Stratégies courantes

Cette section comprend des stratégies courantes que vous pouvez utiliser dans votre organisation.

Remarque

Ces stratégies utilisent des exemples de noms de groupe et de compartiment. Veillez à les remplacer par vos propres noms.

Autoriser le support technique à gérer des utilisateurs

Type d'accès : permet de créer, de mettre à jour et de supprimer des utilisateurs et leurs informations d'identification. Cette stratégie n'inclut pas la possibilité d'ajouter des utilisateurs à des groupes (reportez-vous à Autoriser les administrateurs de groupe à gérer l'appartenance à des groupes).

Emplacement de création de la stratégie : dans la location car les utilisateurs y résident.

Allow group HelpDesk to manage users in tenancy
Autoriser les auditeurs à inspecter vos ressources

Type d'accès : permet de répertorier les ressources dans tous les compartiments. Attention :

  • L'opération permettant de répertorier les stratégies IAM inclut le contenu des stratégies elles-mêmes.
  • Les opérations permettant de répertorier les types de ressource Networking renvoient toutes les informations (par exemple, le contenu des listes de sécurité et des tables de routage).
  • L'opération permettant de répertorier les instances requiert le verbe read à la place du verbe inspect, et le contenu inclut les métadonnées fournies par l'utilisateur.
  • L'opération permettant de visualiser des événements du service Audit requiert le verbe read au lieu du verbe inspect.

Emplacement de création de la stratégie : dans la location. En raison du concept d'héritage de stratégies, les auditeurs peuvent inspecter la location et tous les compartiments qu'elle contient. Vous pouvez également choisir de donner aux auditeurs un accès uniquement à des compartiments spécifiques s'ils n'ont pas besoin d'accéder à l'ensemble de la location.

Allow group Auditors to inspect all-resources in tenancy

Allow group Auditors to read instances in tenancy

Allow group Auditors to read audit-events in tenancy
Autoriser les administrateurs réseau à gérer un réseau cloud

Type d'accès : permet de gérer tous les composants dans Networking. Cela comprend les réseaux cloud, les sous-réseaux, les passerelles, les circuits virtuels, les listes de sécurité, les tables de routage, etc. Si les administrateurs réseau doivent lancer des instances pour tester la connectivité réseau, reportez-vous à Autoriser les utilisateurs à lancer des instances Compute sur cette page.

Emplacement de création de la stratégie : dans la location. En raison du concept d'héritage de stratégies, le groupe NetworkAdmins peut gérer un réseau cloud dans n'importe quel compartiment. Pour limiter la portée de l'accès à un compartiment particulier, indiquez ce dernier au lieu de la location.

Allow group NetworkAdmins to manage virtual-network-family in tenancy
Autoriser les administrateurs réseau à gérer des équilibreurs de charge

Type d'accès : permet de gérer tous les composants dans Load Balancing. Si le groupe doit lancer des instances, reportez-vous à Autoriser les utilisateurs à lancer des instances Compute sur cette page.

Emplacement de création de la stratégie : dans la location. En raison du concept d'héritage de stratégies, le groupe NetworkAdmins peut gérer les équilibreurs de charge dans n'importe quel compartiment. Pour limiter la portée de l'accès à un compartiment particulier, indiquez ce dernier au lieu de la location.

Allow group NetworkAdmins to manage load-balancers in tenancy

Si le groupe utilise la console pour gérer les équilibreurs de charge, une stratégie supplémentaire permettant d'utiliser les ressources de configuration réseau associées est requise :

Allow group NetworkAdmins to manage load-balancers in tenancy

Allow group NetworkAdmins to use virtual-network-family in tenancy

Si un groupe particulier doit mettre à jour des équilibreurs de charge existants (par exemple, modifier l'ensemble de back-ends) mais sans les créer ni les supprimer, l'instruction suivante doit être utilisée :

Allow group LBUsers to use load-balancers in tenancy
Autoriser les utilisateurs à lancer des instances Compute

Type d'accès : permet de tout faire avec les instances lancées dans le réseau cloud et les sous-réseaux du compartiment XYZ, et permet d'attacher/de détacher les volumes qui existent déjà dans le compartiment ABC. La première instruction permet également au groupe de créer et de gérer des images d'instance dans le compartiment ABC. Si le groupe n'a pas besoin d'attacher/de détacher des volumes, vous pouvez supprimer la troisième instruction.

Emplacement de création de la stratégie : l'approche la plus simple consiste à placer cette stratégie dans la location. Si vous souhaitez que les administrateurs de chaque compartiment (ABC et XYZ) contrôlent les différentes instructions de stratégie pour leur compartiment, reportez-vous à Attachement de stratégie.

Allow group InstanceLaunchers to manage instance-family in compartment ABC

Allow group InstanceLaunchers to read app-catalog-listing in tenancy

Allow group InstanceLaunchers to use volume-family in compartment ABC

Allow group InstanceLaunchers to use virtual-network-family in compartment XYZ
Autoriser les utilisateurs à gérer des hôtes de machine virtuelle dédiés Compute

Type d'accès : permet de créer, de mettre à jour et de supprimer des hôtes de machine virtuelle dédiés, ainsi que de lancer des instances sur des hôtes de machine virtuelle dédiés.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux instances et aux hôtes de machine virtuelle dédiés d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group DedicatedVMHostAdmins to manage dedicated-vm-hosts in tenancy

Allow group DedicatedVMHostAdmins to manage instances in tenancy
Autoriser les utilisateurs à lancer des instances Compute sur des hôtes de machine virtuelle dédiés

Type d'accès : permet de lancer des instances sur des hôtes de machine virtuelle dédiés.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux instances et aux hôtes de machine virtuelle dédiés d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group DedicatedVMHostAdmins to use dedicated-vm-hosts in tenancy

Allow group DedicatedVMHostAdmins to manage instances in tenancy
Autoriser les utilisateurs à gérer des configurations d'instance Compute, des pools d'instances et des réseaux de cluster

Type d'accès : permet de tout faire avec des configurations d'instance, des pools d'instances et des réseaux de cluster dans tous les compartiments.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux configurations d'instance, aux pools d'instances et aux réseaux de cluster d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group InstancePoolAdmins to manage compute-management-family in tenancy

Si un groupe doit créer des configurations d'instance à l'aide d'instances existantes en tant que modèles et qu'il utilise l'API, les kits SDK ou l'interface de ligne de commande pour ce faire, ajoutez les instructions suivantes à la stratégie :

Allow group InstancePoolAdmins to read instance-family in tenancy

Allow group InstancePoolAdmins to inspect volumes in tenancy

Si un groupe particulier doit démarrer, arrêter ou réinitialiser des instances de pools d'instances existants, mais sans créer ni supprimer des pools d'instances, utilisez l'instruction suivante :

Allow group InstancePoolUsers to use instance-pools in tenancy
Autoriser les utilisateurs à gérer des configurations de redimensionnement automatique Compute

Type d'accès : permet de créer, de mettre à jour et de supprimer des configurations de redimensionnement automatique.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux configurations de redimensionnement automatique d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group AutoscalingAdmins to manage auto-scaling-configurations in tenancy

Allow group AutoscalingAdmins to manage instance-pools in tenancy
Autoriser les utilisateurs à répertorier les images du catalogue d'images de partenaire et à s'abonner à celles-ci

Type d'accès : permet de répertorier et de créer des abonnements aux images du catalogue d'images de partenaire. Cette stratégie n'inclut pas la possibilité de créer des instances à l'aide d'images du catalogue d'images de partenaire (reportez-vous à Autoriser les utilisateurs à lancer des instances Compute).

Emplacement de création de la stratégie : dans la location. Pour limiter la portée de l'accès uniquement à la création d'abonnements dans un compartiment particulier, indiquez ce compartiment au lieu de la location dans la troisième instruction.

Allow group CatalogSubscribers to inspect app-catalog-listing in tenancy

Allow group CatalogSubscribers to read app-catalog-listing in tenancy

Allow group CatalogSubscribers to manage app-catalog-listing in tenancy
Autoriser les administrateurs de volumes à gérer des volumes de blocs, des sauvegardes et des groupes de volumes

Type d'accès : permet de tout faire avec les volumes de stockage de blocs, les sauvegardes de volume et les groupes de volumes dans tous les compartiments, à l'exception de copier des sauvegardes de volume entre des régions. Cette stratégie est utile si vous souhaitez disposer d'un seul ensemble d'administrateurs de volumes pour gérer l'ensemble des volumes, des sauvegardes de volumes et des groupes de volumes dans tous les compartiments. La seconde instruction est requise pour attacher les volumes aux instances ou les détacher.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux volumes, aux sauvegardes et aux instances d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group VolumeAdmins to manage volume-family in tenancy

Allow group VolumeAdmins to use instance-family in tenancy

Si le groupe doit également copier des sauvegardes de volume et de volume d'initialisation entre des régions, ajoutez les instructions suivantes à la stratégie :

Allow group VolumeAdmins to use volume-backups in tenancy where request.permission='VOLUME_BACKUP_COPY'
Allow group VolumeAdmins to use boot-volume-backups in tenancy where request.permission='BOOT_VOLUME_BACKUP_COPY'
Autoriser les administrateurs de sauvegarde de volume à gérer uniquement des sauvegardes

Type d'accès : permet de tout faire avec les sauvegardes de volume mais pas de créer ni de gérer les volumes eux-mêmes. Cette stratégie est utile si vous souhaitez qu'un seul ensemble d'administrateurs de sauvegarde de volume gère toutes les sauvegardes de volume dans tous les compartiments. La première instruction donne l'accès requis au volume en cours de sauvegarde. La deuxième permet de créer la sauvegarde (et donne la possibilité de supprimer des sauvegardes). La troisième instruction permet de créer et de gérer des stratégies de sauvegarde définies par l'utilisateur. La quatrième permet d'affecter et d'enlever l'affectation des stratégies de sauvegarde.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux volumes et aux sauvegardes d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group VolumeBackupAdmins to use volumes in tenancy

Allow group VolumeBackupAdmins to manage volume-backups in tenancy

Allow group VolumeBackupAdmins to manage backup-policies in tenancy

Allow group VolumeBackupAdmins to manage backup-policy-assignments in tenancy

Si le groupe doit utiliser la console, la stratégie suivante offre une meilleure expérience utilisateur :

Allow group VolumeBackupAdmins to use volumes in tenancy

Allow group VolumeBackupAdmins to manage volume-backups in tenancy

Allow group VolumeBackupAdmins to inspect volume-attachments in tenancy

Allow group VolumeBackupAdmins to inspect instances in tenancy

Allow group VolumeBackupAdmins to manage backup-policies in tenancy

Allow group VolumeBackupAdmins to manage backup-policy-assignments in tenancy

Les deux dernières instructions ne sont pas nécessaires pour gérer des sauvegardes de volume. Toutefois, elles permettent à la console d'afficher toutes les informations sur un volume particulier et les stratégies de sauvegarde disponibles.

Autoriser les administrateurs de sauvegarde de volume d'initialisation à gérer uniquement des sauvegardes

Type d'accès : permet de tout faire avec les sauvegardes de volume d'initialisation, mais pas de créer ni de gérer les volumes d'initialisation eux-mêmes. Cette stratégie est utile si vous souhaitez qu'un seul ensemble d'administrateurs de sauvegarde de volume d'initialisation gère toutes les sauvegardes de volume d'initialisation dans tous les compartiments. La première instruction donne l'accès requis au volume d'initialisation en cours de sauvegarde. La deuxième permet de créer la sauvegarde (et donne la possibilité de supprimer des sauvegardes). La troisième instruction permet de créer et de gérer des stratégies de sauvegarde définies par l'utilisateur. La quatrième permet d'affecter et d'enlever l'affectation des stratégies de sauvegarde.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux volumes d'initialisation et aux sauvegardes d'un compartiment particulier, indiquez ce dernier au lieu de la location.

Allow group BootVolumeBackupAdmins to use volumes in tenancy

Allow group BootVolumeBackupAdmins to manage boot-volume-backups in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policies in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policy-assignments in tenancy

Si le groupe doit utiliser la console, la stratégie suivante offre une meilleure expérience utilisateur :

Allow group BootVolumeBackupAdmins to use volumes in tenancy

Allow group BootVolumeBackupAdmins to manage boot-volume-backups in tenancy

Allow group BootVolumeBackupAdmins to inspect instances in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policies in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policy-assignments in tenancy

Les deux dernières instructions ne sont pas nécessaires pour gérer des sauvegardes de volume. Toutefois, elles permettent à la console d'afficher toutes les informations sur un volume d'initialisation particulier et les stratégies de sauvegarde disponibles.

Autoriser les utilisateurs à créer un groupe de volumes

Type d'accès : permet de créer un groupe de volumes à partir d'un ensemble de volumes.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux volumes et aux groupes de volumes d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group VolumeGroupCreators to inspect volumes in tenancy
Allow group VolumeGroupCreators to manage volume-groups in tenancy
Autoriser les utilisateurs à cloner un groupe de volumes

Type d'accès : permet de cloner un groupe de volumes à partir d'un groupe de volumes existant.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux volumes et aux groupes de volumes d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group VolumeGroupCloners to inspect volumes in tenancy
Allow group VolumeGroupCloners to manage volume-groups in tenancy
Allow group VolumeGroupCloners to manage volumes in tenancy
Autoriser les utilisateurs à créer une sauvegarde de groupe de volumes

Type d'accès : permet de créer une sauvegarde de groupe de volumes.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux volumes/sauvegardes et aux groupes de volumes/sauvegardes de groupe de volumes d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group VolumeGroupBackupAdmins to inspect volume-groups in tenancy
Allow group VolumeGroupBackupAdmins to manage volumes in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-group-backups in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-backups in tenancy
Autoriser les utilisateurs à restaurer une sauvegarde de groupe de volumes

Type d'accès : permet de créer un groupe de volumes en restaurant une sauvegarde de groupe de volumes.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux volumes/sauvegardes et aux groupes de volumes/sauvegardes de groupe de volumes d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group VolumeGroupBackupAdmins to inspect volume-group-backups in tenancy
Allow group VolumeGroupBackupAdmins to read volume-backups in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-groups in tenancy
Allow group VolumeGroupBackupAdmins to manage volumes in tenancy
Autoriser les utilisateurs à créer, à gérer et à supprimer des systèmes de fichiers

Type d'accès : permet de créer, de gérer ou de supprimer un système de fichiers. Les fonctions administratives d'un système de fichiers incluent la possibilité de le renommer, de le supprimer ou de s'en déconnecter.

Emplacement de création de la stratégie : dans la location, afin que la possibilité de créer, de gérer ou de supprimer un système de fichiers soit facilement accordée à tous les compartiments via l'héritage de stratégies. Pour limiter la portée de ces fonctions d'administration aux systèmes de fichiers d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group StorageAdmins to manage file-family in tenancy
Autoriser les utilisateurs à créer des systèmes de fichiers

Type d'accès : permet de créer un système de fichiers.

Emplacement de création de la stratégie : dans la location, afin que la possibilité de créer un système de fichiers soit facilement accordée à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de ces fonctions d'administration aux systèmes de fichiers d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group Managers to manage file-systems in tenancy

Allow group Managers to read mount-targets in tenancy

La seconde instruction est requise lorsque les utilisateurs créent un système de fichiers à l'aide de la console. Elle permet à la console d'afficher la liste des cibles de montage auxquelles le nouveau système de fichiers peut être associé.

Autoriser les administrateurs Object Storage à gérer des buckets et des objets

Type d'accès : permet de tout faire avec des buckets et des objets Object Storage dans tous les compartiments.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux buckets et aux objets d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group ObjectAdmins to manage buckets in tenancy

Allow group ObjectAdmins to manage objects in tenancy
Autoriser les utilisateurs à écrire des objets dans des buckets Object Storage

Type d'accès : permet d'écrire des objets dans n'importe quel bucket Object Storage du compartiment ABC (imaginez une situation dans laquelle un client doit écrire régulièrement des fichiers journaux dans un bucket). Cela consiste à répertorier les buckets dans le compartiment, à répertorier les objets dans un bucket et à créer un objet dans un bucket. Bien que la seconde instruction accorde un large accès avec le verbe manage, la portée de cet accès est ensuite limitée aux droits d'accès OBJECT_INSPECT et OBJECT_CREATE au moyen de la condition se trouvant à la fin de l'instruction.

Emplacement de création de la stratégie : l'approche la plus simple consiste à placer cette stratégie dans la location. Si vous souhaitez que les administrateurs du compartiment ABC contrôlent la stratégie, reportez-vous à Attachement de stratégie.

Allow group ObjectWriters to read buckets in compartment ABC

Allow group ObjectWriters to manage objects in compartment ABC where any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}

Accès limité à un bucket spécifique : pour limiter l'accès à un bucket spécifique dans un compartiment particulier, ajoutez la condition where target.bucket.name='<bucket_name>'. La stratégie suivante permet à l'utilisateur de répertorier tous les buckets d'un compartiment particulier, mais il ne peut répertorier que les objets à l'intérieur et télécharger des objets vers BucketA :

Allow group ObjectWriters to read buckets in compartment ABC

Allow group ObjectWriters to manage objects in compartment ABC where all {target.bucket.name='BucketA', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

Pour plus d'informations sur l'utilisation des conditions, reportez-vous à Fonctionnalités de stratégie avancées.

Autoriser les utilisateurs à télécharger des objets à partir de buckets Object Storage

Type d'accès : permet de télécharger des objets à partir de n'importe quel bucket Object Storage dans le compartiment ABC. Cela permet de répertorier les buckets dans le compartiment, de répertorier les objets dans un bucket et de lire les objets existants dans un bucket.

Emplacement de création de la stratégie : l'approche la plus simple consiste à placer cette stratégie dans la location. Si vous souhaitez que les administrateurs du compartiment ABC contrôlent la stratégie, reportez-vous à Attachement de stratégie.

Allow group ObjectReaders to read buckets in compartment ABC

Allow group ObjectReaders to read objects in compartment ABC

Accès limité à un bucket spécifique : pour limiter l'accès à un bucket spécifique dans un compartiment particulier, ajoutez la condition where target.bucket.name='<bucket_name>'. La stratégie suivante permet à l'utilisateur de répertorier tous les buckets dans un compartiment particulier, mais il peut uniquement lire les objets à l'intérieur et télécharger des éléments à partir de BucketA :

Allow group ObjectReaders to read buckets in compartment ABC

Allow group ObjectReaders to read objects in compartment ABC where target.bucket.name='BucketA'

Pour plus d'informations sur l'utilisation des conditions, reportez-vous à Fonctionnalités de stratégie avancées.

Autoriser les administrateurs de base de données à gérer des systèmes de base de données

Type d'accès : permet de tout faire avec les ressources de système de base de données dans tous les compartiments. Cette stratégie est utile si vous souhaitez qu'un seul ensemble d'administrateurs de base de données gère tous les systèmes Bare Metal, de machine virtuelle et de base de données Exadata dans tous les compartiments.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux systèmes de base de données d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group DatabaseAdmins to manage database-family in tenancy
Autoriser les administrateurs de base de données à gérer des instances Exadata Cloud@Customer

Type d'accès : permet d'effectuer toutes les opérations sur les ressources Exadata Cloud@Customer dans tous les compartiments. Cette stratégie est utile si vous voulez qu'un seul ensemble d'administrateurs de base de données gère tous les systèmes Exadata Cloud@Customer dans tous les compartiments.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès aux systèmes Exadata Cloud@Customer

d'un compartiment spécifique, indiquez ce compartiment au lieu de la location.

Allow group ExaCCAdmins to manage database-family in tenancy
Autoriser les administrateurs de base de données et de parc à gérer des bases de données autonomes

Type d'accès : permet de tout faire avec les instances Autonomous Database dans tous les compartiments. Cette stratégie est applicable lorsque vous voulez qu'un seul ensemble d'administrateurs de base de données gère toutes les bases de données Autonomous Database dans tous les compartiments.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès aux bases de données autonomes d'un compartiment spécifique, indiquez ce compartiment au lieu de la location.

Exemple 1 : pour les administrateurs de parc. Autorise l'administrateur de parc Autonomous Database à accéder aux divers types de charge globale (Autonomous Data Warehouse, base de données JSON autonome et Autonomous Transaction Processing) ainsi qu'aux ressources d'infrastructure Exadata dédiée (bases de données Conteneur et instances d'infrastructure Exadata Autonomous).

Allow group DatabaseAdmins to manage autonomous-database-family in tenancy

Si vous devez limiter l'accès aux types de ressource d'infrastructure Exadata Autonomous et de base de données Conteneur Autonomous (applicables uniquement aux systèmes d'infrastructure Exadata dédiée), créez des instructions de stratégie distinctes pour les administrateurs de base de données qui autorisent l'accès uniquement aux bases de données autonomes et à leurs sauvegardes. Comme une instruction de stratégie ne peut indiquer qu'un seul type de ressource, vous devez créer des instructions distinctes pour les ressources de base de données et de sauvegarde.

Exemple 2 : pour les administrateurs de base de données. Autorise les administrateurs de base de données Autonomous Database à accéder aux bases de données et aux sauvegardes de divers types de charge globale, mais empêche l'accès aux bases de données Conteneur Autonomous ainsi qu'aux instances d'infrastructure Exadata Autonomous.

Allow group ADB-Admins to manage autonomous-database in tenancy
Allow group ADB-Admins to manage autonomous-backup in tenancy

Pour limiter la portée de l'accès aux types de charge globale Autonomous Data Warehouse, base de données JSON autonome ou Autonomous Transaction Processing, utilisez une clause where, comme dans l'exemple suivant :

Exemple 3 : pour les administrateurs de base de données. Permet de limiter l'accès Autonomous Database aux bases de données et aux sauvegardes de type Autonomous Data Warehouse, base de données JSON autonome ou Autonomous Transaction Processing.

Allow group ADB-Admins to manage autonomous-database in tenancy where target.workloadType = 'workload_type'
Allow group ADB-Admins to manage autonomous-backup in tenancy where target.workloadType = 'workload_type'

Dans les exemples de code précédents, workload_type peut prendre la valeur DW, AJD ou OLTP respectivement pour Autonomous Data Warehouse, base de données JSON autonome et Autonomous Transaction Processing.

Autoriser les administrateurs de sécurité à gérer des coffres, des clés et des clés secrètes

Type d'accès : permet de tout faire avec le service Vault dans tous les compartiments. Cela est utile si vous souhaitez qu'un même ensemble d'administrateurs de sécurité gère tous les coffres, clés et composants de clé secrète (clés secrètes, versions de clé secrète et groupes de clés secrètes compris) dans la totalité des compartiments.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux coffres, aux clés et aux composants de clé secrète d'un compartiment particulier, indiquez ce dernier au lieu de la location.

Allow group SecurityAdmins to manage vaults in tenancy

Allow group SecurityAdmins to manage keys in tenancy

Allow group SecurityAdmins to manage secret-family in tenancy
Autoriser les administrateurs de sécurité à gérer toutes les clés dans un coffre spécifique d'un compartiment

Type d'accès : permet de tout faire avec les clés dans un coffre spécifique du compartiment ABC.

Emplacement de création de la stratégie : l'approche la plus simple consiste à placer cette stratégie dans la location. Si vous souhaitez que les administrateurs du compartiment individuel (ABC) contrôlent les instructions de stratégie individuelles pour leur compartiment, reportez-vous à Attachement de stratégie.

Allow group SecurityAdmins to manage keys in compartment ABC where target.vault.id='<vault_OCID>'
Autoriser les administrateurs de sécurité à utiliser une clé spécifique dans un compartiment

Type d'accès : permet de répertorier, de visualiser et d'effectuer des opérations cryptographiques avec une clé spécifique dans un compartiment.

Emplacement de création de la stratégie : l'approche la plus simple consiste à placer cette stratégie dans la location. Si vous souhaitez que les administrateurs du compartiment individuel (ABC) contrôlent les instructions de stratégie individuelles pour leur compartiment, reportez-vous à Attachement de stratégie.

Allow group SecurityAdmins to use keys in compartment ABC where target.key.id='<key_OCID>'
Autoriser un groupe d'utilisateurs à déléguer l'utilisation des clés dans un compartiment

Type d'accès : permet d'associer un bucket Object Storage, un volume Block Volume, un système de fichiers File Storage, un cluster Kubernetes ou un pool de flux de données Streaming à une clé spécifique pouvant être utilisée dans un compartiment particulier. Avec cette stratégie, un utilisateur du groupe indiqué ne dispose pas des droits d'accès nécessaires pour utiliser la clé elle-même. Au lieu de cela, par association, la clé peut être utilisée par Object Storage, Block Volume, File Storage, Container Engine for Kubernetes ou Streaming au nom de l'utilisateur pour :

  • créer ou mettre à jour un bucket, un volume ou un système de fichiers crypté, et crypter ou décrypter des données dans le bucket, le volume ou le système de fichiers,
  • créer des clusters Kubernetes avec des clés secrètes Kubernetes cryptées inactives dans la banque clé-valeur etcd.
  • créer un pool de flux de données afin de crypter les données dans les flux de données du pool de flux de données.

Cette stratégie requiert que vous disposiez également d'une stratégie complémentaire permettant à Object Storage, à Block Volume, à File Storage, à Container Engine for Kubernetes ou à Streaming d'utiliser la clé pour effectuer des opérations cryptographiques.

Emplacement de création de la stratégie : l'approche la plus simple consiste à placer cette stratégie dans la location. Si vous souhaitez que les administrateurs du compartiment individuel (ABC) contrôlent les instructions de stratégie individuelles pour leur compartiment, reportez-vous à Attachement de stratégie.

Allow group ObjectWriters, VolumeWriters, FileWriters, ClusterWriters, StreamWriters to use key-delegate in compartment ABC where target.key.id = '<key_OCID>'
Autoriser les services Block Volume, Object Storage, File Storage, Container Engine for Kubernetes et Streaming à crypter et à décrypter des volumes, des sauvegardes de volume, des buckets, des systèmes de fichiers, des clés secrètes Kubernetes et des pools de flux de données

Type d'accès : permet de répertorier, de visualiser et d'effectuer des opérations cryptographiques avec toutes les clés dans le compartiment ABC. Comme Object Storage est un service régional, il comporte des adresses régionales. Par conséquent, vous devez indiquer le nom du service régional pour chaque région dans laquelle vous utilisez Object Storage avec le cryptage Vault. Cette stratégie nécessite également que vous disposiez d'une stratégie complémentaire autorisant un groupe d'utilisateurs à employer la clé déléguée qui sera utilisée par Object Storage, Block Volume, File Storage, Container Engine for Kubernetes ou Streaming.

Emplacement de création de la stratégie : l'approche la plus simple consiste à placer cette stratégie dans la location. Si vous souhaitez que les administrateurs du compartiment individuel (ABC) contrôlent les instructions de stratégie individuelles pour leur compartiment, reportez-vous à Attachement de stratégie.

Allow service blockstorage, objectstorage-<region_name>, FssOc1Prod, oke, streaming to use keys in compartment ABC where target.key.id = '<key_OCID>'

Pour Object Storage, remplacez <region_name> par l'identificateur de région approprié, par exemple :

  • objectstorage-us-phoenix-1

  • objectstorage-us-ashburn-1

  • objectstorage-eu-frankfurt-1

  • objectstorage-uk-london-1

  • objectstorage-ap-tokyo-1

Pour déterminer la valeur du nom d'une région Oracle Cloud Infrastructure, reportez-vous à Régions et domaines de disponibilité.

Pour File Storage, le nom de service utilisé dans la stratégie est FssOc1Prod.

Pour Container Engine for Kubernetes, le nom de service utilisé dans la stratégie est oke.

Pour Streaming, le nom de service utilisé dans la stratégie est streaming.

Autoriser les administrateurs de sécurité à gérer toutes les clés secrètes dans un coffre spécifique d'un compartiment

Type d'accès : permet de tout faire avec les clés secrètes dans un coffre spécifique du compartiment ABC.

Emplacement de création de la stratégie : l'approche la plus simple consiste à placer cette stratégie dans la location. Si vous souhaitez que les administrateurs du compartiment individuel (ABC) contrôlent les instructions de stratégie individuelles pour leur compartiment, reportez-vous à Attachement de stratégie.

Allow group SecurityAdmins to manage secret-family in compartment ABC where target.vault.id='<vault_OCID>'
Autoriser les utilisateurs à lire et mettre à jour toutes les clés secrètes, et à en effectuer la rotation

Type d'accès : permet de lire et de mettre à jour toutes les clés secrètes, et d'en effectuer la rotation, dans n'importe quel coffre de la location.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux coffres, aux clés et aux clés secrètes d'un compartiment particulier, indiquez ce dernier au lieu de la location.

Allow group SecretsUsers to use secret-family in tenancy
Autoriser les administrateurs de groupe à gérer l'appartenance à des groupes

Type d'accès : permet de gérer l'appartenance à un groupe. N'inclut pas la possibilité de créer ou de supprimer des utilisateurs, ni de gérer leurs informations d'identification (reportez-vous à Autoriser le support technique à gérer des utilisateurs).

Les deux premières instructions permettent à GroupAdmins de répertorier tous les utilisateurs et les groupes de la location, de répertorier les utilisateurs d'un groupe particulier et de répertorier les groupes dans lesquels se trouve un utilisateur donné.

Les deux dernières instructions permettent à GroupAdmins de modifier l'appartenance des membres d'un groupe. La condition à la fin des deux dernières instructions permet à GroupAdmins de gérer l'appartenance à tous les groupes, à l'exception du groupe d'administrateurs (reportez-vous à Stratégie et groupe d'administrateurs). Vous devez protéger l'appartenance à ce groupe car celui-ci à la possibilité d'effectuer toutes les opérations dans l'ensemble de la location.

Il peut sembler que les deux dernières instructions devraient également couvrir la fonctionnalité de liste de base activée par les deux premières instructions. Pour mieux comprendre le fonctionnement des conditions et savoir pourquoi vous avez également besoin des deux premières instructions, reportez-vous à Variables non applicables à une demande donnant lieu au refus de la demande.

Emplacement de création de la stratégie : dans la location car les utilisateurs et les groupes y résident.

Allow group GroupAdmins to inspect users in tenancy

Allow group GroupAdmins to inspect groups in tenancy

Allow group GroupAdmins to use users in tenancy where target.group.name != 'Administrators'

Allow group GroupAdmins to use groups in tenancy where target.group.name != 'Administrators'
Autoriser les utilisateurs à gérer leurs propres mots de passe et informations d'identification

Aucune stratégie n'est nécessaire pour autoriser les utilisateurs à gérer leurs propres informations d'identification. Tous les utilisateurs peuvent modifier et réinitialiser leurs propres mots de passe, gérer leurs propres clés d'API et gérer leurs propres jetons d'authentification. Pour plus d'informations, reportez-vous à Informations d'identification utilisateur.

Autoriser un administrateur de compartiment à gérer le compartiment

Type d'accès : permet de gérer tous les aspects d'un compartiment particulier. Par exemple, un groupe appelé A-Admins peut gérer tous les aspects d'un compartiment nommé Project-A, y compris l'écriture de stratégies supplémentaires qui concernent le compartiment. Pour plus d'informations, reportez-vous à Attachement de stratégie. Pour obtenir un exemple de ce type de configuration et des stratégies supplémentaires utiles, reportez-vous à Exemple de scénario.

Emplacement de création de la stratégie : dans la location.

Allow group A-Admins to manage all-resources in compartment Project-A
Restreindre l'accès administrateur à une région spécifique

Type d'accès : permet de gérer les ressources dans une région spécifique. N'oubliez pas que les ressources IAM doivent être gérées dans la région d'origine. Si la région indiquée n'est pas la région d'origine, l'administrateur ne pourra pas gérer les ressources IAM. Pour plus d'informations sur la région d'origine, reportez-vous à Gestion des régions.

Emplacement de création de la stratégie : dans la location.

Allow group PHX-Admins to manage all-resources in tenancy where request.region='phx'

La stratégie précédente permet à PHX-Admins de gérer tous les aspects de toutes les ressources dans Ouest des Etats-Unis (Phoenix).

Les membres du groupe PHX-Admins ne peuvent gérer les ressources IAM que si la région d'origine de la location est Ouest des Etats-Unis (Phoenix).

Restreindre l'accès utilisateur à la visualisation des annonces récapitulatives uniquement

Type d'accès : permet de visualiser les versions récapitulatives des annonces relatives au statut opérationnel des services Oracle Cloud Infrastructure.

Emplacement de création de la stratégie : dans la location.

Allow group AnnouncementListers to inspect announcements in tenancy

La stratégie précédente permet à AnnouncementListers de visualiser la liste des annonces récapitulatives.

Autoriser les utilisateurs à visualiser les détails des annonces

Type d'accès : permet de visualiser les détails des annonces relatives au statut opérationnel des services Oracle Cloud Infrastructure.

Emplacement de création de la stratégie : dans la location.

Allow group AnnouncementReaders to read announcements in tenancy

La stratégie précédente permet à AnnouncementReaders de visualiser la liste des annonces récapitulatives et les détails d'annonces spécifiques.

Autoriser les utilisateurs de la transmission en continu à gérer des flux de données

Type d'accès : permet de tout faire avec le service Streaming dans tous les compartiments.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux flux de données d'un compartiment particulier, indiquez ce dernier au lieu de la location.

Allow group StreamAdmins to manage streams in tenancy
Autoriser les utilisateurs de la transmission en continu à publier des messages sur les flux de données

Type d'accès : permet de générer des messages dans les flux de données avec le service Streaming dans tous les compartiments.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux flux de données d'un compartiment particulier, indiquez ce dernier au lieu de la location.

Allow group StreamUsers to use stream-push in tenancy
Autoriser les utilisateurs de la transmission en continu à publier des messages sur un flux de données spécifique

Type d'accès : permet de générer des messages sur un flux de données avec le service Streaming.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux flux de données d'un compartiment particulier, indiquez ce dernier au lieu de la location.

Allow group StreamUsers to use stream-push in tenancy where target.stream.id = '<stream_OCID>'
Autoriser les utilisateurs de la transmission en continu à utiliser des messages provenant de flux de données

Type d'accès : permet d'utiliser des messages provenant de flux de données avec le service Streaming dans tous les compartiments.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux flux de données d'un compartiment particulier, indiquez ce dernier au lieu de la location.

Allow group StreamUsers to use stream-pull in tenancy
Autoriser les utilisateurs à visualiser les définitions de mesure dans un compartiment

Type d'accès : permet de visualiser les définitions de mesure dans un compartiment spécifique. Pour plus d'informations sur les mesures, reportez-vous à Présentation de la fonctionnalité Mesures.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux définitions de mesure d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group MetricReaders to inspect metrics in compartment ABC
Autoriser les utilisateurs à accéder aux mesures de surveillance dans un compartiment

Type d'accès : permet de visualiser et d'extraire des mesures de surveillance pour les ressources prises en charge dans un compartiment spécifique. Pour plus d'informations sur les mesures, reportez-vous à Présentation de la fonctionnalité Mesures.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux mesures d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group MetricReaders to read metrics in compartment ABC
Restreindre l'accès utilisateur à un espace de noms de mesure spécifique

Type d'accès : permet de visualiser et d'extraire des mesures de surveillance pour les ressources sous un espace de noms de mesure  spécifique. Pour plus d'informations sur les mesures, reportez-vous à Présentation de la fonctionnalité Mesures.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès à l'espace de noms de mesure indiqué uniquement dans compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group MetricReaders to read metrics in compartment ABC where target.metrics.namespace='oci_computeagent'

La stratégie précédente permet à MetricReaders de visualiser et d'extraire des points de données de mesure à partir de toutes les instances Compute pour lesquelles la surveillance est activée dans le compartiment ABC.

Autoriser les utilisateurs à publier des mesures personnalisées

Type d'accès : permet de publier des mesures personnalisées sous un espace de noms de mesure spécifique dans le service Monitoring. Pour obtenir des instructions, reportez-vous à Publication de mesures personnalisées.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux mesures d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group MetricPublishers to use metrics in tenancy where target.metrics.namespace='mycustomnamespace'

La stratégie précédente permet à MetricPublishers de publier des points de données pour l'espace de noms de mesure personnalisé mycustomnamespace dans la location.

Autoriser les instances à effectuer des appels d'API pour accéder aux mesures de surveillance dans la location

Type d'accès : permet d'appeler l'API Monitoring pour accéder aux mesures  de surveillance. Les instances dont proviennent les demandes d'API doivent être membres du groupe dynamique indiqué dans la stratégie. Pour plus d'informations, reportez-vous à Appel de services à partir d'une instance et à Présentation de la fonctionnalité Mesures.

Emplacement de création de la stratégie : dans la location.

Allow dynamic-group MetricInstances to read metrics in tenancy

La stratégie précédente autorise les applications exécutées sur des instances Compute dans le groupe dynamique MetricInstances à envoyer des demandes d'API au service Monitoring dans la location.

Autoriser les utilisateurs à visualiser des alarmes

Type d'accès : permet de visualiser les alarmes  des ressources prises en charge dans la location. N'inclut pas la possibilité de créer des alarmes, ni de créer ou de supprimer des sujets. Pour plus d'informations sur les alarmes, reportez-vous à Présentation de la fonctionnalité Alarmes.

Emplacement de création de la stratégie : dans la location. En raison du concept d'héritage de stratégies, AlarmUsers peut visualiser les alarmes de tous les compartiments. Pour limiter la portée de l'accès à un compartiment particulier, indiquez ce dernier au lieu de la location.

Allow group AlarmUsers to read alarms in tenancy

Allow group AlarmUsers to read metrics in tenancy
Autoriser les utilisateurs à gérer des alarmes

Type d'accès : permet de visualiser et de créer des alarmes avec des sujets de notification existants pour les ressources prises en charge dans la location. N'inclut pas la possibilité de créer ou de supprimer des sujets. Pour plus d'informations sur les alarmes, reportez-vous à Présentation de la fonctionnalité Alarmes.

Toutes les instructions sont requises pour autoriser AlarmUsers à créer des alarmes.

Emplacement de création de la stratégie : dans la location. En raison du concept d'héritage de stratégies, AlarmUsers peut visualiser et créer des alarmes dans tous les compartiments. Pour limiter la portée de l'accès à un compartiment particulier, indiquez ce dernier au lieu de la location.

Allow group AlarmUsers to manage alarms in tenancy

Allow group AlarmUsers to read metrics in tenancy

Allow group AlarmUsers to use ons-topics in tenancy
Autoriser les utilisateurs à gérer des alarmes et à créer des sujets

Type d'accès : permet de visualiser et de créer des alarmes (avec des sujets nouveaux ou existants) pour les ressources prises en charge dans la location. Inclut également la possibilité de créer des abonnements dans la location, de publier des messages (diffuser des messages de notification) sur tous les abonnements de la location et de déplacer des alarmes vers différents compartiments dans la location. Pour plus d'informations sur les alarmes, reportez-vous à Présentation de la fonctionnalité Alarmes.

Emplacement de création de la stratégie : dans la location. En raison du concept d'héritage de stratégies, AlarmUsers peut visualiser et créer des alarmes dans tous les compartiments. Pour limiter la portée de l'accès à un compartiment particulier, indiquez ce dernier au lieu de la location.

Allow group AlarmUsers to manage alarms in tenancy

Allow group AlarmUsers to read metrics in tenancy

Allow group AlarmUsers to manage ons-topics in tenancy
Autoriser les utilisateurs à accéder aux rapports d'utilisation

Type d'accès : permet de visualiser les rapports d'utilisation de la location. Pour plus d'informations sur les rapports d'utilisation, reportez-vous à Présentation des rapports de coût et d'utilisation.

Emplacement de création de la stratégie : cette stratégie inter-location spéciale doit être créée dans la location. Pour plus d'informations, reportez-vous à Présentation des rapports de coût et d'utilisation.

define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
				endorse group Administrators to read objects in tenancy usage-report
Permettre aux utilisateurs d'analyser les coûts

Type d'accès : capacité à visualiser les coûts de la location. Reportez-vous à Vérification du solde et de l'utilisation.

Emplacement de création de la stratégie : dans la location afin que les utilisateurs de <Example_Group> puissent voir les coûts de l'ensemble du compte.

Allow group <Example_Group> to read usage-reports in tenancy
Autoriser un groupe à gérer des sujets

Type d'accès : permet d'obtenir, de créer, de mettre à jour et de supprimer des sujets dans la location, ainsi que de déplacer des sujets vers différents compartiments dans la location. Inclut également la possibilité de créer des abonnements dans la location et de publier des messages (diffuser des messages de notification) sur tous les abonnements dans la location.

Emplacement de création de la stratégie : dans la location.

Allow group A-Admins to manage ons-topics in tenancy
Autoriser un groupe à gérer des abonnements à des sujets

Type d'accès : permet de répertorier, de créer, de mettre à jour et de supprimer des abonnements à des sujets dans la location. Permet de déplacer des abonnements vers différents compartiments dans la location.

Emplacement de création de la stratégie : dans la location.

Allow group A-Admins to manage ons-subscriptions in tenancy
Autoriser un groupe à publier des messages dans des sujets

Type d'accès : permet de diffuser des messages de notification sur tous les abonnements dans la location, ainsi que de répertorier, de créer, de mettre à jour et de supprimer des abonnements de la location.

Emplacement de création de la stratégie : dans la location.

Allow group A-Admins to use ons-topics in tenancy
Autoriser les utilisateurs à répertorier des règles Events dans un compartiment

Type d'accès : permet de répertorier des règles Events.

Emplacement de création de la stratégie : dans la location.

Allow group RuleReaders to read cloudevents-rules in tenancy

La stratégie précédente permet à RuleReaders de répertorier les règles dans la location.

Autoriser les administrateurs à gérer des règles Events dans un compartiment

Type d'accès : permet de gérer des règles Events, notamment de les créer, de les supprimer et de les mettre à jour.

Emplacement de création de la stratégie : dans la location.

Cette ligne permet à l'utilisateur d'inspecter les ressources dans des compartiments pour sélectionner des actions.

allow group <RuleAdmins> to inspect compartments in tenancy

Cette ligne permet à l'utilisateur d'accéder aux balises définies pour appliquer des balises de filtre aux règles.

allow group <RuleAdmins> to use tag-namespaces in tenancy

Ces lignes permettent à l'utilisateur d'accéder aux ressources Streaming pour les actions.

allow group <RuleAdmins> to inspect streams in tenancy
allow group <RuleAdmins> to use stream-push in tenancy
allow group <RuleAdmins> to use stream-pull in tenancy

Ces lignes permettent à l'utilisateur d'accéder aux ressources Functions pour les actions.

allow group <RuleAdmins> to use virtual-network-family in tenancy
allow group <RuleAdmins> to manage function-family in tenancy

Cette ligne permet à l'utilisateur d'accéder aux sujets Notifications pour les actions.

allow group <RuleAdmins> to use ons-topic in tenancy

Cette ligne permet à l'utilisateur de gérer les règles pour Events.

allow group <RuleAdmins> to manage cloudevents-rules in tenancy
Autoriser un groupe à accéder à l'ensemble de Cloud Guard

Type d'accès : accès en lecture seule à l'ensemble des éléments Cloud Guard. Dans l'exemple de stratégie, le groupe est "CloudGuard_ReadOnly".

allow group CloudGuard_ReadOnly to read cloud-guard-family in tenancy
allow group CloudGuard_ReadOnly to read compartments in tenancy
allow group CloudGuard_ReadOnly to read announcements in tenancy
Autoriser un groupe à accéder aux problèmes Cloud Guard

Type d'accès : accès en lecture seule aux problèmes Cloud Guard. Dans l'exemple de stratégie, le groupe est "CloudGuard_ReadOnlyProblems".

allow group CloudGuard_ReadOnlyProblems to read cloud-guard-family in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-detectors in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-targets in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-resource-types in tenancy
allow group CloudGuard_ReadOnlyProblems to read announcements in tenancy
allow group CloudGuard_ReadOnlyProblems to read compartments in tenancy
allow group CloudGuard_ReadOnlyProblems to read cloud-guard-config in tenancy
Autoriser un groupe à accéder aux recettes de détecteur Cloud Guard

Type d'accès : accès en lecture seule aux recettes de détecteur Cloud Guard. Dans l'exemple de stratégie, le groupe est "CloudGuard_ReadOnlyDetectors".

allow group CloudGuard_ReadOnlyDetectors to read cloud-guard-detector-recipes in tenancy
allow group CloudGuard_ReadOnlyDetectors to read announcements in tenancy
allow group CloudGuard_ReadOnlyDetectors to read compartments in tenancy
allow group CloudGuard_ReadOnlyDetectors to read cloud-guard-config in tenancy
Autoriser un groupe à accéder à Cloud Guard dans un seul compartiment

Type d'accès : accès en lecture seule à Cloud Guard dans un seul compartiment. Dans l'exemple de stratégie, le groupe est "CloudGuard_ReadOnly_SingleCompartment" et le nom du compartiment est "cgDemo_RestrictedAccess".

allow group CloudGuard_ReadOnly_SingleCompartment to read compartments in tenancy where target.compartment.name = 'cgDemo_RestrictedAccess'
allow group CloudGuard_ReadOnly_SingleCompartment to read cloud-guard-family in compartment cgDemo_RestrictedAccess
allow group CloudGuard_ReadOnly_SingleCompartment to read announcements in compartment cgDemo_RestrictedAccess
allow group CloudGuard_ReadOnly_SingleCompartment to read cloud-guard-config in tenancy
Autoriser un groupe à gérer les connecteurs de service

Type d'accès : permet de répertorier, créer, mettre à jour et supprimer des connecteurs de service  dans la location. Permet de déplacer les connecteurs de service vers d'autres compartiments de la location.

Emplacement de création de la stratégie : dans la location.

Allow group A-Admins to manage serviceconnectors in tenancy