Documentation Oracle Cloud Infrastructure

Détails relatifs à IAM sans domaine d'identité

Cette rubrique traite des détails relatifs à l'écriture de stratégies visant à contrôler l'accès à IAM.

Types de ressource

authentication

authentication-policies

compartments

credentials

domain

dynamic-groups

groups

group-memberships

iamworkrequest

identity-providers

network-sources

oauth2-clients

policies

regions

service-principal

tag-defaults

tag-namespaces

tagRules

tasdomain

tagNamespaces

tenancies

users x

workrequest

Variables prises en charge

IAM prend en charge toutes les variables générales (reportez-vous à Variables générales pour toutes les demandes) ainsi que celles répertoriées ici :

Type de ressource pour les opérations Variables pouvant être utilisées Type de variable Commentaires
users target.user.id Entité (OCID) Non disponible pour une utilisation avec CreateUser.
target.user.name Chaîne  
groups target.group.id Entité (OCID) Non disponible pour une utilisation avec CreateGroup.
target.group.name Chaîne  
target.group.member Valeur booléenne True si request.user est membre de target.group.
policies target.policy.id Entité (OCID) Non disponible pour une utilisation avec CreatePolicy.
target.policy.name Chaîne  
compartments target.compartment.id Entité (OCID)

Pour CreateCompartment, il s'agit de la valeur du compartiment parent (par exemple, le compartiment racine).

Il s'agit d'une variable universelle pouvant être utilisée avec toute demande dans l'ensemble des services (reportez-vous à Variables générales pour toutes les demandes).
target.compartment.name Chaîne  
tag-namespace target.tag-namespace.id Entité (OCID)

Cette variable est prise en charge uniquement dans les instructions octroyant des droits d'accès pour le type de ressource tag-namespaces. Pour obtenir un exemple, reportez-vous à Tags and Tag Namespace Concepts. Non disponible pour une utilisation avec CreateTagNamespace.

target.tag-namespace.name Chaîne  

Détails des combinaisons de verbe et de type de ressource

Les tableaux suivants indiquent les droits d'accès et les opérations d'API couverts par chaque verbe. Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre de la façon suivante :inspect > read > use > manage. La présence d'un signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule située directement au-dessus, tandis que la mention "aucun élément supplémentaire" indique l'absence d'accès incrémentiel.

Par exemple, le verbe read pour compartments ne couvre aucune opération d'API ni aucun droit d'accès supplémentaire par rapport au verbe inspect. Le verbe use comprend les mêmes éléments que le verbe read, plus le droit d'accès COMPARTMENT_UPDATE et l'opération d'API UpdateCompartment. Le verbe manage inclut les mêmes droits d'accès et opérations d'API que le verbe use, plus le droit d'accès COMPARTMENT_CREATE et deux opérations d'API : CreateCompartment et DeleteCompartment

authentication-policies
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

AUTHENTICATION_POLICY_INSPECT

GetAuthenticationPolicy

 

aucun
read

aucun élément supplémentaire

aucun élément supplémentaire

aucun
use

aucun élément supplémentaire

aucun élément supplémentaire

aucun
manage

USE +

AUTHENTICATION_POLICY_UPDATE

USE +

UpdateAuthenticationPolicy

aucun
compartments

Pour déplacer un compartiment (c'est-à-dire utiliser MoveCompartment), vous devez appartenir à un groupe disposant des droits d'accès manage all-resources sur le compartiment parent partagé le plus bas du compartiment en cours et du compartiment de destination.

Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

COMPARTMENT_INSPECT

ListCompartments

GetCompartment

ListAvailabilityDomains

ListFaultDomains

aucun
read

aucun élément supplémentaire

aucun élément supplémentaire

aucun
use

READ +

COMPARTMENT_UPDATE

READ +

UpdateCompartment

GetWorkRequest

aucun
manage

USE +

COMPARTMENT_CREATE

COMPARTMENT_DELETE

COMPARTMENT_RECOVER

USE +

CreateCompartment

DeleteCompartment

RecoverCompartment

aucun
credentials

Le type de ressource credentials fait référence aux informations d'identification SMTP uniquement. Les droits d'accès permettant d'utiliser d'autres informations d'identification pouvant être ajoutées à un utilisateur (par exemple, des jetons d'authentification, des clés d'API et des clés secrètes client) sont inclus avec les droits d'accès de ressource users.

Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

CREDENTIAL_INSPECT

 ListSmtpCredentials

aucun
read

aucun élément supplémentaire

aucun élément supplémentaire

aucun
use

aucun élément supplémentaire

aucun élément supplémentaire

 

aucun
manage

USE +

CREDENTIAL_ADD

CREDENTIAL_UPDATE

CREDENTIAL_REMOVE

USE +

CreateSmtpCredential

UpdateSmtpCredential

DeleteSmtpCredential

aucun
dynamic-groups
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

DYNAMIC_GROUP_INSPECT

ListDynamicGroups

GetDynamicGroup

No extra
read

aucun élément supplémentaire

aucun élément supplémentaire

aucun élément supplémentaire
use

READ +

DYNAMIC_GROUP_UPDATE

READ +

UpdateDynamicGroup

Aucun élément supplémentaire
manage

USE +

DYNAMIC_GROUP_CREATE

DYNAMIC_GROUP_DELETE

USE +

CreateDynamicGroup

DeleteDynamicGroup

aucun élément supplémentaire
groups
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

GROUP_INSPECT

ListGroups

GetGroup

GetUserGroupMembership (requiert également inspect users)

ListIdpGroupMappings, GetIdpGroupMapping (les deux requièrent également inspect identity-providers)
read

aucun élément supplémentaire

aucun élément supplémentaire

aucun élément supplémentaire
use

READ +

GROUP_UPDATE

READ +

UpdateGroup

READ +

AddUserToGroup (requiert également use users)

RemoveUserFromGroup (requiert également use users)

AddIdpGroupMapping, DeleteIdpGroupMapping (les deux requièrent également manage identity-providers)
manage

USE +

GROUP_CREATE

GROUP_DELETE

USE +

CreateGroup

DeleteGroup

aucun élément supplémentaire
identity-providers
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

IDENTITY_PROVIDER_INSPECT

ListIdentityProviders

GetIdentityProvider

ListIdpGroupMappings, GetIdpGroupMapping (les deux requièrent également inspect groups)
read

aucun élément supplémentaire

aucun élément supplémentaire

aucun élément supplémentaire
use

aucun élément supplémentaire

aucun élément supplémentaire

aucun élément supplémentaire
manage

USE +

IDENTITY_PROVIDER_UPDATE

IDENTITY_PROVIDER_CREATE

IDENTITY_PROVIDER_DELETE

USE +

UpdateIdentityProvider

CreateIdentityProvider

DeleteIdentityProvider

USE +

AddIdpGroupMapping, DeleteIdpGroupMapping (les deux requièrent également use groups)
network-sources
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

NETWORK_SOURCE_INSPECT

ListNetworkSources

GetNetworkSource

No extra
read

aucun élément supplémentaire

aucun élément supplémentaire

aucun élément supplémentaire
use

READ +

NETWORK_SOURCE_UPDATE

READ +

UpdateNetworkSource

Aucun élément supplémentaire
manage

USE +

NETWORK_SOURCE_CREATE

NETWORK_SOURCE_DELETE

USE +

CreateNetworkSource

DeleteNetworkSource

aucun élément supplémentaire
policies
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

POLICY_READ

ListPolicies

GetPolicy

aucun
read

aucun élément supplémentaire

aucun élément supplémentaire

aucun
use

aucun élément supplémentaire

aucun élément supplémentaire

Remarque : la possibilité de mettre à jour des stratégies est disponible uniquement avec manage policies.

aucun
manage

USE +

POLICY_UPDATE

POLICY_CREATE

POLICY_DELETE

USE +

UpdatePolicy

CreatePolicy

DeletePolicy

aucun
tag-namespaces
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

TAG_NAMESPACE_INSPECT

BulkEditTags

ListTagNamespaces

GetTagNamespace

ListTags

ListCostTrackingTags

GetTag

GetTaggingWorkRequest

ListTaggingWorkRequest

ListTaggingWorkRequestErrors

ListTaggingWorkRequestLogs

aucun
read

aucun élément supplémentaire

aucun élément supplémentaire

aucun
use

READ +

TAG_NAMESPACE_USE

Remarque : afin d'appliquer, de mettre à jour ou d'enlever des balises définies pour une ressource, l'utilisateur doit disposer de droits d'accès sur la ressource ainsi que des droits d'accès permettant d'utiliser l'espace de noms de balise.

READ +

CreateTag

UpdateTag

aucun
manage

USE +

TAG_NAMESPACE_UPDATE

TAG_NAMESPACE_CREATE

TAG_NAMESPACE_MOVE

TAG_NAMESPACE_DELETE

USE +

UpdateTagNamespace

CreateTagNamespace

ChangeTagNamespaceCompartment

CascadeDeleteTagNamespace

DeleteTagNamespace

DeleteTag

BulkDeleteTags

aucun
tag-defaults
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

TAG_DEFAULT_INSPECT

TAG_NAMESPACE_READ

(Utilisez les deux autorisations)

ListTagDefaults

GetTagDefault

 

aucun
read

aucun élément supplémentaire

aucun élément supplémentaire

 aucun
use

aucun élément supplémentaire

aucun élément supplémentaire

aucun
manage

INSPECT +

TAG_DEFAULT_CREATE

TAG_DEFAULT_UPDATE

TAG_DEFAULT_DELETE

USE +

CreateTagDefault

UpdateTagDefault

DeleteTagDefault

 

aucun
tenancies
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

TENANCY_INSPECT

ListRegionSubscriptions

GetTenancy

ListRegions

 

aucun
read

aucun élément supplémentaire

aucun élément supplémentaire

aucun
use

READ +

TENANCY_UPDATE

aucun élément supplémentaire

aucun
manage

USE +

TENANCY_UPDATE

USE +

CreateRegionSubscription

aucun
users

Afin d'utiliser les informations d'identification SMTP pour un utilisateur, vous devez disposer de droits d'accès pour le type de ressource credentials.

Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

USER_INSPECT

ListUsers

GetUser

GetUserGroupMembership (requiert également inspect groups)
read

INSPECT +

USER_READ

INSPECT +

ListApiKeys

ListSwiftPasswords

ListAuthTokens

ListCustomerSecretKeys

ListOAuthClientCredentials

ListMfaTotpDevices

aucun élément supplémentaire
use

READ +

USER_UPDATE

READ +

UpdateUser

READ +

AddUserToGroup (requiert également use groups)

RemoveUserFromGroup (requiert également use groups)
manage

USE +

USER_CREATE

USER_DELETE

USER_UNBLOCK

USER_APIKEY_ADD

USER_APIKEY_REMOVE

USER_UIPASS_SET

USER_UIPASS_RESET

USER_SWIFTPASS_SET

USER_SWIFTPASS_RESET

USER_SWIFTPASS_REMOVE

USER_AUTHTOKEN_SET

USER_AUTHTOKEN_RESET

USER_AUTHTOKEN_REMOVE

USER_OAUTH2_CLIENT_CRED_CREATE

USER_OAUTH2_CLIENT_CRED_UPDATE

USER_OAUTH2_CLIENT_CRED_REMOVE

USER_SECRETKEY_ADD

USER_SECRETKEY_UPDATE

USER_SECRETKEY_REMOVE

USER_SUPPORT_ACCOUNT_LINK

USER_SUPPORT_ACCOUNT_UNLINK

USER_TOTPDEVICE_ADD

USER_TOTPDEVICE_REMOVE

USER_TOTPDEVICE_UPDATE

USE +

CreateUser

DeleteUser

UpdateUserState

UploadApiKey

DeleteApiKey

CreateOrResetUIPassword

UpdateSwiftPassword

CreateSwiftPassword

DeleteSwiftPassword

 

UpdateAuthToken

CreateAuthToken

DeleteAuthToken

CreateOAuthClientCredential

UpdateOAuthClientCredential

DeleteOAuthClientCredential

CreateSecretKey

UpdateCustomerSecretKey

DeleteCustomerSecretKey

CreateOAuthClientCredential

UpdateAuthClientCredential

DeleteOAuthClientCredential

LinkSupportAccount

UnlinkSupportAccount

CreateMfaTotpDevice

ActivateMfaTotpDevice

DeleteMfaTotpDevice

aucun élément supplémentaire

Droits d'accès requis pour chaque opération d'API

Le tableau suivant répertorie les opérations d'API dans un ordre logique, regroupées par type de ressource.

Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.

Opération d'API Droits d'accès requis pour utiliser l'opération
ListRegions TENANCY_INSPECT
ListRegionSubscriptions TENANCY_INSPECT
CreateRegionSubscription TENANCY_UPDATE
GetTenancy TENANCY_INSPECT
GetAuthenticationPolicy AUTHENTICATION_POLICY_INSPECT
UpdateAuthenticationPolicy AUTHENTICATION_POLICY_UPDATE
ListAvailabilityDomains COMPARTMENT_INSPECT
ListFaultDomains COMPARTMENT_INSPECT
ListCompartments COMPARTMENT_INSPECT
GetCompartment COMPARTMENT_INSPECT
UpdateCompartment COMPARTMENT_UPDATE
CreateCompartment COMPARTMENT_CREATE
RecoverCompartment COMPARTMENT_RECOVER
DeleteCompartment COMPARTMENT_DELETE
MoveCompartment Aucun droit d'accès n'est associé à l'opération MoveCompartment. Cette opération requiert des droits d'accès manage all-resources sur le compartiment parent partagé le plus bas du compartiment en cours et du compartiment de destination.
GetWorkRequest COMPARTMENT_READ
ListUsers USER_INSPECT
GetUser USER_INSPECT
UpdateUser USER_UPDATE
UpdateUserState USER_UPDATE et USER_UNBLOCK
CreateUser

USER_CREATE
DeleteUser USER_DELETE
CreateOrResetUIPassword USER_UPDATE et USER_UIPASS_RESET
ListApiKeys USER_READ
UploadApiKey

USER_UPDATE et USER_APIKEY_ADD

DeleteApiKey USER_UPDATE et USER_APIKEY_REMOVE
ListAuthTokens USER_READ
UpdateAuthToken USER_UPDATE et USER_AUTHTOKEN_RESET
CreateAuthToken USER_UPDATE et USER_AUTHTOKEN_SET
DeleteAuthToken USER_UPDATE et USER_AUTHTOKEN_REMOVE
ListSwiftPasswords USER_READ
UpdateSwiftPassword USER_UPDATE et USER_SWIFTPASS_RESET
CreateSwiftPassword USER_UPDATE et USER_SWIFTPASS_SET
DeleteSwiftPassword USER_UPDATE et USER_SWIFTPASS_REMOVE
ListCustomerSecretKeys USER_READ
CreateSecretKey USER_UPDATE et USER_SECRETKEY_ADD
UpdateCustomerSecretKey USER_UPDATE et USER_SECRETKEY_UPDATE
DeleteCustomerSecretKey USER_UPDATE et USER_SECRETKEY_REMOVE
CreateOAuthClientCredential USER_UPDATE et USER_OAUTH2_CLIENT_CRED_CREATE
UpdateOAuthClientCredential USER_UPDATE et USER_OAUTH2_CLIENT_CRED_UPDATE
ListOAuthClientCredentials USER_READ
DeleteOAuthClientCredential USER_UPDATE et USER_OAUTH2_CLIENT_CRED_REMOVE
LinkSupportAccount USER_SUPPORT_ACCOUNT_LINK
UnlinkSupportAccount USER_SUPPORT_ACCOUNT_UNLINK
CreateSmtpCredential CREDENTIAL_ADD
ListSmtpCredentials CREDENTIAL_INSPECT
UpdateSmtpCredential CREDENTIAL_UPDATE
DeleteSmtpCredential CREDENTIAL_REMOVE
ListUserGroupMemberships GROUP_INSPECT et USER_INSPECT
GetUserGroupMembership USER_INSPECT et GROUP_INSPECT
AddUserToGroup GROUP_UPDATE et USER_UPDATE
RemoveUserFromGroup GROUP_UPDATE et USER_UPDATE
ListGroups GROUP_INSPECT
GetGroup GROUP_INSPECT
UpdateGroup GROUP_UPDATE
CreateGroup GROUP_CREATE
DeleteGroup GROUP_DELETE
ListDynamicGroups DYNAMIC_GROUP_INSPECT
GetDynamicGroup DYNAMIC_GROUP_INSPECT
UpdateDynamicGroup DYNAMIC_GROUP_UPDATE
CreateDynamicGroup DYNAMIC_GROUP_CREATE
DeleteDynamicGroup DYNAMIC_GROUP_DELETE
GetNetworkSource NETWORK_SOURCE_INSPECT
ListNetworkSources NETWORK_SOURCE_INSPECT
CreateNetworkSource NETWORK_SOURCE_CREATE
UpdateNetworkSource NETWORK_SOURCE_UPDATE
DeleteNetworkSource NETWORK_SOURCE_DELETE
ListPolicies POLICY_READ
GetPolicy POLICY_READ
UpdatePolicy POLICY_UPDATE
CreatePolicy POLICY_CREATE
DeletePolicy POLICY_DELETE
ListIdentityProviders IDENTITY_PROVIDER_INSPECT
GetIdentityProvider IDENTITY_PROVIDER_INSPECT
UpdateIdentityProvider IDENTITY_PROVIDER_UPDATE
CreateIdentityProvider IDENTITY_PROVIDER_CREATE
DeleteIdentityProvider IDENTITY_PROVIDER_DELETE
ListIdpGroupMappings IDENTITY_PROVIDER_INSPECT et GROUP_INSPECT
GetIdpGroupMapping IDENTITY_PROVIDER_INSPECT et GROUP_INSPECT
AddIdpGroupMapping IDENTITY_PROVIDER_UPDATE et GROUP_UPDATE
DeleteIdpGroupMapping IDENTITY_PROVIDER_UPDATE et GROUP_UPDATE
ListTagNamespaces TAG_NAMESPACE_INSPECT
ListTaggingWorkRequest TAG_NAMESPACE_INSPECT
ListTaggingWorkRequestErrors TAG_NAMESPACE_INSPECT
ListTaggingWorkRequestLogs TAG_NAMESPACE_INSPECT
GetTaggingWorkRequest TAG_NAMESPACE_INSPECT
GetTagNamespace TAG_NAMESPACE_INSPECT
CreateTagNamespace TAG_NAMESPACE_CREATE
UpdateTagNamespace TAG_NAMESPACE_UPDATE
ChangeTagNamespaceCompartment TAG_NAMESPACE_MOVE
CascadeDeleteTagNamespace

TAG_NAMESPACE_DELETE
DeleteTagNamespace

TAG_NAMESPACE_DELETE
ListTags TAG_NAMESPACE_INSPECT
BulkEditTags TAG_NAMESPACE_INSPECT
ListCostTrackingTags TAG_NAMESPACE_INSPECT
GetTag TAG_NAMESPACE_INSPECT
CreateTag TAG_NAMESPACE_USE
UpdateTag TAG_NAMESPACE_USE
DeleteTag TAG_NAMESPACE_DELETE
BulkDeleteTags

TAG_NAMESPACE_DELETE
ListTagDefaults TAG_DEFAULT_INSPECT
GetTagDefault TAG_DEFAULT_INSPECT
CreateTagDefault TAG_DEFAULT_MANAGE
UpdateTagDefault TAG_DEFAULT_MANAGE
DeleteTagDefault TAG_DEFAULT_MANAGE