Introduction aux stratégies
Si vous ne connaissez pas les stratégies Oracle Cloud Infrastructure Identity and Access Management (IAM), cette rubrique vous indique comment procéder.
Si vous réalisez une étude de faisabilité
Si vous essayez simplement Oracle Cloud Infrastructure ou si vous réalisez un projet d'étude de faisabilité avec des ressources d'infrastructure, quelques administrateurs avec un accès total peuvent suffire. Dans ce cas, vous pouvez simplement créer les utilisateurs dont vous avez besoin et les ajouter au groupe d'administrateurs. Les utilisateurs pourront effectuer toutes les opérations sur tout type de ressource. Vous pouvez également créer toutes vos ressources directement dans la location (compartiment racine). Vous n'avez pas encore besoin de créer de compartiments, ni d'autres stratégies à part la stratégie d'administration de locataires, qui est fournie automatiquement avec votre location et ne peut pas être modifiée.
N'oubliez pas d'ajouter vos nouveaux utilisateurs au groupe d'administrateurs ; il est facile d'oublier de le faire après les avoir créés.
Si vous avez passé la phase d'étude de faisabilité
Si vous avez passé la phase d'étude de faisabilité et souhaitez limiter l'accès à vos ressources, commencez par effectuer les actions suivantes :
- Assurez-vous que vous connaissez les composants de base d'IAM et lisez l'exemple de scénario : Présentation d'Identity and Access Management.
- Réfléchissez à l'organisation de vos ressources en compartiments : En savoir plus sur les meilleures pratiques pour configurer votre location.
- Découvrez les bases du fonctionnement des stratégies : Fonctionnement des stratégies.
- Etudiez certaines stratégies standard : Stratégies courantes.
- Consultez les FAQ ci-dessous.
FAQ sur les stratégies
Tous les services, y compris IAM. Vous trouverez des détails spécifiques sur l'écriture des stratégies pour chaque service dans la présentation des stratégies IAM.
Oui. Tous les utilisateurs peuvent automatiquement effectuer les opérations suivantes sans stratégie explicite :
- Modifier ou réinitialiser leur propre mot de passe de console.
- Gérer leurs propres clés de signature d'API et d'autres informations d'identification.
Vous pouvez placer toutes vos ressources dans un seul compartiment et utiliser des stratégies pour contrôler l'accès, mais vous perdrez les avantages de la mesure de l'utilisation et de la facturation par compartiment, de l'administration simplifiée des stratégies au niveau du compartiment et de la séparation claire des ressources en fonction des projets ou des unités opérationnelles.
Oui. Cependant, quelques éléments à connaître d'abord :
- Les sociétés possèdent généralement plusieurs utilisateurs qui ont besoin de droits d'accès similaires : les stratégies sont donc conçues pour donner accès à des groupes d'utilisateurs et non à des utilisateurs individuels. Un utilisateur obtient un accès parce qu'il appartient à un groupe.
- Les stratégies sont conçues pour autoriser l'accès ; il n'existe aucun refus explicite lorsque vous les écrivez.
Si vous devez accorder l'accès à un utilisateur en particulier, vous pouvez ajouter à la stratégie une condition spécifiant l'OCID de l'utilisateur dans une variable. Cette construction restreint l'accès octroyé par la stratégie à l'utilisateur indiqué dans la condition. Par exemple :
allow any-group to read object-family in compartment ObjectStorage where request.user.id ='ocid1.user.oc1..<user_OCID>'
Pour plus d'informations sur l'utilisation des conditions et des variables dans les stratégies, reportez-vous à Conditions.
Si vous avez besoin de limiter l'accès d'un utilisateur particulier, vous pouvez :
- retirer l'utilisateur du groupe en question,
- supprimer entièrement l'utilisateur d'IAM (vous devez d'abord enlever l'utilisateur de tous les groupes).
Assurez-vous d'abord que l'utilisateur ne fait partie d'aucun groupe. Ce n'est qu'ensuite qu'il peut être supprimé.
Vous devez examiner les instructions individuelles de toutes vos stratégies pour connaître celles qui s'appliquent à chaque groupe. Il n'existe actuellement aucun moyen simple d'obtenir ces informations.
Vous devez examiner les instructions individuelles dans toutes les stratégies de la location pour voir si certaines s'appliquent au compartiment en question. Vous devez également examiner les stratégies du compartiment. Les stratégies dans les compartiments semblables ne peuvent pas faire référence au compartiment en question, vous n'avez donc pas besoin de les vérifier.