Politiques relatives aux bureaux sécurisés

Chaque service d'Oracle Cloud Infrastructure est intégré avec le service de gestion des identités et des accès (IAM) aux fins d'authentification et d'autorisation, pour toutes les interfaces (console, SDK ou interface de ligne de commande et API REST).

Note

Par exemple, des politiques pour les ordinateurs de bureau sécurisés et des informations sur les groupes dynamiques requis, voir Création de politiques pour le service et Création de politiques pour l'autorisation d'utilisateur.

L'administrateur de la location doit créer des politiques au niveau de la location ou du compartiment pour autoriser les bureaux sécurisés et utiliser les ressources dont il a besoin. Ils doivent également configurer des groupes, des compartiments et des politiques qui contrôlent l'accès des utilisateurs au service. Voir Création de politiques pour le service et Création de politiques pour l'autorisation d'utilisateur.

Pour une présentation des politiques, voir Configuration des politiques.

Note

La création d'une politique nécessite des privilèges appropriés. Communiquez avec l'administrateur de la location pour obtenir les privilèges ou pour qu'il crée les politiques pour vous.

Politiques IAM requises

Dans le compartiment racine

Allow dynamic-group <dynamic-group> to {DOMAIN_INSPECT, DOMAIN_READ} in tenancy 
Allow dynamic-group <dynamic-group> to inspect users in tenancy 
Allow dynamic-group <dynamic-group> to inspect compartments in tenancy
Allow dynamic-group <dynamic-group> to use tag-namespaces in tenancy

Dans le compartiment racine ou le compartiment au-dessus des compartiments du groupe de bureaux que vous gérez

Allow dynamic-group <dynamic-group> to use virtual-network-family in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to manage virtual-network-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to read instance-images in compartment <image-compartment>
Allow dynamic-group <dynamic-group> to manage instance-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage volume-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to manage dedicated-vm-hosts in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage orm-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to {VNIC_CREATE, VNIC_DELETE} in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage instance-configurations in compartment <desktop-compartment>

Note

Si <desktops-network-compartment> n'est pas un enfant des compartiments situés au-dessus des compartiments du groupe d'ordinateurs de bureau, la politique doit être spécifiée dans le compartiment racine.
Si vous prévoyez de créer des groupes d'ordinateurs de bureau privés, des politiques supplémentaires peuvent être nécessaires. Pour plus d'informations, voir Activation de l'accès privé au bureau.

Pour l'administrateur de bureau

Allow group <desktop-administrators> to manage desktop-pool-family in compartment <desktop-compartment>
Allow group <desktop-administrators> to read all-resources in compartment <desktop-compartment>
Allow group <desktop-administrators> to use virtual-network-family in compartment <desktops-network-compartment>
Allow group <desktop-administrators> to use instance-images in compartment <images-compartment>

Pour l'utilisateur du bureau

Tous les groupes d'ordinateurs de bureau d'un compartiment :

Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>

Groupes de bureaux spécifiques dans un compartiment :

Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>
                where all {target.desktoppool.name = '<pool_name>', target.desktoppool.id = '<pool_ocid>'}

Détails des politiques pour les ordinateurs de bureau sécurisés

Dans un énoncé de politique, vous utilisez des verbes, des types de ressource et des variables pour accorder l'accès aux services et aux ressources. Vous pouvez également utiliser des autorisations ou des opérations d'API pour réduire la portée de l'accès accordé par un verbe particulier.

Pour plus d'informations sur les autorisations, voir Autorisations.

Type de ressource agrégé

desktop-pool-family

Types de ressource individuels

desktop-pool

desktop

Variables prises en charge


Opérations pour ce type de ressource...	Peut utiliser ces variables...	Type de variable	Commentaires
`desktop-pool`	`target.desktopPool.id`	Entité (OCID)
`desktop`	`target.desktop.id`	Entité (OCID)

Informations détaillées sur les combinaisons de verbe et de type de ressource

Les tableaux suivants présentent les autorisations et les opérations d'API couvertes par chaque verbe. Le niveau d'accès est cumulatif depuis inspect > read > use > manage. Un signe plus (+) dans une cellule de tableau indique un accès incrémentiel par rapport à la cellule directement au-dessus, alors que la mention "aucun accès supplémentaire" indique qu'il n'y a aucun accès incrémentiel.

desktop-pool


Verbes	Permissions	API entièrement couvertes	API partiellement couvertes
inspect	`DESKTOP_POOL_INSPECT`	`ListDesktopPools`	aucune
lire	INSPECT + `DESKTOP_POOL_READ`	`GetDesktopPool` `ListDesktopPoolVolumes` `ListDesktopPoolDesktops` `ListDesktopPoolErrors`	aucune
use	READ +	`UpdateDesktopPool` `StartDesktopPool` `StopDesktopPool`	aucune
manage	USE + `DESKTOP_POOL_CREATE` `DESKTOP_POOL_DELETE` `DESKTOP_POOL_MOVE`	`CreateDesktopPool` `DeleteDesktopPool` `ChangeDesktopPoolCompartment`	aucune

bureau


Verbes	Permissions	API entièrement couvertes	API partiellement couvertes
inspect	`DESKTOP_INSPECT`	`ListDesktops`	aucune
lire	INSPECT + `DESKTOP_READ`	`GetDesktop` `ListDesktopErrors`	aucune
use	READ + `DESKTOP_UPDATE`	`UpdateDesktop` `StartDesktop` `StopDesktop`	aucune
manage	USE + `DESKTOP_DELETE`	`DeleteDesktop`	aucune

Autorisations requises pour chaque opération d'API


Opérations d'API	Autorisations requises pour utiliser l'opération
`ListDesktopPools`	`DESKTOP_POOL_INSPECT`
`CreateDesktopPool`	`DESKTOP_POOL_CREATE`
`GetDesktopPool`	`DESKTOP_POOL_READ`
`DeleteDesktopPool`	`DESKTOP_POOL_DELETE`
`UpdateDesktopPool`	`DESKTOP_POOL_UPDATE`
`ChangeDesktopPoolCompartment`	`DESKTOP_POOL_MOVE`
`StartDesktopPool`	`DESKTOP_POOL_UPDATE`
`StopDesktopPool`	`DESKTOP_POOL_UPDATE`
`ListDesktopPoolVolumes`	`DESKTOP_POOL_READ`
`ListDesktopPoolDesktops`	`DESKTOP_POOL_READ`
`ListDesktopPoolErrors`	`DESKTOP_POOL_READ`
`ListDesktops`	`DESKTOP_INSPECT`
`GetDesktop`	`DESKTOP_READ`
`DeleteDesktop`	`DESKTOP_DELETE`
`UpdateDesktop`	`DESKTOP_UPDATE`
`StartDesktop`	`DESKTOP_UPDATE`
`StopDesktop`	`DESKTOP_UPDATE`
`ListDesktopErrors`	`DESKTOP_READ`

Documentation sur Oracle Cloud Infrastructure