Documentation Oracle Cloud Infrastructure

Référence de stratégie

Découvrez les rubriques de référence de stratégie IAM, y compris les verbes, les types de ressource et les variables générales.

Cette référence comprend les éléments suivants :

Pour savoir comment créer et gérer des stratégies à l'aide de la console ou de l'API, reportez-vous à Présentation de l'utilisation des stratégies.

Verbes

Les verbes sont répertoriés de celui qui offre le moins de possibilités à celui qui en offre le plus. La signification exacte de chaque verbe dépend du type de ressource auquel il est associé. Les tableaux de cette section présentent les opérations d'API couvertes par chaque combinaison de verbe et de type de ressource.

Verbe Types d'accès couverts Utilisateur cible
inspect Possibilité de répertorier des ressources sans accéder aux informations confidentielles ou aux métadonnées spécifiées par l'utilisateur pouvant appartenir à ces ressources. Important : l'opération permettant de répertorier les stratégies inclut le contenu des stratégies elles-mêmes. Les opérations de liste des types de ressource Networking renvoient toutes les informations (par exemple, le contenu des listes de sécurité et des tables de routage). Auditeurs tiers
read Inclut les mêmes droits d'accès que le verbe inspect ainsi que la possibilité d'obtenir les métadonnées spécifiées par l'utilisateur et la ressource elle-même. Auditeurs internes
use Inclut les mêmes droits d'accès que le verbe read ainsi que la possibilité d'utiliser les ressources existantes (les actions varient en fonction du type de ressource). Inclut la possibilité de mettre à jour la ressource, sauf pour les types de ressource dans lesquels l'opération "update" a le même impact effectif que l'opération "create" (par exemple, UpdatePolicy, UpdateSecurityList, etc.), auquel cas le droit de mise à jour est uniquement disponible avec le verbe manage. En général, ce verbe n'inclut pas la possibilité de créer ou de supprimer ce type de ressource. Utilisateurs finals quotidiens des ressources
manage Inclut tous les droits d'accès pour la ressource. Administrateurs

Types de ressource

Voici quelques types de ressource de famille courants. Pour les types individuels de ressource qui composent chaque famille, suivez les liens.

IAM ne possède aucun type de ressource de famille, mais uniquement des types individuels. Reportez-vous à Détails relatifs à IAM avec les domaines d'identité ou à Détails relatifs à IAM sans domaine d'identité, selon que votre location comporte ou non des domaines d'identité.

Variables générales pour toutes les demandes

Vous utilisez des variables lorsque vous ajoutez des conditions à une stratégie. Pour plus d'informations, reportez-vous à Conditions. Voici les variables générales applicables à toutes les demandes.

Nom Type Description
request.user.id Entité (OCID) OCID de l'utilisateur à l'origine de la demande.
request.user.name Chaîne Nom de l'utilisateur demandeur.
request.user.mfaTotpVerified Valeur booléenne

Indique si l'utilisateur a été vérifié par le biais de l'authentification à plusieurs facteurs. Pour limiter l'accès uniquement aux utilisateurs vérifiés par le biais de l'authentification à plusieurs facteurs, ajoutez la condition suivante :

where request.user.mfaTotpVerified='true'

Pour plus d'informations sur la configuration de l'AMF, reportez-vous à Gestion de l'authentification à plusieurs facteurs.
request.groups.id Liste des entités (OCID) OCID des groupes auxquels appartient l'utilisateur à l'origine de la demande.
request.permission Chaîne Droit d'accès sous-jacent demandé (reportez-vous à Droits d'accès).
request.operation Chaîne Nom de l'opération d'API demandée (par exemple, ListUsers).
request.networkSource.name Chaîne Nom du groupe de sources réseau qui indique de quelles adresses IP la demande peut provenir. Pour plus d'informations, reportez-vous à Gestion des sources réseau.
request.utc-timestamp Chaîne Heure UTC de soumission de la demande, spécifiée au format ISO 8601. Pour plus d'informations, reportez-vous à Restriction de l'accès aux ressources en fonction d'une période.
request.utc-timestamp.month-of-year Chaîne Mois au cours duquel la demande est soumise, spécifié au format numérique ISO 8601 (par exemple, '1', '2', '3', ... '12'). Pour plus d'informations, reportez-vous à Restriction de l'accès aux ressources en fonction d'une période.
request.utc-timestamp.day-of-month Chaîne Jour du mois auquel la demande est soumise, spécifié au format numérique '1' - '31'. Pour plus d'informations, reportez-vous à Restriction de l'accès aux ressources en fonction d'une période.
request.utc-timestamp.day-of-week Chaîne Jour de la semaine auquel la demande est soumise, spécifié en anglais (par exemple, 'Monday', 'Tuesday', 'Wednesday', etc.). Pour plus d'informations, reportez-vous à Restriction de l'accès aux ressources en fonction d'une période.
request.utc-timestamp.time-of-day Chaîne Intervalle UTC pendant lequel la demande est soumise, au format ISO 8601 (par exemple, '01:00:00Z' AND '02:01:00Z'). Pour plus d'informations, reportez-vous à Restriction de l'accès aux ressources en fonction d'une période.
request.region Chaîne

Clé à 3 lettres pour la région dans laquelle la demande est effectuée. Valeurs autorisées :

Remarque : pour les stratégies de quota, le nom de la région doit être indiqué à la place des valeurs de clé à 3 lettres suivantes. Pour plus d'informations, reportez-vous également à Exemples de quotas.

  • AMS : Nord-ouest des Pays-Bas (Amsterdam)
  • ARN : Centre de la Suède (Stockholm)
  • AUH : Centre des Emirats arabes unis (Abou Dabi)
  • BEG - utilisation pour Serbia Central (Jovanovac)
  • BOG - à utiliser pour Colombie Central (Bogota)
  • BOM : Ouest de l'Inde (Mumbai)
  • CDG : Centre de la France (Paris)
  • CWL : Ouest du Royaume-Uni (Newport)
  • DXB : Est des Emirats arabes unis (Dubaï)
  • FRA : Allemagne centrale (Francfort)
  • GRU : Est du Brésil (São Paulo)
  • HYD : Sud de l'Inde (Hyderabad)
  • IAD : Est des Etats-Unis (Ashburn)
  • ICN : Centre de la Corée du Sud (Séoul)
  • JED : Ouest de l'Arabie saoudite (Djeddah)
  • JNB : Centre de l'Afrique du Sud (Johannesburg)
  • KIX : Centre du Japon (Osaka)
  • LHR : Sud du Royaume-Uni (Londres)
  • LIN : Nord-ouest de l'Italie (Milan)
  • MAD - à utiliser pour l'Espagne centrale (Madrid)
  • MEL : Sud-est de l'Australie (Melbourne)
  • MRS : Sud de la France (Marseille)
  • MTY - utilisation pour Mexico Northeast (Monterrey)
  • MTZ : Centre d'Israël (Jérusalem)
  • NRT : Est du Japon (Tokyo)
  • ORD - Utilisation pour US Midwest (Chicago)
  • PHX : Ouest des Etats-Unis (Phoenix)
  • QRO : Centre du Mexique (Querétaro)
  • SCL - utilisation pour Chile Central (Santiago)
  • SIN : Singapour (Singapour)
  • SJC : Ouest des Etats-Unis (San José)
  • SYD : Est de l'Australie (Sydney)
  • VAP - à utiliser pour l'ouest du Chili (Valparaiso)
  • VCP : Sud-est du Brésil (Vinhedo)
  • YNY : Nord de la Corée du Sud (Chuncheon)
  • YUL : Sud-est du Canada (Montréal)
  • YYZ : Sud-est du Canada (Toronto)
  • ZRH : Nord de la Suisse (Zurich)
request.ad Chaîne Nom du domaine de disponibilité dans lequel la demande est effectuée. Pour obtenir la liste des noms de domaine de disponibilité, utilisez l'opération ListAvailabilityDomains.
request.principal.compartment.tag Chaîne Les balises appliquées au compartiment auquel appartient la ressource demandeuse sont évaluées à la recherche d'une correspondance. Pour obtenir des instructions d'utilisation, reportez-vous à Utilisation des balises pour gérer l'accès.
request.principal.group.tag Chaîne Les balises appliquées aux groupes auxquels l'utilisateur appartient sont évaluées pour une recherche de correspondance. Pour obtenir des instructions d'utilisation, reportez-vous à Utilisation des balises pour gérer l'accès.
target.compartment.name Chaîne Nom du compartiment indiqué dans target.compartment.id.
target.compartment.id Entité (OCID)

OCID du compartiment contenant la ressource principale.

Remarque : target.compartment.id et target.compartment.name ne peuvent pas être utilisés avec une opération d'API de liste pour filtrer la liste en fonction de l'accès de l'utilisateur à l'origine de la demande au compartiment.

target.resource.compartment.tag Chaîne  La balise appliquée au compartiment cible de la demande est évaluée. Pour obtenir des instructions d'utilisation, reportez-vous à Utilisation des balises pour gérer l'accès.
target.resource.tag Chaîne  La balise appliquée à la ressource cible de la demande est évaluée. Pour obtenir des instructions d'utilisation, reportez-vous à Utilisation des balises pour gérer l'accès.