeNode
Is Predefined Authorization Group = false
AuthPolicyStatementIds 1 = id:4adde579-1f6a-49eb-a783-9478465f135e type:AuthPolicyStatement name:
AuthPolicyStatementIds 2 = id:be498a4e-3e0a-4cfa-9013-188542adb8e3 type:AuthPolicyStatement name:

Utilisation des familles d'autorisations

L'utilisation d'une famille d'autorisations vous permet de créer des politiques que vous pouvez réutiliser dans tous les groupes d'autorisations. Les groupes d'autorisations par défaut utilisent des politiques prédéfinies, qui sont créées à l'aide de familles d'autorisations. Il existe deux types de famille d'autorisations que vous pouvez utiliser dans les énoncés de politique :

  • Les familles de ressources sont utilisées pour définir les ressources du boîtier, telles que les serveurs, le stockage et l'infrastructure réseau.

  • Les familles de fonctions sont utilisées pour définir des fonctions de boîtier, telles que la gestion des compartiments, des utilisateurs et des calculs.

Le tableau suivant répertorie les familles d'autorisations prédéfinies et leur utilisation dans les politiques de groupe d'autorisations par défaut.

Famille d'autorisations

Type

Utilisé dans les politiques pour...

Les utilisateurs du groupe peuvent...

Day0

Famille de fonctions

Groupe d'autorisations SuperAdmin

  • définir le système Day0, le routage statique, le routage dynamique et les paramètres de réseau

  • obtenir un noeud de gestion, un noeud de calcul et un état ZFS à partir d'ILOM

  • déverrouiller et verrouiller le boîtier

Initiale

Famille de fonctions

Groupe d'autorisations initial

créer le compte administrateur initial

OCIApp

Famille de fonctions

Groupe d'autorisations SuperAdmin

créer un compte d'applications OCI

OracleServiceAdmin

Famille de fonctions

Groupe d'autorisations SuperAdmin

créer un compte de services Oracle

SuperAdmin

Famille de fonctions

Groupe d'autorisations SuperAdmin

gérer toutes les fonctions de l'appliance

Day0

Famille de ressources

Groupe d'autorisations SuperAdmin

lire les informations système et la configuration réseau

Initiale

Famille de ressources

Groupe d'autorisations initial

lire les informations système

OCIApp

Famille de ressources

Groupe d'autorisations SuperAdmin

gérer les applications OCI

OracleServiceAdmin

Famille de ressources

Groupe d'autorisations SuperAdmin

gérer les services Oracle

SuperAdmin

Famille de ressources

Groupe d'autorisations SuperAdmin

 gérer toutes les ressources sur le boîtier
Utiliser l'interface utilisateur Web du service

  1. Ouvrez le menu de navigation et cliquez sur Authorization Families.

  2. Cliquez sur Create Authorization Family.

  3. Sélectionnez le type de famille d'autorisations : Famille de fonctions ou Famille de ressources.

  4. Entrer un nom.

  5. Entrez les ressources à inclure dans la famille.

    Note

    Pour plus d'informations sur la recherche des options de ressource et de fonction, voir les instructions de l'interface de ligne de commande.

  6. Cliquez sur Create Family.

Utilisation de l'interface de ligne de commande du service

Pour créer une famille de fonctions d'autorisation :

  1. Affichez les options pour la commande create authfunctionFamily.

    PCA-ADMIN> create authfunctionFamily ?
*name
*resources

  2. Entrez showallcustomcmds pour voir les options des fonctions, par exemple :

    PCA-ADMIN> showallcustomcmds
    Operation Name: <Related Object(s)>
    -----------------------------------
    [...]
    backup:  BackupJob
    changeIlomPassword:  ComputeNode, ManagementNode
    changePassword:  ComputeNode, LeafSwitch, ManagementNode, ManagementSwitch, SpineSwitch, User, ZFSAppliance
    clearFirstBootError:  NetworkConfig
    configZFSAdDomain:  ZfsAdDomain
    configZFSAdWorkgroup:  ZfsAdDomain
    createAdminAccount:  
    createUserInGroup:  User
    deletePlatformImage:  PlatformImage
    deprovision:  ComputeNode
    disableVmHighAvailability:  PcaSystem
    drAddComputeInstance:  ComputeInstance
    drAddSiteMapping:  DrSiteMapping
    [...]

  3. Créez la famille de fonctions d'autorisation.

    PCA-ADMIN> create authfunctionFamily name=cnops resources=ComputeNode.reset,ComputeNode.start,ComputeNode.stop
Command: create authfunctionFamily name=cnops resources=ComputeNode.reset,ComputeNode.start,ComputeNode.stop
JobId: 4cd37ea7-161f-4b11-952f-ffa992a37d5f
Data:
id:ae0216da-20d1-4e03-bf65-c7898c6079b2 name:cnops

  4. Répertoriez les familles de fonctions d'autorisation.

    PCA-ADMIN> list authfunctionFamily
Data:
id name
-- ----
7f1ac922-571a-4253-a120-e5d15a877a1e Initial
2185058a-3355-48be-851c-2fa0e5a896bd SuperAdmin
7f092ddd-1a51-4a17-b4e2-96c4ece005ec Day0
ae0216da-20d1-4e03-bf65-c7898c6079b2 cnops

Pour créer une famille de ressources d'autorisation :

  1. Affichez les options pour la commande create authresourceFamily.

    PCA-ADMIN> create authresourceFamily ?
*name
*resources

  2. Entrez showcustomcmds ? pour voir les options des ressources, par exemple :

    PCA-ADMIN> showcustomcmds ?
                          ASRBundle
                          ASRPhonehome
                          BackupJob
                          CnUpdateManager
                          ComputeInstance
                          ComputeNode
                          [...]
    Note

    Pour plus d'informations sur les commandes et la syntaxe, voir Utilisation de l'interface de ligne de commande du service.

  3. Créez la famille de ressources d'autorisation.

    PCA-ADMIN> create authresourceFamily name=rackops resources=ComputeNode,RackUnit
JobId: eb49ac48-e3f3-4c2f-bf11-d5d18a066788
Data:
id:b54e4413-15bd-440e-b399-e2ab75f17c35 name:rackops

  4. Listez les familles de ressources d'autorisation.

    PCA-ADMIN> list authresourceFamily
Data:
id name
-- ----
9aefc9c8-556d-42a4-9369-d7cdf0bf0c52 SuperAdmin
b591cc7b-b117-449e-af35-cb4fc6f0c213 Day0
87633db2-d724-45b6-97a5-30babb6c4869 cnops
b54e4413-15bd-440e-b399-e2ab75f17c35 rackops
a45c08b4-f895-4da8-87f4-c81ca0b2bf27 Initial

Rédaction d'énoncés de politique

Des politiques sont requises pour que les groupes d'autorisations fonctionnent. Vous pouvez créer des politiques individuelles ou utiliser des familles d'autorisations. Vous pouvez créer des énoncés de politique à partir de l'interface utilisateur Web du service ou de l'interface de ligne de commande du service. Chaque énoncé de politique doit contenir les éléments suivants :

  • Nom - 1 à 255 caractères

  • Action - Inspecter, lire, utiliser ou gérer

  • Famille de ressources/d'autorisations - Une ou plusieurs ressources ou une famille d'autorisations

  • (Interface de ligne de commande de service uniquement) - Groupe d'autorisations - ID du groupe

Note

Vous ne pouvez pas modifier un énoncé de politique. Si vous devez apporter des modifications à un énoncé de politique, vous devez le supprimer, puis le recréer.

Le tableau suivant contient des informations sur les actions que vous pouvez effectuer sur une ressource.

Action

Type d'accès

inspect

Capacité de liste des ressources, sans accès aux informations confidentielles ou aux métadonnées définies par l'utilisateur qui peuvent faire partie de cette ressource.

read

Inclut inspect plus la possibilité d'obtenir des métadonnées spécifiées par l'utilisateur et la ressource réelle proprement dite.

use

Inclut read plus la possibilité d'utiliser des ressources existantes. Les actions varient selon le type de ressource.

manage

Inclut toutes les autorisations pour la ressource.