Documentation Oracle Cloud Infrastructure

Référence de stratégie

Découvrez les rubriques de référence de stratégie IAM, y compris les verbes, les types de ressource et les variables générales.

Cette référence comprend les éléments suivants :

Afin d'obtenir des instructions sur l'utilisation de la console ou de l'API pour créer et gérer des stratégies, reportez-vous à Présentation de l'utilisation des stratégies.

Verbes

Les verbes sont répertoriés de celui qui offre le moins de possibilités à celui qui en offre le plus. La signification exacte de chaque verbe dépend du type de ressource auquel il est associé. Les tableaux de cette section présentent les opérations d'API couvertes par chaque combinaison de verbe et de type de ressource.

Verbe Utilisateur cible Types d'accès couverts
inspect Auditeurs tiers Possibilité de répertorier des ressources sans accéder aux informations confidentielles ou aux métadonnées indiquées par l'utilisateur pouvant appartenir à ces ressources. Important : l'opération permettant de répertorier les stratégies inclut le contenu des stratégies elles-mêmes. Les opérations permettant de répertorier des types de ressource Networking renvoient toutes les informations (par exemple, le contenu des listes de sécurité et les tables d'acheminement).
read Auditeurs internes Inclut les mêmes droits d'accès que le verbe inspect ainsi que la possibilité d'obtenir les métadonnées spécifiées par l'utilisateur et la ressource elle-même.
use Utilisateurs finals quotidiens des ressources Inclut les mêmes droits d'accès que le verbe read ainsi que la possibilité d'utiliser les ressources existantes (les actions varient en fonction du type de ressource). Inclut la possibilité de mettre à jour la ressource, sauf pour les types de ressources dans lesquels l'opération "update" a le même impact effectif que l'opération "create" (par exemple, UpdatePolicy, UpdateSecurityList, etc.). Dans ce cas, la possibilité de mettre à jour est uniquement disponible avec le verbe manage. En général, ce verbe n'inclut ni la possibilité de créer ni de supprimer ce type de ressource.
manage Administrateurs Inclut tous les droits d'accès pour la ressource.

Types de ressource

Quelques types de ressource de famille courants sont répertoriés ci-dessous. Pour les types individuels de ressource qui composent chaque famille, suivez les liens.

IAM ne possède aucun genre de ressource de famille, mais uniquement des types individuels. Reportez-vous à Présentation des stratégies IAM ou à la section Détails relatifs à l'instance IAM sans domaine d'identités, selon qu'elle comporte ou non des domaines d'identité.

Variables générales pour toutes les demandes

Vous utilisez des variables lorsque vous ajoutez des conditions à une stratégie. Pour plus d'informations, reportez-vous à Conditions. Voici les variables générales applicables à toutes les demandes.

Nom Type Description
request.user.id Entité (OCID) OCID de l'utilisateur à l'origine de la demande.
request.user.name Chaîne Nom de l'utilisateur demandeur.
request.user.mfaTotpVerified Valeur booléenne

Indique si l'utilisateur a été vérifié par le biais d'authentification à plusieurs facteurs. Pour limiter l'accès uniquement aux utilisateurs vérifiés par le biais de l'authentification à plusieurs facteurs, ajoutez la condition suivante :

where request.user.mfaTotpVerified='true'

Pour obtenir des informations sur le paramétrage de l'authentification à plusieurs facteurs, reportez-vous à Gestion de l'authentification.
request.groups.id Liste des entités (OCID) OCID des groupes auxquels appartient l'utilisateur à l'origine de la demande.
request.permission Chaîne Droit d'accès sous-jacent demandé (reportez-vous à Droits d'accès).
request.operation Chaîne Nom de l'opération d'API demandée (par exemple, ListUsers).
request.networkSource.name Chaîne Nom du groupe de sources réseau qui indique de quelles adresses IP la demande peut provenir. Pour plus d'informations, reportez-vous à Gestion des sources réseau.
request.utc-timestamp Chaîne Heure UTC de soumission de la demande, spécifiée au format ISO 8601. Pour plus d'informations, reportez-vous à Restriction de l'accès aux ressources en fonction d'une période.
request.utc-timestamp.month-of-year Chaîne Mois au cours duquel la demande est soumise, spécifié au format numérique ISO 8601 (par exemple, '1', '2', '3', ... '12'). Pour plus d'informations, reportez-vous à Restriction de l'accès aux ressources en fonction d'une période.
request.utc-timestamp.day-of-month Chaîne Jour du mois auquel la demande est soumise, spécifié au format numérique '1' - '31'. Pour plus d'informations, reportez-vous à Restriction de l'accès aux ressources en fonction d'une période.
request.utc-timestamp.day-of-week Chaîne Jour de la semaine auquel la demande est soumise, spécifié en anglais (par exemple, 'Monday', 'Tuesday', 'Wednesday', etc.). Pour plus d'informations, reportez-vous à Restriction de l'accès aux ressources en fonction d'une période.
request.utc-timestamp.time-of-day Chaîne Intervalle UTC pendant lequel la demande est soumise, au format ISO 8601 (par exemple, '01:00:00Z' AND '02:01:00Z'). Pour plus d'informations, reportez-vous à Restriction de l'accès aux ressources en fonction d'une période.
request.region Chaîne

Clé à 3 lettres pour la région dans laquelle la demande est effectuée. Valeurs autorisées :

Remarque : Pour les stratégies de quota, le nom de région doit être indiqué au lieu des valeurs de clé à 3 lettres suivantes. Pour plus d'informations, reportez-vous également à Exemples de quotas.

  • AMS : Nord-ouest des Pays-Bas (Amsterdam)
  • ARN : Centre de la Suède (Stockholm)
  • AUH : Centre des Emirats arabes unis (Abou Dabi)
  • BEG - utilisation pour Serbie centrale (Jovanovac)
  • BOG - utilisation pour Colombia Central (Bogota)
  • BOM : Ouest de l'Inde (Mumbai)
  • CDG : Centre de la France (Paris)
  • CWL : Ouest du Royaume-Uni (Newport)
  • DXB : Est des Emirats arabes unis (Dubaï)
  • FRA : Allemagne centrale (Francfort)
  • GRU : Est du Brésil (São Paulo)
  • HSG - utilisation pour le nord de l'Indonésie (Batam)
  • HYD : Sud de l'Inde (Hyderabad)
  • IAD - Utilisation pour l'Est des Etats-Unis (Ashburn)
  • ICN : utilisation pour le centre de la Corée du Sud (Séoul)
  • JED : Ouest de l'Arabie saoudite (Djeddah)
  • JNB : Centre de l'Afrique du Sud (Johannesburg)
  • KIX : Centre du Japon (Osaka)
  • LHR : Sud du Royaume-Uni (Londres)
  • LIN : Nord-ouest de l'Italie (Milan)
  • NRQ - utilisation pour Italie Nord (Turin)
  • MAD - utilisation pour le centre de l'Espagne (Madrid)
  • MEL : sud-est de l'Australie (Melbourne)
  • MRS : Sud de la France (Marseille)
  • MTY - use for Mexico Northeast (Monterrey)
  • MTZ : Centre d'Israël (Jérusalem)
  • NRT : Est du Japon (Tokyo)
  • ORD - à utiliser pour le Midwest américain (Chicago)
  • ORF - utilisation pour le centre de l'Espagne (Madrid 3)
  • PHX : Ouest des Etats-Unis (Phoenix)
  • QRO : Centre du Mexique (Querétaro)
  • RUH - utilisation pour le centre de l'Arabie saoudite (Riyad)
  • SCL - utilisation pour Chile Central (Santiago)
  • SIN : Singapour (Singapour)
  • SJC : Ouest des Etats-Unis (San José)
  • SYD : est de l'Australie (Sydney)
  • VAP - utilisation pour Chili Ouest (Valparaiso)
  • VCP : Sud-est du Brésil (Vinhedo)
  • XSP - utilisation pour l'ouest de Singapour (Singapour)
  • YNY : Nord de la Corée du Sud (Chuncheon)
  • YUL : Sud-est du Canada (Montréal)
  • YYZ : Sud-est du Canada (Toronto)
  • ZRH : Nord de la Suisse (Zurich)
request.ad Chaîne Nom du domaine d'accès dans lequel la demande est effectuée. Pour obtenir la liste des noms de domaine de disponibilité, utilisez l'opération ListAvailabilityDomains.
request.principal.compartment.tag Chaîne Les balises appliquées au compartiment auquel appartient la ressource demandeuse sont évaluées à la recherche d'une correspondance. Pour obtenir des instructions d'utilisation, reportez-vous à Utilisation des balises pour gérer l'accès.
request.principal.group.tag Chaîne Les balises appliquées aux groupes auxquels l'utilisateur appartient sont évaluées pour une recherche de correspondance. Pour obtenir des instructions d'utilisation, reportez-vous à Utilisation des balises pour gérer l'accès.
target.compartment.name Chaîne Nom du compartiment indiqué dans target.compartment.id.
target.compartment.id Entité (OCID)

OCID du compartiment contenant la ressource principale.

Remarque : target.compartment.id et target.compartment.name ne peuvent pas être utilisés avec une opération d'API de type "Liste" pour filtrer la liste en fonction de l'accès de l'utilisateur à l'origine de la demande.

target.resource.compartment.tag Chaîne  La balise appliquée au compartiment cible de la demande est évaluée. Pour obtenir des instructions d'utilisation, reportez-vous à Utilisation des balises pour gérer l'accès.
target.resource.tag Chaîne  La balise appliquée à la ressource cible de la demande est évaluée. Pour obtenir des instructions d'utilisation, reportez-vous à Utilisation des balises pour gérer l'accès.