Documentation Oracle Cloud Infrastructure

Stratégies courantes

Cette section comprend des stratégies courantes que vous pouvez utiliser dans votre organisation.

Remarque

Ces stratégies utilisent des exemples de noms de groupe et de compartiment. Veillez à les remplacer par vos propres noms.

Autoriser le support technique à gérer des utilisateurs

Type d'accès : permet de créer, de mettre à jour et de supprimer des utilisateurs et leurs informations d'identification. Il n'inclut pas la capacité à ajouter des utilisateurs à des groupes.

Emplacement de création de la stratégie : dans la location car les utilisateurs y résident. 

Allow group HelpDesk to manage users in tenancy
Autoriser les auditeurs à inspecter vos ressources

Type d'accès : permet de répertorier les ressources dans tous les compartiments. Attention :

  • L'opération permettant de répertorier les stratégies IAM inclut le contenu des stratégies elles-mêmes.
  • Les opérations permettant de répertorier les types de ressource Networking renvoient toutes les informations (par exemple, le contenu des listes de sécurité et des tables de routage).
  • L'opération permettant de répertorier les instances requiert le verbe read à la place du verbe inspect, et le contenu inclut les métadonnées fournies par l'utilisateur.
  • L'opération permettant de visualiser des événements du service Audit requiert le verbe read au lieu du verbe inspect.

Emplacement de création de la stratégie : dans la location. En raison du concept d'héritage de stratégies, les auditeurs peuvent inspecter la location et tous les compartiments qu'elle contient. Vous pouvez également choisir de donner aux auditeurs un accès uniquement à des compartiments spécifiques s'ils n'ont pas besoin d'accéder à l'ensemble de la location.

Allow group Auditors to inspect all-resources in tenancy

Allow group Auditors to read instances in tenancy

Allow group Auditors to read audit-events in tenancy
Autoriser les administrateurs Autonomous Recovery Service à gérer des bases de données protégées, des sous-réseaux de service de récupération et des stratégies de protection
Type d'accès : permet de gérer les ressources Autonomous Recovery Service dans tous les compartiments :

  • bases de données protégées

  • Sous-réseaux de service de récupération

  • Règles de protection

Cette stratégie est applicable si vous voulez autoriser un seul ensemble d'administrateurs Recovery Service à gérer toutes les ressources Recovery Service dans tous les compartiments.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour réduire la portée de l'accès aux ressources Recovery Service dans un compartiment particulier, indiquez le compartiment requis au lieu de la location.

Allow group RecoveryServiceGroup to manage recovery-service-family in tenancy
Autoriser les administrateurs de conformité à gérer les stratégies de protection

Type d'accès : permet de gérer les stratégies de protection dans tous les compartiments.

Cette stratégie est applicable si vous voulez autoriser un seul ensemble d'administrateurs de conformité à gérer des stratégies de protection dans tous les compartiments.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour réduire la portée de l'accès aux stratégies de protection dans un compartiment particulier, indiquez le compartiment requis au lieu de la location.

Allow group ComplianceGroup to manage recovery-service-policy in tenancy
Autoriser les administrateurs réseau à gérer un réseau cloud

Type d'accès : permet de gérer tous les composants dans Networking. Cela comprend les réseaux cloud, les sous-réseaux, les passerelles, les circuits virtuels, les listes de sécurité, les tables de routage, etc. Si les administrateurs réseau doivent lancer des instances pour tester la connectivité réseau, reportez-vous à Autoriser les utilisateurs à lancer des instances de calcul.

Emplacement de création de la stratégie : dans la location. En raison du concept d'héritage de stratégies, le groupe NetworkAdmins peut gérer un réseau cloud dans n'importe quel compartiment. Pour limiter la portée de l'accès à un compartiment particulier, indiquez ce dernier au lieu de la location. 

Allow group NetworkAdmins to manage virtual-network-family in tenancy

Pour connaître les stratégies utilisées pour connecter un DRG à des réseaux cloud virtuels et à des passerelles de routage dynamique dans d'autres régions et locations, reportez-vous à Stratégies IAM pour le routage entre des réseaux cloud virtuels.

Autoriser les administrateurs réseau à gérer des équilibreurs de charge

Type d'accès : permet de gérer tous les composants dans équilibreur de charge. Si le groupe doit lancer des instances, reportez-vous à Autoriser les utilisateurs à lancer des instances de calcul.

Emplacement de création de la stratégie : dans la location. En raison du concept d'héritage de stratégies, le groupe NetworkAdmins peut gérer les équilibreurs de charge dans n'importe quel compartiment. Pour limiter la portée de l'accès à un compartiment particulier, indiquez ce dernier au lieu de la location. 

Allow group NetworkAdmins to manage load-balancers in tenancy

Si le groupe souhaite gérer les équilibreurs de charge et les équilibreurs de charge réseau, des stratégies supplémentaires permettant d'utiliser les ressources de mise en réseau associées sont requises :

Allow group NetworkAdmins to manage load-balancers in tenancy

Allow group NetworkAdmins to use virtual-network-family in tenancy

Allow group NetworkAdmins to manage instances in tenancy

Si un groupe particulier doit mettre à jour des équilibreurs de charge existants (par exemple, modifier l'ensemble de back-ends) mais sans les créer ni les supprimer, l'instruction suivante doit être utilisée :

Allow group LBUsers to use load-balancers in tenancy
Autoriser les utilisateurs à lancer des instances de calcul

Type d'accès : permet de tout faire avec les instances lancées dans le réseau cloud et les sous-réseaux du compartiment XYZ, et permet d'attacher/de détacher les volumes qui existent déjà dans le compartiment ABC. La première instruction permet également au groupe de créer et de gérer des images d'instance dans le compartiment ABC. Si le groupe n'a pas besoin d'associer ou de dissocier des volumes, vous pouvez supprimer l'instruction volume-family.

Emplacement de création de la stratégie : l'approche la plus simple consiste à placer cette stratégie dans la location. Si vous souhaitez que les administrateurs de chaque compartiment (ABC et XYZ) contrôlent les différentes instructions de stratégie pour leur compartiment, reportez-vous à Attachement de stratégie.

Allow group InstanceLaunchers to manage instance-family in compartment ABC
Allow group InstanceLaunchers to read app-catalog-listing in tenancy
Allow group InstanceLaunchers to use volume-family in compartment ABC
Allow group InstanceLaunchers to use virtual-network-family in compartment XYZ

Pour permettre aux utilisateurs de créer des réseaux et sous-réseaux cloud, reportez-vous à Autoriser les administrateurs réseau à gérer un réseau cloud.

Pour permettre aux utilisateurs de déterminer si la capacité est disponible pour une forme spécifique avant de créer une instance, ajoutez l'instruction suivante à la stratégie :

Allow group InstanceLaunchers to manage compute-capacity-reports in tenancy
Autoriser les utilisateurs à lancer des instances de calcul à partir d'une image personnalisée spécifique

Type d'accès : permet de lancer des instances dans le réseau cloud et les sous-réseaux du compartiment XYZ à l'aide de l'image personnalisée indiquée uniquement. La stratégie inclut également la possibilité d'attacher/de détacher des volumes qui existent déjà dans le compartiment ABC. Si le groupe n'a pas besoin d'attacher/de détacher des volumes, vous pouvez supprimer l'instruction volume-family.

Pour spécifier plusieurs images personnalisées, vous pouvez utiliser des conditions.

Emplacement de création de la stratégie : l'approche la plus simple consiste à placer cette stratégie dans la location. Si vous souhaitez que les administrateurs de chaque compartiment (ABC et XYZ) contrôlent les différentes instructions de stratégie pour leur compartiment, reportez-vous à Attachement de stratégie.

Allow group ImageUsers to inspect instance-images in compartment ABC
Allow group ImageUsers to {INSTANCE_IMAGE_READ} in compartment ABC where target.image.id='<image_OCID>'
Allow group ImageUsers to manage instances in compartment ABC
Allow group ImageUsers to read app-catalog-listing in tenancy
Allow group ImageUsers to use volume-family in compartment ABC
Allow group ImageUsers to use virtual-network-family in compartment XYZ
Autoriser les administrateurs d'image à gérer les images personnalisées

Type d'accès : permet de tout faire avec les instances de calcul et les images personnalisées. Permet également de tout faire avec des espaces de noms, des objets et des buckets Object Storage dans le compartiment Y (pour créer des images à partir d'objets et créer des demandes pré-authentifiées pour les images), d'attacher/de détacher des volumes existants dans le compartiment X, et de lancer des instances dans le réseau cloud et les sous-réseaux dans le compartiment Z (pour créer des instances sur lesquelles faire reposer une image). Si le groupe n'a pas besoin d'attacher/de détacher des volumes, vous pouvez supprimer l'instruction volume-family.

Emplacement de création de la stratégie : l'approche la plus simple consiste à placer cette stratégie dans la location. Si vous souhaitez que les administrateurs de chaque compartiment (X, Y et Z) contrôlent les différentes instructions de stratégie pour leur compartiment, reportez-vous à Attachement de stratégie.

Allow group ImageAdmins to manage instances in compartment X
Allow group ImageAdmins to manage instance-images in compartment X
Allow group ImageAdmins to read app-catalog-listing in tenancy
Allow group ImageAdmins to manage object-family in compartment Y
Allow group ImageAdmins to use volume-family in compartment X
Allow group ImageAdmins to use virtual-network-family in compartment Z
Autoriser les utilisateurs à gérer des configurations d'instance Compute, des pools d'instances et des réseaux de cluster

Type d'accès : permet de tout faire avec des configurations d'instance, des pools d'instances et des réseaux de cluster dans tous les compartiments.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux configurations d'instance, aux pools d'instances et aux réseaux de cluster d'un compartiment particulier, indiquez ce compartiment au lieu de la location. 

Allow group InstancePoolAdmins to manage compute-management-family in tenancy

Si un groupe doit créer des configurations d'instance à l'aide d'instances existantes en tant que modèles et qu'il utilise l'API, les kits SDK ou l'interface de ligne de commande pour ce faire, ajoutez les instructions suivantes à la stratégie :

Allow group InstancePoolAdmins to read instance-family in tenancy
Allow group InstancePoolAdmins to inspect volumes in tenancy

Si un groupe particulier doit démarrer, arrêter ou réinitialiser des instances de pools d'instances existants, mais sans créer ni supprimer des pools d'instances, utilisez l'instruction suivante :

Allow group InstancePoolUsers to use instance-pools in tenancy

Si les ressources utilisées par le pool d'instances contiennent des balises par défaut, ajoutez l'instruction suivante à la stratégie pour accorder au groupe le droit d'accès à l'espace de noms de balise Oracle-Tags :

Allow group InstancePoolUsers to use tag-namespaces in tenancy where target.tag-namespace.name = 'oracle-tags'

Si la configuration d'instance utilisée par le pool d'instances lance des instances dans une réservation de capacité, ajoutez l'instruction suivante à la stratégie :

Allow service compute_management to use compute-capacity-reservations in tenancy

Si le volume d'initialisation utilisé dans la configuration d'instance pour créer un pool d'instances est crypté avec une clé KMS, ajoutez l'instruction suivante à la stratégie.

allow service compute, blockstorage, compute_management to use key-family in compartment <compartment_id/<tenant_id>>
Autoriser les utilisateurs à gérer des configurations de redimensionnement automatique Compute

Type d'accès : permet de créer, de mettre à jour et de supprimer des configurations de redimensionnement automatique.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux configurations de redimensionnement automatique d'un compartiment particulier, indiquez ce compartiment au lieu de la location. 

Allow group AutoscalingAdmins to manage auto-scaling-configurations in tenancy
Allow group AutoscalingAdmins to manage instance-pools in tenancy
Autoriser les utilisateurs à répertorier les images du catalogue d'images de partenaire et à s'abonner à celles-ci

Type d'accès : permet de répertorier et de créer des abonnements aux images du catalogue d'images de partenaire. Cette stratégie n'inclut pas la possibilité de créer des instances à l'aide d'images du catalogue d'images de partenaire (reportez-vous à Autoriser les utilisateurs à lancer des instances de calcul).

Emplacement de création de la stratégie : dans la location. Pour limiter la portée de l'accès uniquement à la création d'abonnements dans un compartiment particulier, indiquez ce compartiment au lieu de la location dans la troisième instruction.

Allow group CatalogSubscribers to inspect app-catalog-listing in tenancy
Allow group CatalogSubscribers to read app-catalog-listing in tenancy
Allow group CatalogSubscribers to manage app-catalog-listing in tenancy
Autoriser les utilisateurs à créer des connexions à la console pour une instance Compute

Type d'accès : permet de créer des connexions à la console pour une instance.

Emplacement de création de la stratégie : dans la location.

Allow group <group_name> to manage instance-console-connection in tenancy
Allow group <group_name> to read instance in tenancy
Autoriser les utilisateurs à gérer des hôtes de machine virtuelle dédiés Compute

Type d'accès : permet de créer, de mettre à jour et de supprimer des hôtes de machine virtuelle dédiés, ainsi que de lancer des instances sur des hôtes de machine virtuelle dédiés.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux instances et aux hôtes de machine virtuelle dédiés d'un compartiment particulier, indiquez ce compartiment au lieu de la location. 

Allow group DedicatedVMHostAdmins to manage dedicated-vm-hosts in tenancy
Allow group DedicatedVMHostAdmins to manage instances in tenancy
Autoriser les utilisateurs à lancer des instances Compute sur des hôtes de machine virtuelle dédiés

Type d'accès : permet de lancer des instances sur des hôtes de machine virtuelle dédiés.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux instances et aux hôtes de machine virtuelle dédiés d'un compartiment particulier, indiquez ce compartiment au lieu de la location. 

Allow group DedicatedVMHostAdmins to use dedicated-vm-hosts in tenancy
Allow group DedicatedVMHostAdmins to manage instances in tenancy
Autoriser les administrateurs de volumes à gérer des volumes de blocs, des sauvegardes et des groupes de volumes

Type d'accès : permet de tout faire avec les volumes de stockage de blocs, les sauvegardes de volume et les groupes de volumes dans tous les compartiments, à l'exception de copier des sauvegardes de volume entre des régions. Cette stratégie est utile si vous souhaitez disposer d'un seul ensemble d'administrateurs de volumes pour gérer l'ensemble des volumes, des sauvegardes de volumes et des groupes de volumes dans tous les compartiments. La seconde instruction est requise pour attacher les volumes aux instances ou les détacher.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux volumes, aux sauvegardes et aux instances d'un compartiment particulier, indiquez ce compartiment au lieu de la location. 

Allow group VolumeAdmins to manage volume-family in tenancy

Allow group VolumeAdmins to use instance-family in tenancy

Si le groupe doit également copier des sauvegardes de volume et de volume d'initialisation entre des régions, ajoutez les instructions suivantes à la stratégie :

Allow group VolumeAdmins to use volume-backups in tenancy where request.permission='VOLUME_BACKUP_COPY'
Allow group VolumeAdmins to use boot-volume-backups in tenancy where request.permission='BOOT_VOLUME_BACKUP_COPY'
Autoriser les administrateurs de sauvegarde de volume à gérer uniquement des sauvegardes

Type d'accès : permet de tout faire avec les sauvegardes de volume mais pas de créer ni de gérer les volumes eux-mêmes. Cette stratégie est utile si vous souhaitez qu'un seul ensemble d'administrateurs de sauvegarde de volume gère toutes les sauvegardes de volume dans tous les compartiments. La première instruction donne l'accès requis au volume en cours de sauvegarde. La deuxième permet de créer la sauvegarde (et donne la possibilité de supprimer des sauvegardes). La troisième instruction permet de créer et de gérer des stratégies de sauvegarde définies par l'utilisateur. La quatrième permet d'affecter et d'enlever l'affectation des stratégies de sauvegarde.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux volumes et aux sauvegardes d'un compartiment particulier, indiquez ce compartiment au lieu de la location. 

Allow group VolumeBackupAdmins to use volumes in tenancy

Allow group VolumeBackupAdmins to manage volume-backups in tenancy

Allow group VolumeBackupAdmins to manage backup-policies in tenancy

Allow group VolumeBackupAdmins to manage backup-policy-assignments in tenancy

Si le groupe doit utiliser la console, la stratégie suivante offre une meilleure expérience utilisateur :

Allow group VolumeBackupAdmins to use volumes in tenancy

Allow group VolumeBackupAdmins to manage volume-backups in tenancy

Allow group VolumeBackupAdmins to inspect volume-attachments in tenancy

Allow group VolumeBackupAdmins to inspect instances in tenancy

Allow group VolumeBackupAdmins to manage backup-policies in tenancy

Allow group VolumeBackupAdmins to manage backup-policy-assignments in tenancy

Les deux dernières instructions ne sont pas nécessaires pour gérer des sauvegardes de volume. Toutefois, elles permettent à la console d'afficher toutes les informations sur un volume particulier et les stratégies de sauvegarde disponibles.

Autoriser les administrateurs de sauvegarde de volume d'initialisation à gérer uniquement des sauvegardes

Type d'accès : permet de tout faire avec les sauvegardes de volume d'initialisation, mais pas de créer ni de gérer les volumes d'initialisation eux-mêmes. Cette stratégie est utile si vous souhaitez qu'un seul ensemble d'administrateurs de sauvegarde de volume d'initialisation gère toutes les sauvegardes de volume d'initialisation dans tous les compartiments. La première instruction donne l'accès requis au volume d'initialisation en cours de sauvegarde. La deuxième permet de créer la sauvegarde (et donne la possibilité de supprimer des sauvegardes). La troisième instruction permet de créer et de gérer des stratégies de sauvegarde définies par l'utilisateur. La quatrième permet d'affecter et d'enlever l'affectation des stratégies de sauvegarde.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux volumes d'initialisation et aux sauvegardes d'un compartiment particulier, indiquez ce dernier au lieu de la location. 

Allow group BootVolumeBackupAdmins to use volumes in tenancy

Allow group BootVolumeBackupAdmins to manage boot-volume-backups in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policies in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policy-assignments in tenancy

Si le groupe doit utiliser la console, la stratégie suivante offre une meilleure expérience utilisateur :

Allow group BootVolumeBackupAdmins to use volumes in tenancy

Allow group BootVolumeBackupAdmins to manage boot-volume-backups in tenancy

Allow group BootVolumeBackupAdmins to inspect instances in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policies in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policy-assignments in tenancy

Les deux dernières instructions ne sont pas nécessaires pour gérer des sauvegardes de volume. Toutefois, elles permettent à la console d'afficher toutes les informations sur un volume d'initialisation particulier et les stratégies de sauvegarde disponibles.

Autoriser les utilisateurs à créer un groupe de volumes

Type d'accès : permet de créer un groupe de volumes à partir d'un ensemble de volumes.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux volumes et aux groupes de volumes d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group VolumeGroupCreators to inspect volumes in tenancy
Allow group VolumeGroupCreators to manage volume-groups in tenancy
Autoriser les utilisateurs à cloner un groupe de volumes

Type d'accès : permet de cloner un groupe de volumes à partir d'un groupe de volumes existant.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux volumes et aux groupes de volumes d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group VolumeGroupCloners to inspect volumes in tenancy
Allow group VolumeGroupCloners to manage volume-groups in tenancy
Allow group VolumeGroupCloners to manage volumes in tenancy
Autoriser les utilisateurs à créer une sauvegarde de groupe de volumes

Type d'accès : permet de créer une sauvegarde de groupe de volumes.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux volumes/sauvegardes et aux groupes de volumes/sauvegardes de groupe de volumes d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group VolumeGroupBackupAdmins to inspect volume-groups in tenancy
Allow group VolumeGroupBackupAdmins to manage volumes in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-group-backups in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-backups in tenancy
Autoriser les utilisateurs à restaurer une sauvegarde de groupe de volumes

Type d'accès : permet de créer un groupe de volumes en restaurant une sauvegarde de groupe de volumes.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux volumes/sauvegardes et aux groupes de volumes/sauvegardes de groupe de volumes d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group VolumeGroupBackupAdmins to inspect volume-group-backups in tenancy
Allow group VolumeGroupBackupAdmins to read volume-backups in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-groups in tenancy
Allow group VolumeGroupBackupAdmins to manage volumes in tenancy
Autoriser les utilisateurs à créer, à gérer et à supprimer des systèmes de fichiers

Type d'accès : permet de créer, de gérer ou de supprimer un système de fichiers ou un clone de système de fichiers. Les fonctions administratives d'un système de fichiers incluent la possibilité de le renommer, de le supprimer ou de s'en déconnecter.

Emplacement de création de la stratégie : dans la location, afin que la possibilité de créer, de gérer ou de supprimer un système de fichiers soit facilement accordée à tous les compartiments via l'héritage de stratégies. Pour limiter la portée de ces fonctions d'administration aux systèmes de fichiers d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group StorageAdmins to manage file-family in tenancy
Autoriser les utilisateurs à créer des systèmes de fichiers

Type d'accès : permet de créer un système de fichiers ou un clone de système de fichiers.

Emplacement de création de la stratégie : dans la location, afin que la possibilité de créer un système de fichiers soit facilement accordée à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de ces fonctions d'administration aux systèmes de fichiers d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group Managers to manage file-systems in tenancy

Allow group Managers to read mount-targets in tenancy

La seconde instruction est requise lorsque les utilisateurs créent un système de fichiers à l'aide de la console. Elle permet à la console d'afficher la liste des cibles de montage auxquelles le nouveau système de fichiers peut être associé.

Autoriser les administrateurs Object Storage à gérer des buckets et des objets

Type d'accès : permet de tout faire avec des buckets et des objets Object Storage dans tous les compartiments.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux buckets et aux objets d'un compartiment particulier, indiquez ce compartiment au lieu de la location. 

Allow group ObjectAdmins to manage buckets in tenancy

Allow group ObjectAdmins to manage objects in tenancy
Autoriser les utilisateurs à écrire des objets dans des buckets Object Storage

Type d'accès : permet d'écrire des objets dans n'importe quel bucket Object Storage du compartiment ABC (imaginez une situation dans laquelle un client doit écrire régulièrement des fichiers journaux dans un bucket). Cela consiste à répertorier les buckets dans le compartiment, à répertorier les objets dans un bucket et à créer un objet dans un bucket. Bien que la seconde instruction accorde un large accès avec le verbe manage, la portée de cet accès est ensuite limitée aux droits d'accès OBJECT_INSPECT et OBJECT_CREATE au moyen de la condition se trouvant à la fin de l'instruction.

Emplacement de création de la stratégie : l'approche la plus simple consiste à placer cette stratégie dans la location. Si vous souhaitez que les administrateurs du compartiment ABC contrôlent la stratégie, reportez-vous à Attachement de stratégie.

Allow group ObjectWriters to read buckets in compartment ABC

Allow group ObjectWriters to manage objects in compartment ABC where any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}

Accès limité à un bucket spécifique : pour limiter l'accès à un bucket spécifique dans un compartiment particulier, ajoutez la condition where target.bucket.name='<bucket_name>'. La stratégie suivante permet à l'utilisateur de répertorier tous les buckets d'un compartiment particulier, mais il ne peut répertorier que les objets à l'intérieur et télécharger des objets vers BucketA :

Allow group ObjectWriters to read buckets in compartment ABC

Allow group ObjectWriters to manage objects in compartment ABC where all {target.bucket.name='BucketA', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

Accès limité aux buckets avec une balise définie spécifique : pour limiter l'accès aux buckets avec une balise spécifique dans un compartiment donné, ajoutez la condition where target.bucket.tag.<TagNamespace>.<TagKeyDefinition>='<TagValue>'. La stratégie suivante permet à l'utilisateur de répertorier tous les buckets du compartiment ABC. Cependant, il peut uniquement répertorier les objets figurant dans le bucket et télécharger des objets vers le bucket avec la balise MyTagNamespace.TagKey='MyTagValue' :

Allow group ObjectWriters to read buckets in compartment ABC
Allow group ObjectWriters to manage objects in compartment ABC where all {target.bucket.tag.MyTagNamespace.TagKey='MyTagValue', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

Pour plus d'informations sur l'utilisation des conditions, reportez-vous à Fonctionnalités de stratégie avancées.

Autoriser les utilisateurs à télécharger des objets à partir de buckets Object Storage

Type d'accès : permet de télécharger des objets à partir de n'importe quel bucket Object Storage dans le compartiment ABC. Cela permet de répertorier les buckets dans le compartiment, de répertorier les objets dans un bucket et de lire les objets existants dans un bucket.

Emplacement de création de la stratégie : l'approche la plus simple consiste à placer cette stratégie dans la location. Si vous souhaitez que les administrateurs du compartiment ABC contrôlent la stratégie, reportez-vous à Attachement de stratégie.

Allow group ObjectReaders to read buckets in compartment ABC

Allow group ObjectReaders to read objects in compartment ABC

Accès limité à un bucket spécifique : pour limiter l'accès à un bucket spécifique dans un compartiment particulier, ajoutez la condition where target.bucket.name='<bucket_name>'. La stratégie suivante permet à l'utilisateur de répertorier tous les buckets dans un compartiment particulier, mais il peut uniquement lire les objets à l'intérieur et télécharger des éléments à partir de BucketA :

Allow group ObjectReaders to read buckets in compartment ABC

Allow group ObjectReaders to read objects in compartment ABC where target.bucket.name='BucketA'

Accès limité aux buckets avec une balise définie spécifique

Pour limiter l'accès aux buckets avec une balise spécifique dans un compartiment donné, ajoutez la condition where target.bucket.tag.<TagNamespace>.<TagKeyDefinition>='<TagValue>'. La stratégie suivante permet à l'utilisateur de répertorier tous les buckets du compartiment ABC. Cependant, il peut uniquement lire les objets figurant dans le bucket et télécharger des objets à partir du bucket avec la balise MyTagNamespace.TagKey='MyTagValue' :

Allow group ObjectReaders to read buckets in compartment ABC
Allow group ObjectReaders to read objects in compartment ABC where target.bucket.tag.MyTagNamespace.TagKey='MyTagValue'

Pour plus d'informations sur l'utilisation des conditions, reportez-vous à Fonctionnalités de stratégie avancées.

Permettre aux utilisateurs d'accéder aux données clients dans Object Storage cryptées avec une clé gérée par le client

Type d'accès : permet de créer une clé gérée par le client. Cela permet de configurer des stratégies pour accéder aux données cryptées avec la clé gérée par le client.

allow group <group_in_tenancy> to manage vaults in compartment <key_located_compartment>
allow group <group_in_tenancy> to manage keys in compartment <key_located_compartment>
allow group <group_in_tenancy> to manage key-delegate in compartment <key_located_compartment>
allow group <group_in_tenancy> to use object-family in compartment <key_located_compartment>
allow service objectstorage-<region_name> to use keys in compartment <key_located_compartment>

La dernière instruction de l'exemple de stratégie ci-dessus est propre à chaque région. Les clients doivent donc écrire cette instruction de façon répétée pour chaque région. Pour faciliter la définition d'une stratégie, les clients peuvent utiliser l'exemple de configuration de stratégie suivant :

allow group <group_in_tenancy> to manage vaults in compartment <key_located_compartment>
allow group <group_in_tenancy> to manage keys in compartment <key_located_compartment>
allow group <group_in_tenancy> to manage key-delegate in compartment <key_located_compartment>
allow group <group_in_tenancy> to use object-family in compartment <key_located_compartment>
allow any-group to use keys in compartment <key_located_compartment> where all {request.principal.type = 'service', request.service.name = /objectstorage-*/}
Autoriser les utilisateurs à avoir un accès complet à un dossier dans un bucket Object Storage

Type d'accès : permet à un groupe d'utilisateurs d'effectuer toutes les actions sur un bucket Object Storage et ses objets.

Emplacement de création de la stratégie : dans la location où résident les utilisateurs.

ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*'}
Autoriser les utilisateurs à disposer d'un accès en lecture seule à un dossier dans un bucket Object Storage

Type d'accès : permet à un groupe d'utilisateurs de disposer d'un accès en lecture seule à un bucket Object Storage et à ses objets.

Emplacement de création de la stratégie : dans la location où résident les utilisateurs.

ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*', any{request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}
Autoriser les utilisateurs à accéder en écriture à un dossier dans un bucket Object Storage (pas de lecture ni de suppression)

Type d'accès : permet à un groupe d'utilisateurs de disposer d'un accès en écriture seule à un dossier d'objets au sein d'un bucket. Les utilisateurs ne peuvent ni visualiser la liste des objets du bucket, ni supprimer les objets qu'il contient.

Emplacement de création de la stratégie : dans la location où résident les utilisateurs.

ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*', any{request.permission='OBJECT_CREATE'}}
Autoriser les utilisateurs à disposer d'un accès en lecture/écriture à un dossier dans un bucket Object Storage (pas de liste ni d'écrasement)

Type d'accès : permet à un groupe d'utilisateurs de disposer d'un accès en lecture et en écriture à un dossier d'objets dans un bucket Object Storage. Les utilisateurs ne peuvent pas générer de liste d'objets dans le dossier ni remplacer des objets existants dans le dossier.

Emplacement de création de la stratégie : dans la location où résident les utilisateurs.

ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*', any{request.permission='OBJECT_CREATE', request.permission='OBJECT_READ'}}
Autoriser un utilisateur à accéder à un modèle d'objet dans un bucket Object Storage

Type d'accès : permet à un utilisateur indiqué d'avoir un accès complet à tous les objets correspondant à un modèle indiqué dans un bucket Object Storage.

Where to create the policy : dans la location où réside l'utilisateur.

ALLOW any-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = '*.pdf', request.user.id='ocid1.user.oc1..exampleuniqueID'}
Autoriser les administrateurs de base de données à gérer des systèmes de base de données Oracle Cloud
Type d'accès : permet de tout faire avec les types de système suivants et leurs ressources associées dans tous les compartiments :
  • Instances Exadata Database Service on Dedicated Infrastructure
  • Systèmes de base de données Bare Metal
  • Systèmes de base de données de machine virtuelle

Cette stratégie est utile si vous souhaitez qu'un seul ensemble d'administrateurs de base de données gère tous les systèmes Bare Metal, de machine virtuelle et Exadata dans tous les compartiments.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux systèmes de base de données d'un compartiment particulier, indiquez ce compartiment au lieu de la location. 

Allow group DatabaseAdmins to manage database-family in tenancy
Autoriser les administrateurs de base de données à gérer des instances Exadata Database Service on Cloud@Customer

Type d'accès : permet d'effectuer toutes les opérations sur les ressources Exadata Database Service on Cloud@Customer dans tous les compartiments. Cette stratégie est utile si vous voulez qu'un seul ensemble d'administrateurs de base de données gère tous les systèmes Exadata Database Service on Cloud@Customer dans tous les compartiments.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès aux systèmes Exadata Database Service on Cloud@Customer

d'un compartiment spécifique, indiquez ce compartiment au lieu de la location. 

Allow group ExaCCAdmins to manage database-family in tenancy
Autoriser les administrateurs de base de données à gérer des ressources MySQL Database

Type d'accès :

Permet de tout faire avec les ressources MySQL Database et MySQL HeatWave dans tous les compartiments. La création et la gestion de systèmes de base de données MySQL Database nécessitent également un accès limité aux réseaux cloud virtuels, aux sous-réseaux et aux espaces de noms de balise dans la location.

Emplacement de création de la stratégie : dans la location, octroi d'accès à tous les compartiments par héritage de stratégies.
Allow group <group_name> to {
  	COMPARTMENT_INSPECT, 
    VCN_READ, 
    SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH, 
    NETWORK_SECURITY_GROUP_UPDATE_MEMBERS,
    VNIC_CREATE, VNIC_UPDATE, VNIC_DELETE, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP
  } in tenancy | compartment <compartment_name> | compartment <compartment_ocid>
  Allow group <group_name> to manage mysql-family in tenancy | compartment <compartment_name> | compartment <compartment_ocid>
  Allow group <group_name> to use tag-namespaces in tenancy
Autoriser les administrateurs de base de données à gérer des ressources de base de données externe Oracle Cloud
Type d'accès : permet de tout faire avec les ressources de base de données externe OCI suivantes dans tous les compartiments :
  • Ressources de base de données Conteneur externe OCI
  • Ressources de base de données pluggable externe OCI
  • Ressources de base de données non Conteneur externe OCI
  • Connecteurs de base de données externe OCI

Cette stratégie est utile si vous souhaitez qu'un seul ensemble d'administrateurs de base de données gère toutes les ressources de base de données externe OCI dans tous les compartiments.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux ressources de base de données externe OCI d'un compartiment particulier, indiquez ce compartiment au lieu de la location. 

Allow group OnPremDatabaseAdmins to manage external-database-family in tenancy
Autoriser les administrateurs de base de données et de parc à gérer des bases de données autonomes

Type d'accès : permet de tout faire avec les instances Autonomous Database dans tous les compartiments. Cette stratégie est applicable lorsque vous voulez qu'un seul ensemble d'administrateurs de base de données gère toutes les bases de données Autonomous Database dans tous les compartiments.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès aux bases de données autonomes d'un compartiment spécifique, indiquez ce compartiment au lieu de la location.

Exemple 1 : pour les rôles utilisateur associés à Autonomous Database on Dedicated Exadata Infrastructure. Permet à l'administrateur de parc Autonomous Database d'accéder à n'importe quel type de charge globale et de gérer les ressources d'infrastructure Exadata dédiée suivantes : bases de données Conteneur Autonomous et clusters de machines virtuelles Autonomous.

Allow group DatabaseAdmins to manage autonomous-database-family in tenancy
Conseil

Le type agrégé de ressource autonomous-database-family ne couvre pas le type de ressource cloud-exadata-infrastructures nécessaire pour provisionner Autonomous Database sur une infrastructure Exadata dédiée. Pour plus d'informations sur les droits d'accès à l'infrastructure Exadata cloud, reportez-vous à Détails de stratégie pour Exadata Database Service on Dedicated Infrastructure. Pour obtenir un exemple de stratégie couvrant les ressources d'infrastructure Exadata cloud, reportez-vous à Autoriser les administrateurs de base de données à gérer des systèmes de base de données Oracle Cloud.

Si vous devez limiter l'accès aux types de ressource de cluster de machines virtuelles Autonomous et de base de données Conteneur Autonomous (applicables uniquement à l'infrastructure Exadata dédiée), créez des instructions de stratégie distinctes pour les administrateurs de base de données qui autorisent l'accès uniquement aux bases de données autonomes et à leurs sauvegardes. Comme une instruction de stratégie ne peut indiquer qu'un seul type de ressource, vous devez créer des instructions distinctes pour les ressources de base de données et de sauvegarde.

Exemple 2 : pour Autonomous Database on Dedicated Exadata Infrastructure. Autorise les administrateurs de base de données Autonomous Database à accéder aux bases de données et aux sauvegardes de divers types de charge globale, mais empêche l'accès aux bases de données Conteneur Autonomous, aux clusters de machines virtuelles Autonomous et aux ressources d'infrastructure Exadata cloud.

Allow group ADB-Admins to manage autonomous-database in tenancy
Allow group ADB-Admins to manage autonomous-backup in tenancy

Pour limiter la portée de l'accès des bases de données et des sauvegardes à un type de charge globale spécifique, utilisez une clause where.

Exemple 3 : pour Autonomous Database on Dedicated Exadata Infrastructure. Limite l'accès Autonomous Database aux bases de données et aux sauvegardes pour un type de charge globale spécifique.

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'workload_type'
Allow group ADB-Admins to manage autonomous-backups in tenancy where target.workloadType = 'workload_type'

Dans les exemples de code précédents, workload_type est l'une des chaînes répertoriées dans le tableau suivant.

Chaînes de type de charge globale Autonomous Database
Type de charge globale de base de données Chaîne workload_type pour les stratégies
Autonomous Database pour le traitement des transactions et les charges globales mixtes OLTP
Autonomous Database pour les analyses et l'entreposage de données DW
Autonomous JSON Database AJD
Oracle APEX Application Development APEX
Autoriser les administrateurs de sécurité à gérer des coffres, des clés et des clés secrètes

Type d'accès : permet de tout faire avec le service Vault dans tous les compartiments. Cela est utile si vous souhaitez qu'un même ensemble d'administrateurs de sécurité gère tous les coffres, clés et composants de clé secrète (clés secrètes, versions de clé secrète et groupes de clés secrètes compris) dans la totalité des compartiments.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux coffres, aux clés et aux composants de clé secrète d'un compartiment particulier, indiquez ce dernier au lieu de la location. Pour limiter la portée de l'accès uniquement aux coffres, aux clés et aux composants de clé secrète, incluez uniquement l'instruction de stratégie correspondant au type individuel ou agrégé de ressource concerné, selon le cas.

Allow group SecurityAdmins to manage vaults in tenancy

Allow group SecurityAdmins to manage keys in tenancy

Allow group SecurityAdmins to manage secret-family in tenancy
Autoriser les administrateurs de sécurité à gérer toutes les clés dans un coffre spécifique d'un compartiment

Type d'accès : permet de tout faire avec les clés dans un coffre spécifique du compartiment ABC.

Emplacement de création de la stratégie : l'approche la plus simple consiste à placer cette stratégie dans la location. Si vous souhaitez que les administrateurs du compartiment individuel (ABC) contrôlent les instructions de stratégie individuelles pour leur compartiment, reportez-vous à Attachement de stratégie.

Allow group SecurityAdmins to manage keys in compartment ABC where target.vault.id='<vault_OCID>'
Autoriser les administrateurs de sécurité à utiliser une clé spécifique dans un compartiment

Type d'accès : permet de répertorier, de visualiser et d'effectuer des opérations cryptographiques avec une clé spécifique dans un compartiment.

Emplacement de création de la stratégie : l'approche la plus simple consiste à placer cette stratégie dans la location. Si vous souhaitez que les administrateurs du compartiment individuel (ABC) contrôlent les instructions de stratégie individuelles pour leur compartiment, reportez-vous à Attachement de stratégie.

Allow group SecurityAdmins to use keys in compartment ABC where target.key.id='<key_OCID>'
Autoriser un groupe d'utilisateurs à déléguer l'utilisation des clés dans un compartiment

Type d'accès : permet d'associer un bucket Object Storage, un volume Block Volume, un système de fichiers File Storage, un cluster Kubernetes ou un pool de flux de données Streaming à une clé spécifique pouvant être utilisée dans un compartiment particulier. Avec cette stratégie, un utilisateur du groupe indiqué ne dispose pas des droits d'accès nécessaires pour utiliser la clé elle-même. Au lieu de cela, par association, la clé peut être utilisée par Object Storage, Block Volume, File Storage, Container Engine for Kubernetes ou Streaming au nom de l'utilisateur pour :

  • créer ou mettre à jour un bucket, un volume ou un système de fichiers crypté, et crypter ou décrypter des données dans le bucket, le volume ou le système de fichiers,
  • créer des clusters Kubernetes avec des clés secrètes Kubernetes cryptées inactives dans la banque clé-valeur etcd.
  • créer un pool de flux de données afin de crypter les données dans les flux de données du pool de flux de données.

Cette stratégie requiert que vous disposiez également d'une stratégie complémentaire permettant à Object Storage, à Block Volume, à File Storage, à Container Engine for Kubernetes ou à Streaming d'utiliser la clé pour effectuer des opérations cryptographiques.

Emplacement de création de la stratégie : l'approche la plus simple consiste à placer cette stratégie dans la location. Si vous souhaitez que les administrateurs du compartiment individuel (ABC) contrôlent les instructions de stratégie individuelles pour leur compartiment, reportez-vous à Attachement de stratégie.

Allow group ObjectWriters, VolumeWriters, FileWriters, ClusterWriters, StreamWriters to use key-delegate in compartment ABC where target.key.id = '<key_OCID>'
Autoriser les services Block Volume, Object Storage, File Storage, Container Engine for Kubernetes et Streaming à crypter et à décrypter des volumes, des sauvegardes de volume, des buckets, des systèmes de fichiers, des clés secrètes Kubernetes et des pools de flux de données

Type d'accès : permet de répertorier, de visualiser et d'effectuer des opérations cryptographiques avec toutes les clés dans le compartiment ABC. Comme Object Storage est un service régional, il comporte des adresses régionales. Par conséquent, vous devez indiquer le nom du service régional pour chaque région dans laquelle vous utilisez Object Storage avec le cryptage Vault. Cette stratégie nécessite également que vous disposiez d'une stratégie complémentaire autorisant un groupe d'utilisateurs à employer la clé déléguée qui sera utilisée par Object Storage, Block Volume, File Storage, Container Engine for Kubernetes ou Streaming.

Emplacement de création de la stratégie : l'approche la plus simple consiste à placer cette stratégie dans la location. Si vous souhaitez que les administrateurs du compartiment individuel (ABC) contrôlent les instructions de stratégie individuelles pour leur compartiment, reportez-vous à Attachement de stratégie.

Allow service blockstorage, objectstorage-<region_name>, <file_storage_service_user>, oke, streaming to use keys in compartment ABC where target.key.id = '<key_OCID>'

Pour Object Storage, remplacez <region_name> par l'identificateur de région approprié, par exemple :

  • objectstorage-us-phoenix-1

  • objectstorage-us-ashburn-1

  • objectstorage-eu-frankfurt-1

  • objectstorage-uk-london-1

  • objectstorage-ap-tokyo-1

Pour déterminer la valeur du nom d'une région Oracle Cloud Infrastructure, reportez-vous à Régions et domaines de disponibilité.

Le nom de l'utilisateur du service File Storage dépend de votre domaine de sécurité . Pour les domaines dont le numéro de clé de domaine est inférieur ou égal à 10, le modèle de l'utilisateur du service File Storage est FssOc<n>Prod, où n est le numéro de clé de domaine. Les domaines dont le numéro de clé de domaine est supérieur à 10 ont un utilisateur de service de fssocprod. Pour plus d'informations sur les domaines de sécurité, reportez-vous à A propos des régions et des domaines de disponibilité.

Pour Container Engine for Kubernetes, le nom de service utilisé dans la stratégie est oke.

Pour Streaming, le nom de service utilisé dans la stratégie est streaming.

Autoriser les administrateurs de sécurité à gérer toutes les clés secrètes dans un coffre spécifique d'un compartiment

Type d'accès : permet de tout faire avec les clés secrètes dans un coffre spécifique du compartiment ABC.

Emplacement de création de la stratégie : l'approche la plus simple consiste à placer cette stratégie dans la location. Si vous souhaitez que les administrateurs du compartiment individuel (ABC) contrôlent les instructions de stratégie individuelles pour leur compartiment, reportez-vous à Attachement de stratégie.

Allow group SecurityAdmins to manage secret-family in compartment ABC where target.vault.id='<vault_OCID>'
Autoriser les utilisateurs à lire et mettre à jour toutes les clés secrètes, et à en effectuer la rotation

Type d'accès : permet de lire et de mettre à jour toutes les clés secrètes, et d'en effectuer la rotation, dans n'importe quel coffre de la location.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux coffres, aux clés et aux clés secrètes d'un compartiment particulier, indiquez ce dernier au lieu de la location.

Allow group SecretsUsers to use secret-family in tenancy
Autoriser les utilisateurs à gérer leurs propres mots de passe et informations d'identification

Aucune stratégie n'est nécessaire pour autoriser les utilisateurs à gérer leurs propres informations d'identification. Tous les utilisateurs peuvent modifier et réinitialiser leurs propres mots de passe, gérer leurs propres clés d'API et gérer leurs propres jetons d'authentification. Pour plus d'informations, reportez-vous à Informations d'identification utilisateur.

Autoriser un administrateur de compartiment à gérer le compartiment

Type d'accès : permet de gérer tous les aspects d'un compartiment particulier. Par exemple, un groupe appelé A-Admins peut gérer tous les aspects d'un compartiment nommé Project-A, y compris l'écriture de stratégies supplémentaires qui concernent le compartiment. Pour plus d'informations, reportez-vous à Attachement de stratégie. Pour obtenir un exemple de ce type de configuration et des stratégies supplémentaires utiles, reportez-vous à Exemple de scénario.

Emplacement de création de la stratégie : dans la location. 

Allow group A-Admins to manage all-resources in compartment Project-A
Restreindre l'accès administrateur à une région spécifique

Type d'accès : permet de gérer les ressources dans une région spécifique. N'oubliez pas que les ressources IAM doivent être gérées dans la région d'origine. Si la région indiquée n'est pas la région d'origine, l'administrateur ne pourra pas gérer les ressources IAM. Pour plus d'informations sur la région d'origine, reportez-vous à Gestion des régions.

Emplacement de création de la stratégie : dans la location. 

Allow group PHX-Admins to manage all-resources in tenancy where request.region='phx'

La stratégie précédente permet à PHX-Admins de gérer tous les aspects de toutes les ressources dans Ouest des Etats-Unis (Phoenix).

Les membres du groupe PHX-Admins ne peuvent gérer les ressources IAM que si la région d'origine de la location est Ouest des Etats-Unis (Phoenix).

Restreindre l'accès utilisateur à la visualisation des annonces récapitulatives uniquement

Type d'accès : permet de visualiser les versions récapitulatives des annonces relatives au statut opérationnel des services Oracle Cloud Infrastructure.

Emplacement de création de la stratégie : dans la location. 

Allow group AnnouncementListers to inspect announcements in tenancy

La stratégie précédente permet à AnnouncementListers de visualiser la liste des annonces récapitulatives.

Autoriser les utilisateurs à afficher les détails des annonces

Type d'accès : permet de visualiser les détails des annonces relatives au statut opérationnel des services Oracle Cloud Infrastructure.

Emplacement de création de la stratégie : dans la location. 

Allow group AnnouncementReaders to read announcements in tenancy

La stratégie précédente permet à AnnouncementReaders de visualiser la liste des annonces récapitulatives et les détails d'annonces spécifiques.

Autoriser les administrateurs de la transmission en continu à gérer des ressources de ce type

Type d'accès : permet de tout faire avec le service Streaming dans tous les compartiments.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux flux de données d'un compartiment particulier, indiquez ce dernier au lieu de la location. 

Allow group StreamAdmins to manage stream-family in tenancy
Autoriser les utilisateurs de la transmission en continu à publier des messages sur les flux de données

Type d'accès : permet de générer des messages dans les flux de données avec le service Streaming dans tous les compartiments.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux flux de données d'un compartiment particulier, indiquez ce dernier au lieu de la location. 

Allow group StreamUsers to use stream-push in tenancy
Autoriser les utilisateurs de la transmission en continu à publier des messages sur un flux de données spécifique

Type d'accès : permet de générer des messages sur un flux de données avec le service Streaming.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux flux de données d'un compartiment particulier, indiquez ce dernier au lieu de la location. 

Allow group StreamUsers to use stream-push in tenancy where target.stream.id = '<stream_OCID>'
Autoriser les utilisateurs de la transmission en continu à publier des messages sur un flux de données dans un pool de flux de données spécifique

Type d'accès : permet de générer des messages sur un flux de données avec le service Streaming.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux flux de données d'un compartiment particulier, indiquez ce dernier au lieu de la location. 

Allow group StreamUsers to use stream-push in tenancy where target.streampool.id = '<streampool_OCID>'
Autoriser les utilisateurs de la transmission en continu à utiliser des messages provenant de flux de données

Type d'accès : permet d'utiliser des messages provenant de flux de données avec le service Streaming dans tous les compartiments.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux flux de données d'un compartiment particulier, indiquez ce dernier au lieu de la location. 

Allow group StreamUsers to use stream-pull in tenancy
Autoriser les utilisateurs à répertorier les définitions de mesure dans un compartiment

Type d'accès : permet de répertorier les définitions de mesure dans un compartiment spécifique. Pour plus d'informations, reportez-vous à Liste des définitions de mesure.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux définitions de mesure d'un compartiment particulier, indiquez ce compartiment au lieu de la location. 

Allow group <group_name> to inspect metrics in compartment <compartment_name>
Autoriser les utilisateurs à interroger des mesures dans un compartiment

Type d'accès : permet d'interroger les mesures pour connaître les ressources prises en charge dans un compartiment spécifique. Pour plus d'informations, reportez-vous à Création d'une requête.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux mesures d'un compartiment particulier, indiquez ce compartiment au lieu de la location. 

Allow group <group_name> to read metrics in compartment <compartment_name>
Restreindre les requêtes à un espace de noms de mesure spécifique

Type d'accès : permet d'interroger les mesures pour les ressources sous un espace de noms de mesure spécifique. Pour plus d'informations, reportez-vous à Création d'une requête.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès à l'espace de noms de mesure indiqué uniquement dans compartiment particulier, indiquez ce compartiment au lieu de la location. 

Allow group <group_name> to read metrics in compartment <compartment_name>
  where target.metrics.namespace='<metric_namespace>'
Autoriser les utilisateurs à publier des mesures personnalisées

Type d'accès : permet de publier des mesures personnalisées sous un espace de noms de mesure spécifique vers le service Monitoring, ainsi que de visualiser les données de mesure, de créer des alarmes et des sujets et d'utiliser des flux avec des alarmes. Pour plus d'informations sur la publication de mesures personnalisées, reportez-vous à Publication de mesures personnalisées.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux mesures d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Remarque

Pour limiter le groupe aux droits d'accès requis pour la sélection des flux, remplacez use streams par {STREAM_READ, STREAM_PRODUCE}.
Allow group <group_name> to use metrics in tenancy 
  where target.metrics.namespace=<metric_namespace>'
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to manage ons-topics in tenancy
Allow group <group_name> to use streams in tenancy
Autoriser les instances à effectuer des appels d'API pour accéder aux mesures de surveillance dans la location

Type d'accès : permet d'appeler l'API Monitoring pour accéder aux mesures  de surveillance. Les instances dont proviennent les demandes d'API doivent être membres du groupe dynamique indiqué dans la stratégie. Pour plus d'informations sur les instances de calcul qui appellent des API, reportez-vous à appel de services à partir d'une instance.

Emplacement de création de la stratégie : dans la location. 

Allow dynamic-group MetricInstances to read metrics in tenancy
Autoriser les utilisateurs à visualiser des alarmes

Type d'accès : permet d'obtenir les détails de l'alarme et d'obtenir l'historique de l'alarme. N'inclut pas la possibilité de créer des alarmes, ni de créer ou de supprimer des sujets.

Emplacement de création de la stratégie : dans la location. En raison du concept d'héritage de stratégies, le groupe peut visualiser les alarmes de tous les compartiment. Pour limiter la portée de l'accès à un compartiment particulier, indiquez ce dernier au lieu de la location. 

Allow group <group_name> to read alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Autoriser les utilisateurs à gérer des alarmes

Type d'accès : permet de gérer les alarmes à l'aide de flux de données et de rubriques existantes pour les notifications. N'inclut pas la possibilité de créer ou de supprimer des sujets.

Emplacement de création de la stratégie : dans la location. En raison du concept d'héritage de stratégies, le groupe peut visualiser et créer des alarmes dans tous les compartiments. Pour limiter la portée de l'accès à un compartiment particulier, indiquez ce dernier au lieu de la location. 

Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to use ons-topics in tenancy
Allow group <group_name> to use streams in tenancy
Autoriser les utilisateurs à gérer des alarmes et à créer des sujets

Type d'accès : permet de gérer les alarmes, notamment de créer des sujets (et des abonnements) pour les notifications (et de utiliser des flux de données pour les notifications).

Emplacement de création de la stratégie : dans la location. En raison du concept d'héritage de stratégies, le groupe peut visualiser et créer des alarmes dans tous les compartiments. Pour limiter la portée de l'accès à un compartiment particulier, indiquez ce dernier au lieu de la location. 

Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to manage ons-topics in tenancy
Allow group <group_name> to use streams in tenancy
Autoriser les utilisateurs à accéder aux rapports d'utilisation

Type d'accès : permet de visualiser les rapports d'utilisation de la location. Pour plus d'informations sur les rapports d'utilisation, reportez-vous à Présentation des rapports de coût et d'utilisation.

Emplacement de création de la stratégie : cette stratégie inter-location spéciale doit être créée dans la location. Pour plus d'informations, reportez-vous à Accès aux rapports sur les coûts et l'utilisation. 

define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
				endorse group Administrators to read objects in tenancy usage-report
Permettre aux utilisateurs d'analyser les coûts

Type d'accès : capacité à visualiser les coûts de la location. Reportez-vous à Vérification des dépenses et de l'utilisation.

Emplacement de création de la stratégie : dans la location afin que les utilisateurs de <Example_Group> puissent voir les coûts de l'ensemble du compte.

Allow group <Example_Group> to read usage-reports in tenancy
Autoriser un groupe à gérer des sujets et des abonnements

Type d'accès : permet d'obtenir, de créer, de mettre à jour et de supprimer des sujets dans la location, ainsi que de déplacer des sujets vers différents compartiments dans la location. Inclut également la possibilité de créer des abonnements dans la location et de publier des messages (diffuser des messages de notification) sur tous les abonnements dans la location.

Emplacement de création de la stratégie : dans la location. 

Allow group TopicManagers to manage ons-topics in tenancy
Autoriser un groupe à gérer des abonnements

Type d'accès : permet de répertorier, de créer, de mettre à jour et de supprimer des abonnements à des sujets dans la location. Permet de déplacer des abonnements vers différents compartiments dans la location.

Emplacement de création de la stratégie : dans la location. 

Allow group SubscriptionUsers to manage ons-subscriptions in tenancy
Autoriser un groupe à publier des messages dans des sujets

Type d'accès : permet de diffuser des messages de notification sur tous les abonnements dans la location, ainsi que de répertorier, de créer, de mettre à jour et de supprimer des abonnements de la location.

Emplacement de création de la stratégie : dans la location. 

Allow group TopicUsers to use ons-topics in tenancy
Autoriser les utilisateurs à créer, déployer et gérer des fonctions et des applications à l'aide de Cloud Shell

Type d'accès : permet de créer, de déployer et de gérer des applications et des fonctions OCI Functions à l'aide de Cloud Shell. Ces instructions de stratégie donnent au groupe accès à Cloud Shell, aux référentiels dans Oracle Cloud Infrastructure Registry, aux journaux, aux mesures, aux fonctions, aux réseaux et à la fonction de trace.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux ressources d'un compartiment particulier, vous pouvez indiquer le compartiment au lieu de la location pour la plupart des instructions de stratégie. Cependant, la portée de to use cloud-shell, de to manage repos et de to read objectstorage-namespaces doit toujours être la location.


Allow group functions-developers to use cloud-shell in tenancy
Allow group functions-developers to manage repos in tenancy
Allow group functions-developers to read objectstorage-namespaces in tenancy
Allow group functions-developers to manage logging-family in tenancy
Allow group functions-developers to read metrics in tenancy
Allow group functions-developers to manage functions-family in tenancy
Allow group functions-developers to use virtual-network-family in tenancy
Allow group functions-developers to use apm-domains in tenancy
Allow group functions-developers to read vaults in tenancy
Allow group functions-developers to use keys in tenancy
Allow service faas to use apm-domains in tenancy
Allow service faas to read repos in tenancy where request.operation='ListContainerImageSignatures'
Allow service faas to {KEY_READ} in tenancy where request.operation='GetKeyVersion'
Allow service faas to {KEY_VERIFY} in tenancy where request.operation='Verify'
Autoriser les utilisateurs à répertorier des règles Events dans un compartiment

Type d'accès : permet de répertorier des règles Events.

Emplacement de création de la stratégie : dans la location. 

Allow group RuleReaders to read cloudevents-rules in tenancy

La stratégie précédente permet à RuleReaders de répertorier les règles dans la location.

Autoriser les administrateurs à gérer des règles Events dans un compartiment

Type d'accès : permet de gérer des règles Events, notamment de les créer, de les supprimer et de les mettre à jour.

Emplacement de création de la stratégie : dans la location.

Cette ligne permet à l'utilisateur d'inspecter les ressources dans des compartiments pour sélectionner des actions. 

allow group <RuleAdmins> to inspect compartments in tenancy

Cette ligne permet à l'utilisateur d'accéder aux balises définies pour appliquer des balises de filtre aux règles.

allow group <RuleAdmins> to use tag-namespaces in tenancy

Ces lignes permettent à l'utilisateur d'accéder aux ressources Streaming pour les actions.

allow group <RuleAdmins> to inspect streams in tenancy
allow group <RuleAdmins> to use stream-push in tenancy
allow group <RuleAdmins> to use stream-pull in tenancy

Ces lignes permettent à l'utilisateur d'accéder aux ressources Functions pour les actions. 

allow group <RuleAdmins> to use virtual-network-family in tenancy
allow group <RuleAdmins> to manage function-family in tenancy

Cette ligne permet à l'utilisateur d'accéder aux sujets Notifications pour les actions. 

allow group <RuleAdmins> to use ons-topic in tenancy

Cette ligne permet à l'utilisateur de gérer les règles pour Events. 

allow group <RuleAdmins> to manage cloudevents-rules in tenancy
Autoriser un groupe à accéder à l'ensemble de Cloud Guard

Type d'accès : accès en lecture seule à l'ensemble des éléments Cloud Guard. Dans l'exemple de stratégie, le groupe est "CloudGuard_ReadOnly".

allow group CloudGuard_ReadOnly to read cloud-guard-family in tenancy
allow group CloudGuard_ReadOnly to read compartments in tenancy
allow group CloudGuard_ReadOnly to read announcements in tenancy
Autoriser un groupe à accéder aux problèmes Cloud Guard

Type d'accès : accès en lecture seule aux problèmes Cloud Guard. Dans l'exemple de stratégie, le groupe est "CloudGuard_ReadOnlyProblems".

allow group CloudGuard_ReadOnlyProblems to read cloud-guard-family in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-detectors in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-targets in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-resource-types in tenancy
allow group CloudGuard_ReadOnlyProblems to read announcements in tenancy
allow group CloudGuard_ReadOnlyProblems to read compartments in tenancy
allow group CloudGuard_ReadOnlyProblems to read cloud-guard-config in tenancy
Autoriser un groupe à accéder aux recettes de détecteur Cloud Guard

Type d'accès : accès en lecture seule aux recettes de détecteur Cloud Guard. Dans l'exemple de stratégie, le groupe est "CloudGuard_ReadOnlyDetectors".

allow group CloudGuard_ReadOnlyDetectors to read cloud-guard-detector-recipes in tenancy
allow group CloudGuard_ReadOnlyDetectors to read announcements in tenancy
allow group CloudGuard_ReadOnlyDetectors to read compartments in tenancy
allow group CloudGuard_ReadOnlyDetectors to read cloud-guard-config in tenancy
Autoriser un groupe à accéder à Cloud Guard dans un seul compartiment

Type d'accès : accès en lecture seule à Cloud Guard dans un seul compartiment. Dans l'exemple de stratégie, le groupe est "CloudGuard_ReadOnly_SingleCompartment" et le nom du compartiment est "cgDemo_RestrictedAccess".

allow group CloudGuard_ReadOnly_SingleCompartment to read compartments in tenancy where target.compartment.name = 'cgDemo_RestrictedAccess'
allow group CloudGuard_ReadOnly_SingleCompartment to read cloud-guard-family in compartment cgDemo_RestrictedAccess
allow group CloudGuard_ReadOnly_SingleCompartment to read announcements in compartment cgDemo_RestrictedAccess
allow group CloudGuard_ReadOnly_SingleCompartment to read cloud-guard-config in tenancy
Autoriser un groupe à administrer tous les aspects des opérations Full Stack Disaster Recovery dans l'ensemble de la location

Type d'accès : permet d'autoriser un groupe à être superutilisateur pour toutes les opérations de récupération après sinistre sur l'ensemble de la pile.

Emplacement de création de la stratégie : dans la location
Allow group DRUberAdmins to manage disaster-recovery-family in tenancy
Autoriser un groupe à créer des configurations Full Stack Disaster Recovery et à exécuter des prévérifications

Type d'accès : permet d'autoriser un groupe à créer des groupes de protection de récupération après sinistre, des plans de récupération après sinistre et à exécuter des pré-vérifications, mais pas réellement à créer des exécutions de plan de récupération après sinistre.

Emplacement de création de la stratégie : dans le compartiment.

Allow group DRMonitors to manage disaster-recovery-protection-groups in compartment ApplicationERP
Allow group DRMonitors to manage disaster-recovery-plans in compartment ApplicationERP
Allow group DRMonitors to manage disaster-recovery-prechecks in compartment ApplicationERP
Autoriser un groupe d'utilisateurs à créer des configurations Full Stack Disaster Recovery dans un compartiment spécifique

Type d'accès : permet d'autoriser un groupe à créer des groupes de protection de récupération après sinistre et des plans de récupération après sinistre, mais sans créer d'exécutions ou de prévérifications de plan de récupération après sinistre.

Emplacement de création de la stratégie : dans le compartiment.
Allow group DRConfig to manage disaster-recovery-protection-groups in compartment ApplicationERP
Allow group DRConfig to manage disaster-recovery-plans in compartment ApplicationERP
Autoriser Object Storage à utiliser des clés dans Vault

Type d'accès : autres services à intégrer à KMS pour utiliser des clés KMS.

Emplacement de création de la stratégie : l'approche la plus simple consiste à placer cette stratégie dans la location. Si vous souhaitez que les administrateurs du compartiment individuel (ABC) contrôlent les instructions de stratégie individuelles pour leur compartiment.

Exemple : Allow service objectstorage-<region> to use keys in compartment ABC where target.key.id = '<key_OCID>'

allow service objectstorage-<region> to use keys in compartment Compartments where target.key.id = ocid1.key.oc1..exampleuniqueID
Autoriser les administrateurs de sécurité à gérer l'ensemble des bastions et sessions

Type d'accès : permet de gérer toutes les ressources du service Bastion dans tous les compartiments. Cette stratégie est utile si vous voulez qu'un seul ensemble d'administrateurs de sécurité gère l'ensemble des bastions et sessions dans tous les compartiments.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux bastions et aux sessions de bastion d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group SecurityAdmins to manage bastion in tenancy
Allow group SecurityAdmins to manage bastion-session in tenancy
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy
Autoriser les administrateurs de sécurité à gérer les sessions de bastion

Type d'accès : permet de gérer toutes les sessions sur tous les bastions et dans tous les compartiments, ce qui inclut la création de sessions, la connexion aux sessions et la terminaison de sessions.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de l'accès uniquement aux sessions de bastion d'un compartiment particulier, indiquez ce compartiment au lieu de la location. 

Allow group SecurityAdmins to use bastion in tenancy
Allow group SecurityAdmins to manage bastion-session in tenancy
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy
Autoriser les administrateurs de sécurité à gérer les sessions de bastion pour un hôte cible spécifique dans un compartiment

Type d'accès : permet de gérer les sessions sur un bastion dans un compartiment spécifique, et uniquement pour les sessions qui fournissent la connectivité à une instance Compute spécifique.

Emplacement de création de la stratégie : dans la location, pour que l'accès soit facilement accordé à tous les compartiments par le biais de l'héritage de stratégies.

Allow group SecurityAdmins to use bastion in compartment ABC
Allow group SecurityAdmins to manage bastion-session in compartment ABC where ALL {target.resource.ocid='<instance_OCID>', target.bastion-session.username='<session_username>'}
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy
Autoriser les administrateurs de sécurité à configurer l'analyse des instances dans tous les compartiments

Type d'accès : permet de configurer Oracle Cloud Infrastructure Vulnerability Scanning Service afin d'analyser toutes les instances Compute de tous les compartiments et d'afficher les résultats d'analyse. Envisagez de recourir à cette stratégie si vous souhaitez qu'un seul ensemble d'administrateurs de sécurité configure l'analyse des vulnérabilités pour toutes les instances.

Emplacement de création de la stratégie : dans la location, ce qui octroie l'accès à tous les compartiments par héritage de stratégies. Pour limiter la portée de l'accès uniquement aux instances Compute d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group SecurityAdmins to manage vss-family in tenancy
Allow service vulnerability-scanning-service to manage instances in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy
Allow service vulnerability-scanning-service to read vnics in tenancy
Allow service vulnerability-scanning-service to read vnic-attachments in tenancy
Autoriser les utilisateurs à visualiser les résultats de l'analyse des vulnérabilités dans tous les compartiments

Type d'accès : permet de visualiser les résultats de l'analyse des instances  Compute dans tous les compartiments afin de détecter les vulnérabilités de sécurité. Envisagez de recourir à cette stratégie si vous disposez d'une équipe dédiée chargée de vérifier ou d'auditer la sécurité de l'ensemble de votre location.

Emplacement de création de la stratégie : dans la location, ce qui octroie l'accès à tous les compartiments par héritage de stratégies. Pour limiter la portée de l'accès uniquement aux résultats d'analyse d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Allow group SecurityReviewers to read vss-family in tenancy
Autoriser un groupe à gérer les connecteurs

Type d'accès : permet de répertorier, créer, mettre à jour et supprimer des connecteurs dans la location. Permet de déplacer des connecteurs vers différents compartiments dans la location.

Emplacement de création de la stratégie : dans la location.

Allow group A-Admins to manage serviceconnectors in tenancy

Reportez-vous également à Stratégies IAM (sécurisation de Connector Hub).

Autoriser un groupe à appeler des opérations d'inclusion Ops Insights dans la location

Type d'accès : permet d'appeler des opérations d'inclusion Ops Insights au niveau de la location uniquement.

Emplacement de création de la stratégie : dans la location.

allow group opsi-users to use opsi-database-insights in tenancy 
where any 
{request.operation='IngestSqlBucket', 
request.operation='IngestSqlText',
request.operation='IngestSqlPlanLines'}
Autoriser les utilisateurs à créer et à supprimer des espaces de travail sans fonction de réseau (Data Integration)

Permet de créer, supprimer et modifier des espaces de travail au sein d'un compartiment.

allow group <group-name> to manage dis-workspaces in <compartment-name>
allow group <group-name> to manage dis-work-requests in <compartment-name>
allow group <group-name> to manage tag-namespaces in <compartment-name>
Autoriser les utilisateurs à créer et à supprimer des espaces de travail avec des fonctions de réseau (Data Integration)

Permet de créer, supprimer et modifier des espaces de travail au sein d'un réseau virtuel.

allow service dataintegration to use virtual-network-family in <compartment-name>
allow group <group-name> to manage dis-workspaces in <compartment-name>
allow group <group-name> to manage dis-work-requests in <compartment-name>
allow group <group-name> to use virtual-network-family in <compartment-name>
allow group <group-name> to manage tag-namespaces in <compartment-name>
Autoriser les utilisateurs et le principal de ressource à accéder à Object Storage et à l'utiliser pour un espace de travail donné (Data Integration)

Permet de créer et d'utiliser des ressources de données Object Storage dans tous les espaces de travail.

allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to use object-family in <compartment-name>

Pour accorder l'accès à un espace de travail spécifique, indiquez l'OCID de cet espace de travail. Par exemple :

allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
Autoriser les utilisateurs et le principal de ressource à accéder aux bases de données autonomes et à les utiliser comme cibles pour un espace de travail donné (Data Integration)

Permet de créer et d'utiliser des ressources de données de base de données autonome dans tous les espaces de travail.

allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to use object-family in <compartment-name>
allow any-group to manage buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.permission='PAR_MANAGE'}

Pour accorder l'accès à un espace de travail spécifique, indiquez l'OCID de cet espace de travail. Par exemple :

allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-group to manage buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>', request.permission='PAR_MANAGE'}
Autoriser les utilisateurs à déplacer des espaces de travail vers un nouveau compartiment (Data Integration)

Permet de déplacer les espaces de travail vers un nouveau compartiment.

allow service dataintegration to inspect compartments in <compartment-name>
allow group <group-name> to manage dis-workspaces in <compartment-name>
Autoriser les utilisateurs à publier des tâches vers le service OCI Data Flow (Data Integration)

Permet de publier les différentes tâches de tous les espaces de travail vers le service OCI Data Flow.

allow any-group to manage dataflow-application in <compartment-name> where ALL {request.principal.type='disworkspace'}

Pour accorder l'accès à un espace de travail spécifique, indiquez l'OCID de cet espace de travail. Par exemple :

allow any-group to manage dataflow-application in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
Autoriser les utilisateurs à accéder au service OCI Vault pour un espace de travail donné (Data Integration)

Permet d'utiliser des clés secrètes OCI Vault dans tous les espaces de travail.

allow any-group to read secret-bundles in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to read secret-bundles in <compartment-name>

Pour accorder l'accès à un espace de travail spécifique, indiquez l'OCID de cet espace de travail. Par exemple :

allow any-group to read secret-bundles in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
Autoriser les administrateurs à gérer les abonnements d'annonce

Type d'accès : permet de gérer les abonnements qui distribuent des annonces sur le statut opérationnel des services Oracle Cloud Infrastructure.

Emplacement de création de la stratégie : l'approche la plus simple consiste à placer cette stratégie dans la location. En raison du concept d'héritage de stratégies, le groupe auquel vous octroyez l'accès peut gérer les abonnements d'annonce dans n'importe quel compartiment. Pour limiter à un compartiment particulier la portée de l'accès aux annonces, spécifiez ce compartiment au lieu de la location.

Allow group AnnouncementAdmins to manage announcement-subscriptions in tenancy

La stratégie précédente permet à AnnouncementAdmins de visualiser la liste des annonces récapitulatives et les détails d'annonces spécifiques.