Détails du service Certificates
Découvrez les détails relatifs aux droits d'accès pour le service Certificates afin d'écrire des stratégies permettant de contrôler l'accès à ses ressources.
Cette rubrique traite des détails relatifs au service Certificats concernant les types de ressource pour lesquels vous pouvez octroyer des droits d'accès, les variables spéciales que vous pouvez utiliser lors de l'ajout de conditions à une stratégie, la hiérarchie des droits d'accès et des opérations d'API couverts par chaque verbe pour chaque type de ressource, ainsi que les droits d'accès pour chaque opération d'API.
Types individuels de ressource
Les types individuels de ressource permettent d'écrire des instructions de stratégie dont la portée est définie sur un type spécifique et aucun autre.
leaf-certificates
leaf-certificate-versions
leaf-certificate-bundles
certificate-authorities
certificate-authority-versions
certificate-authority-bundles
certificate-authority-delegates
cabundles
certificate-associations
certificate-authority-associations
cabundle-associations
Types agrégés de ressource
Les types agrégés de ressource permettent d'écrire des instructions de stratégie dont la portée s'étend au-delà d'un type individuel de ressource, à tous les types couverts par le type agrégé de ressource.
leaf-certificate-family
certificate-authority-family
Une stratégie qui utilise <verb> leaf-certificate-family
équivaut à écrire une stratégie avec une instruction <verb> <individual resource-type>
distincte pour chaque type individuel de ressource de certificat suivant : leaf-certificates
, leaf-certificate-versions
, leaf-certificate-bundles
, cabundles
, certificate-associations
et cabundle-associations
.
Une stratégie qui utilise <verb> certificate-authority-family
équivaut à une stratégie comportant une instruction <verb> <individual resource-type>
distincte pour chaque type individuel de ressource de certificat et d'autorité de certification : certificate-authorities
, certificate-authority-versions
, certificate-authority-bundles
, certificate-authority-delegates
, leaf-certificates
, leaf-certificate-versions
, leaf-certificate-bundles
, cabundles
, certificate-associations
, certificate-authority-associations
et cabundle-associations
.
Reportez-vous au tableau dans Détails des combinaisons de verbe et de type de ressource afin d'obtenir des détails sur les opérations d'API couvertes par chaque verbe, pour chaque type individuel de ressource inclus dans leaf-certificate-family
et certificate-authority-family
.
Variables prises en charge
Le service Certificates prend en charge toutes les variables générales, ainsi que celles répertoriées ici. Pour plus d'informations sur les variables générales prises en charge par les services Oracle Cloud Infrastructure, reportez-vous à Variables générales pour toutes les demandes.
Type de ressource pour les opérations | Variables pouvant être utilisées | Type de variable | Commentaires |
---|---|---|---|
certificate-authorities | target.certificate-authority.id |
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à une autorité de certification en fonction de son OCID. (Vous ne pouvez pas utiliser cette variable lors de la création d'une autorité de certification, car celle-ci n'existe pas encore, et ne dispose donc pas d'un OCID.) |
target.certificate-authority.name |
Chaîne | Utilisez cette variable pour limiter l'accès à un nom d'autorité de certification spécifique. | |
target.certificate-authority.subject |
Chaîne | Utilisez cette variable pour contrôler l'accès à une autorité de certification en fonction de son sujet. | |
target.certificate-authority.type |
Chaîne | Utilisez cette variable pour limiter l'accès aux autorités de certification d'un certain type. Les types d'autorité de certification sont ROOT_CA et SUBORDINATE_CA . |
|
target.issuer-certificate-authority.id |
Chaîne | Utilisez cette variable pour limiter l'accès aux autorités de certification en fonction de l'OCID de l'autorité de certification de l'émetteur. | |
certificate-authority-versions | target.certificate-authority.id |
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à une version d'autorité de certification en fonction de l'OCID de l'autorité de certification. |
target.certificate-authority.name |
Chaîne | Utilisez cette variable pour contrôler l'accès à une version CA en fonction du nom de l'autorité de certification. | |
certificate-authority-bundles | target.certificate-authority.id |
Entité (OCID) | Utilisez cette variable pour contrôler l'accès au package d'une autorité de certification en fonction de l'OCID de l'autorité de certification du package. |
target.certificate-authority.name |
Chaîne | Utilisez cette variable pour contrôler l'accès au package d'une autorité de certification en fonction du nom de l'autorité de certification du package. | |
certificate-authority-associations | target.association.id |
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à une association d'autorité de certification en fonction de l'OCID de l'association. (Vous ne pouvez pas utiliser cette variable lors de la création d'une association d'autorité de certification car celle-ci n'existe pas encore, et ne dispose donc pas d'un OCID.) |
target.association.name |
Chaîne | Utilisez cette variable pour contrôler l'accès à une association d'autorité de certification en fonction du nom de l'association. | |
target.association.resourceid |
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à une association d'autorité de certification en fonction de l'OCID de la ressource configurée dans l'association. | |
target.leaf-certificate.id |
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à une association d'autorité de certification en fonction de l'OCID du certificat configuré dans l'association. | |
target.leaf-certificate.name |
Chaîne | Utilisez cette variable pour contrôler l'accès à une association d'autorité de certification en fonction du nom du certificat configuré dans l'association. | |
certificate-authority-delegates | target.certificate-authority.id |
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à un délégué d'autorité de certification en fonction de l'OCID de l'autorité de certification. |
target.certificate-authority.name |
Chaîne | Utilisez cette variable pour contrôler l'accès à un délégué d'autorité de certification en fonction du nom de l'autorité de certification. | |
target.issuer-certificate-authority.id |
Chaîne | Utilisez cette variable pour contrôler l'accès à un délégué d'autorité de certification en fonction de l'OCID de l'autorité de certification de l'émetteur. | |
target.resource.type |
Chaîne | Utilisez cette variable pour contrôler l'accès aux délégués d'autorité de certification en fonction du type de ressource du délégué, que la ressource soit de type leaf-certificate , certificate-authority ou cabundle . |
|
leaf-certificates | target.leaf-certificate.allow-wildcard
|
Chaîne | Utilisez cette variable pour contrôler l'accès à un certificat en fonction de la présence d'un caractère générique dans le nom commun ou le nom de sujet alternatif du certificat. |
target.leaf-certificate.alt-subject
|
Liste | Utilisez cette variable pour contrôler l'accès à un certificat en fonction de son nom de sujet alternatif. | |
target.leaf-certificate.alt-subject-size
|
Chaîne | Utilisez cette variable pour contrôler l'accès à un certificat en fonction du nombre de noms de sujet alternatifs. | |
target.leaf-certificate.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à un certificat en fonction de son OCID. (Vous ne pouvez pas utiliser cette variable lors de la création d'un certificat car celui-ci n'existe pas encore, et ne dispose donc pas d'un OCID.) | |
target.leaf-certificate.name
|
Chaîne | Utilisez cette variable pour contrôler l'accès à un certificat en fonction de son nom. | |
target.issuer-certificate-authority.id
|
Chaîne | Utilisez cette variable pour contrôler l'accès à un certificat en fonction de l'OCID de l'autorité de certification de l'émetteur. | |
target.leaf-certificate.profile-type
|
Chaîne | Utilisez cette variable pour contrôler l'accès aux certificats en fonction du type de profil de certificat. Les types de profil de certificat sont TLS_SERVER_OR_CLIENT , TLS_SERVER , TLS_CLIENT et TLS_CODE_SIGN . |
|
target.leaf-certificate.subject |
Chaîne | Utilisez cette variable pour contrôler l'accès aux certificats en fonction de leur sujet. | |
target.leaf-certificate.type |
Chaîne | Utilisez cette variable pour contrôler l'accès aux certificats en fonction de la manière dont ils ont été créés. Les types de configuration de certificat sont MANAGED_EXTERNALLY_ISSUED_BY_INTERNAL_CA , ISSUED_BY_INTERNAL_CA et IMPORTED . |
|
leaf-certificate-versions | target.leaf-certificate.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès aux versions de certificat en fonction de l'OCID du certificat. Utilisez cette variable pour déterminer si des volumes de blocs ou des buckets peuvent être créés sans clé de cryptage maître Vault. |
target.leaf-certificate.name |
Chaîne | Utilisez cette variable pour contrôler l'accès aux versions de certificat en fonction du nom du certificat. | |
leaf-certificate-bundles | target.leaf-certificate.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès aux groupes de certificats en fonction de l'OCID du certificat. |
target.leaf-certificate.name |
Chaîne | Utilisez cette variable pour contrôler l'accès aux groupes de certificats en fonction du nom du certificat. | |
target.leaf-certificate.bundle-type |
Chaîne | Utilisez cette variable pour contrôler l'accès à un groupe de certificats en fonction de son type. Les types de groupe de certificats sont CERTIFICATE_CONTENT_PUBLIC_ONLY et CERTIFICATE_CONTENT_WITH_PRIVATE_KEY . |
|
certificate-associations | target.association.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès aux associations de certificat en fonction de l'OCID de l'association. (Vous ne pouvez pas utiliser cette variable lors de la création d'une association de certificat car celle-ci n'existe pas encore, et ne dispose donc pas d'un OCID.) |
target.association.name
|
Chaîne | Utilisez cette variable pour contrôler l'accès aux groupes de certificats en fonction du nom de l'association de groupe de certificats. | |
target.association.resourceid
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès aux groupes de certificats en fonction de l'OCID de la ressource ciblée dans l'association de groupe de certificats. | |
target.leaf-certificate.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès aux associations de certificat en fonction de l'OCID du certificat. | |
target.leaf-certificate.name |
Chaîne | Utilisez cette variable pour contrôler l'accès aux associations de certificat en fonction du nom du certificat. | |
cabundles | target.cabundle.id |
Entité (OCID) | Utilisez cette variable pour contrôler l'accès aux packages d'autorité de certification en fonction de l'OCID du package d'autorité de certification. (Vous ne pouvez pas utiliser cette variable lors de la création d'un package d'autorité de certification car celui-ci n'existe pas encore, et ne dispose donc pas d'un OCID.) |
target.cabundle.name |
Chaîne | Utilisez cette variable pour contrôler l'accès aux packages d'autorité de certification en fonction du nom du package d'autorité de certification. | |
cabundle-associations | target.association.id |
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à une association de package d'autorité de certification en fonction de l'OCID de l'association de package. |
target.association.name |
Chaîne | Utilisez cette variable pour contrôler l'accès à une association de package d'autorité de certification en fonction du nom de l'association de package. (Vous ne pouvez pas utiliser cette variable lors de la création d'une association de package d'autorité de certification car celle-ci n'existe pas encore, et ne dispose donc pas d'un OCID.) | |
target.association.resourceid |
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à une association de package d'autorité de certification en fonction de l'OCID de la ressource configurée dans l'association. | |
target.cabundle.id |
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à une association de package d'autorité de certification en fonction de l'OCID du package. | |
target.cabundle.name |
Chaîne | Utilisez cette variable pour contrôler l'accès à une association de package d'autorité de certification en fonction du nom du package. |
Détails des combinaisons de verbe et de type de ressource
Découvrez l'accès incrémentiel octroyé par chaque verbe pour chaque type de ressource afin de pouvoir écrire des stratégies qui n'accordent que l'accès requis et rien d'autre.
Les tableaux suivants indiquent les droits d'accès et les opérations d'API couverts par chaque verbe. Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre de la façon suivante :inspect
> read
> use
> manage
. La présence d'un signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule située directement au-dessus, tandis que la mention "aucun élément supplémentaire" indique l'absence d'accès incrémentiel.
Par exemple, le verbe use
pour le type de ressource cabundles
inclut les mêmes droits d'accès et opérations d'API que le verbe read
, plus le droit d'accès CABUNDLE_UPDATE et l'opération d'API UpdateCaBundle
. Le verbe manage
offre davantage de droits d'accès et d'opérations d'API que le verbe use
.
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect |
CERTIFICATE_INSPECT |
ListCertificates
|
aucun |
read |
INSPECT + CERTIFICATE_READ |
INSPECT +
|
aucun |
use |
READ + CERTIFICATE_UPDATE |
aucun élément supplémentaire |
|
manage |
USE + CERTIFICATE_CREATE CERTIFICATE_DELETE CERTIFICATE_MOVE |
USE +
|
|
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect |
CERTIFICATE_VERSION_INSPECT |
ListCertificateVersions
|
aucun |
read |
INSPECT + CERTIFICATE_VERSION_READ |
INSPECT +
|
aucun |
use |
READ + aucun élément supplémentaire |
aucun |
aucun |
manage |
USE + CERTIFICATE_VERSION_REVOKE CERTIFICATE_VERSION_DELETE |
aucun |
|
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect |
CERTIFICATE_BUNDLE_INSPECT |
ListCertificateBundleVersions
|
aucun |
read |
INSPECT + CERTIFICATE_BUNDLE_READ |
INSPECT +
Remarque : le droit d'accès requis pour cette opération dépend du paramètre de requête Si Si |
aucun |
use |
READ + aucun élément supplémentaire |
aucun |
aucun |
manage |
USE + aucun élément supplémentaire |
aucun |
|
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect |
CABUNDLE_INSPECT |
ListCaBundles
|
aucun |
read |
INSPECT + CABUNDLE_READ |
INSPECT +
|
aucun |
use |
READ + CABUNDLE_UPDATE |
READ +
|
aucun |
manage |
USE + CABUNDLE_CREATE CABUNDLE_DELETE CABUNDLE_MOVE |
USE +
|
aucun |
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect |
CERTIFICATE_ASSOCIATION_INSPECT |
ListAssociations
|
aucun |
read |
INSPECT + CERTIFICATE_ASSOCIATION_READ |
INSPECT +
|
aucun |
use |
READ + aucun élément supplémentaire |
aucun |
aucun |
manage |
USE + CERTIFICATE_ASSOCIATION_CREATE CERTIFICATE_ASSOCIATION_DELETE |
USE +
|
aucun |
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect |
CABUNDLE_ASSOCIATION_INSPECT |
ListAssociations
|
aucun |
read |
INSPECT + CABUNDLE_ASSOCIATION_READ |
INSPECT +
|
aucun |
use |
READ + aucun élément supplémentaire |
aucun |
aucun |
manage |
USE + CABUNDLE_ASSOCIATION_CREATE CABUNDLE_ASSOCIATION_DELETE |
USE +
|
aucun |
Droits d'accès requis pour chaque opération d'API
Le tableau suivant répertorie les opérations d'API dans un ordre logique, regroupées par type de ressource.
Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.
Opération d'API | Droits d'accès requis pour utiliser l'opération |
---|---|
ListCertificateAuthorities
|
CERTIFICATE_AUTHORITY_INSPECT |
GetCertificateAuthority
|
CERTIFICATE_AUTHORITY_READ |
CreateCertificateAuthority
|
CERTIFICATE_AUTHORITY_CREATE et CERTIFICATE_AUTHORITY_APPLY |
UpdateCertificateAuthority
|
CERTIFICATE_AUTHORITY_UPDATE et CERTIFICATE_AUTHORITY_APPLY |
ChangeCertificateAuthorityCompartment |
CERTIFICATE_AUTHORITY_MOVE |
ScheduleCertificateAuthorityDeletion |
CERTIFICATE_AUTHORITY_DELETE |
CancelCertificateAuthorityDeletion |
CERTIFICATE_AUTHORITY_DELETE |
ListCertificateAuthorityVersions |
CERTIFICATE_AUTHORITY_VERSION_INSPECT |
GetCertificateAuthorityVersion |
CERTIFICATE_AUTHORITY_VERSION_READ |
RevokeCertificateAuthorityVersion |
CERTIFICATE_AUTHORITY_VERSION_REVOKE, CERTIFICATE_AUTHORITY_UPDATE et CERTIFICATE_AUTHORITY_APPLY |
ScheduleCertificateAuthorityVersionDeletion |
CERTIFICATE_AUTHORITY_VERSION_DELETE et CERTIFICATE_AUTHORITY_UPDATE |
CancelCertificateAuthorityVersionDeletion |
CERTIFICATE_AUTHORITY_VERSION_DELETE et CERTIFICATE_AUTHORITY_UPDATE |
ListCertificateAuthorityBundleVersions |
CERTIFICATE_AUTHORITY_BUNDLE_INSPECT |
GetCertificateAuthorityBundle |
CERTIFICATE_AUTHORITY_BUNDLE_READ |
ListCertificates |
CERTIFICATE_INSPECT |
GetCertificate |
CERTIFICATE_READ |
CreateCertificate |
CERTIFICATE_CREATE et CERTIFICATE_AUTHORITY_APPLY |
UpdateCertificate |
CERTIFICATE_UPDATE et CERTIFICATE_AUTHORITY_APPLY |
ChangeCertificateCompartment |
CERTIFICATE_MOVE |
ScheduleCertificateDeletion |
CERTIFICATE_DELETE |
CancelCertificateDeletion |
CERTIFICATE_DELETE |
ListCertificateVersions |
CERTIFICATE_VERSION_INSPECT |
GetCertificateVersion |
CERTIFICATE_VERSION_READ |
RevokeCertificateVersion |
CERTIFICATE_VERSION_REVOKE, CERTIFICATE_UPDATE et CERTIFICATE_AUTHORITY_APPLY |
ScheduleCertificateVersionDeletion |
CERTIFICATE_VERSION_DELETE et CERTIFICATE_UPDATE |
CancelCertificateVersionDeletion |
CERTIFICATE_VERSION_DELETE et CERTIFICATE_UPDATE |
ListCertificateBundleVersions |
CERTIFICATE_BUNDLE_INSPECT |
GetCertificateBundle |
CERTIFICATE_BUNDLE_READ Pour plus d'informations, reportez-vous à leaf-certificate-bundles. |
ListCaBundles
|
CABUNDLE_INSPECT |
GetCaBundle |
CABUNDLE_READ |
CreateCaBundle |
CABUNDLE_CREATE |
UpdateCaBundle |
CABUNDLE_UPDATE |
ChangeCaBundleCompartment |
CABUNDLE_MOVE |
DeleteCaBundle |
CABUNDLE_DELETE |
ListAssociations |
CERTIFICATE_AUTHORITY_ASSOCIATION_INSPECT (pour certificate-authorities), CERTIFICATE_ASSOCIATION_INSPECT (pour leaf-certificates) ou CABUNDLE_ASSOCIATION_INSPECT (pour cabundles) |
GetAssociation |
CERTIFICATE_AUTHORITY_ASSOCIATION_READ (pour certificate-authorities), CERTIFICATE_ASSOCIATION_READ (pour leaf-certificates) ou CABUNDLE_ASSOCIATION_READ (pour cabundles) |
DeleteAssociation |
CERTIFICATE_AUTHORITY_ASSOCIATION_DELETE (pour certificate-authorities), CERTIFICATE_ASSOCIATION_DELETE (pour leaf-certificates) ou CABUNDLE_ASSOCIATION_DELETE (pour cabundles) |