Référence de stratégie
Découvrez les rubriques de référence de stratégie IAM, y compris les verbes, les types de ressource et les variables générales.
Cette référence comprend les éléments suivants :
- Verbes : liste des actions disponibles à associer avec un type de ressource
- Types de ressource : liste des principaux types de ressource
- Variables générales pour toutes les demandes : variables pouvant être utilisées lors de l'écriture de stratégies pour tout type de ressource
- Limites de service : visualisez les limites, les quotas et l'utilisation de votre location dans la console.
- Détails relatifs à Process Automation
- Analytics Cloud : reportez-vous à Octroi de droits d'accès aux utilisateurs pour gérer des instances Analytics Cloud
- Détails du service Announcements
- Détails relatifs à API Gateway
- Détails relatifs à Application Performance Monitoring
- Artifact Registry : reportez-vous à Stratégies pour Artifact Registry
- Détails du service Audit
- Autonomous Linux : reportez-vous à Stratégies Linux Autonomous.
- Service de récupération autonome : reportez-vous à Stratégies de service de récupération autonome
- Bastion : reportez-vous à Stratégies pour Bastion
- Big Data Service : reportez-vous à Présentation des ressources et des droits d'accès Big Data Service dans les stratégies IAM
- Blockchain Platform : reportez-vous à A propos des droits d'accès et des stratégies pour gérer Oracle Blockchain Platform
- Détails du service Certificates
- Cloud Advisor : reportez-vous à Création de stratégies Cloud Advisor
- Cloud Guard : reportez-vous à Stratégies Cloud Guard.
- Groupes de positionnement de cluster : reportez-vous à Stratégies de groupes de positionnement de cluster
- Détails pour Compute Cloud@Customer
- Détails relatifs à Container Engine for Kubernetes
- Instances de conteneur : reportez-vous à Stratégies IAM pour les instances de conteneur
- Détails des services de base (comprenant Networking, Compute et Block Volume)
- Content Management : reportez-vous à Stratégies de service
- Console Dashboards : reportez-vous à Détails de stratégie Console Dashboards
- Data Catalog : reportez-vous à Stratégies Data Catalog
- Data Flow : reportez-vous à Stratégies Data Flow
- Data Integration : reportez-vous à Stratégies Data Integration
- Data Safe : reportez-vous à Création de stratégies IAM pour les utilisateurs Oracle Data Safe
- Data Science : reportez-vous à Stratégies Data Science
- Détails du service Database
- Détails relatifs à Database Management
- Database Migration : reportez-vous à Stratégies Database Migration
- OCI Database avec PostgreSQL : reportez-vous à OCI Database avec des stratégies PostgreSQL
- DevOps : reportez-vous à Stratégies DevOps
- Digital Assistant : reportez-vous à Stratégies Digital Assistant
- Détails du service DNS
- Détails relatifs au service Email Delivery
- Détails du service Events
- Détails du service File Storage
- Détails du service Functions
- Récupération après sinistre sur l'ensemble de la pile : reportez-vous à Stratégies de récupération après sinistre sur l'ensemble de la pile
- Autonomous Database distribué globalement : reportez-vous à Stratégies Autonomous Database distribuées globalement.
- GoldenGate : reportez-vous à Stratégies Oracle Cloud Infrastructure GoldenGate
- Détails relatifs à Health Checks
- Détails relatifs à IAM sans domaine d'identité
- Pour Integration Generation 2 et Integration 3, reportez-vous à Détails relatifs à Oracle Integration.
- Détails relatifs à Java Management Service
- Détails relatifs à License Manager
- Détails de Load Balancing
- Détails de la journalisation
- Détails relatifs à Logging Analytics
- Détails relatifs à Management Agent
- Détails relatifs au tableau de bord de gestion
- Détails du service Marketplace
- Media Services : reportez-vous à Stratégies Media Flow et à Stratégies Media Streams
- Détails de Monitoring
- HeatWave : reportez-vous à Stratégies IAM
- NoSQL Database Cloud : reportez-vous à Détails relatifs à NoSQL Database Cloud
- Migrations vers Oracle Cloud : reportez-vous à Stratégies de migration Oracle Cloud
- Détails de Notifications
- Référence de stratégie Network Firewall
- Détails relatifs à Object Storage, Archive Storage et Transfert de données
- OCI Control Center : reportez-vous à Stratégies du centre de contrôle
- Détails pour Ops Insights
- OS Management : reportez-vous à Référence des stratégies OS Management
- OS Management Hub : reportez-vous à Stratégies OS Management Hub
- Détails relatifs à Process Automation
- Détails de la file d'attente
- Détails du service Quotas
- Détails relatifs à Container Registry
- Détails relatifs à Resource Manager
- Détails du service Search
- Détails pour les bureaux sécurisés
- Zones de sécurité : reportez-vous à Stratégies Cloud Guard
- Détails relatifs à Connector Hub
- Service Mesh : reportez-vous à Stratégies IAM Service Mesh
- Détails relatifs à Stack Monitoring
- Détails du service Streaming
- Détails des abonnements, des factures et de l'historique des paiements
- Threat Intelligence : reportez-vous à Stratégies Threat Intelligence
- Détails du service Vault
- Visual Builder : reportez-vous à Variables d'entrée
- Visual Builder Studio : reportez-vous à Détails de stratégie IAM pour VB Studio
- Détails relatifs à Oracle Cloud VMware Solution
- Détails pour la gestion des organisations
- Vulnerability Scanning : reportez-vous à Stratégies d'analyse.
- Détails du service WAF
- Détails du service Web Application Acceleration
Pour savoir comment créer et gérer des stratégies à l'aide de la console ou de l'API, reportez-vous à Présentation de l'utilisation des stratégies.
Verbes
Les verbes sont répertoriés de celui qui offre le moins de possibilités à celui qui en offre le plus. La signification exacte de chaque verbe dépend du type de ressource auquel il est associé. Les tableaux de cette section présentent les opérations d'API couvertes par chaque combinaison de verbe et de type de ressource.
Verbe | Types d'accès couverts | Utilisateur cible |
---|---|---|
inspect
|
Possibilité de répertorier des ressources sans accéder aux informations confidentielles ou aux métadonnées spécifiées par l'utilisateur pouvant appartenir à ces ressources. Important : l'opération permettant de répertorier les stratégies inclut le contenu des stratégies elles-mêmes. Les opérations de liste des types de ressource Networking renvoient toutes les informations (par exemple, le contenu des listes de sécurité et des tables de routage). | Auditeurs tiers |
read
|
Inclut les mêmes droits d'accès que le verbe inspect ainsi que la possibilité d'obtenir les métadonnées spécifiées par l'utilisateur et la ressource elle-même. |
Auditeurs internes |
use
|
Inclut les mêmes droits d'accès que le verbe read ainsi que la possibilité d'utiliser les ressources existantes (les actions varient en fonction du type de ressource). Inclut la possibilité de mettre à jour la ressource, sauf pour les types de ressource dans lesquels l'opération "update" a le même impact effectif que l'opération "create" (par exemple, UpdatePolicy , UpdateSecurityList , etc.), auquel cas le droit de mise à jour est uniquement disponible avec le verbe manage . En général, ce verbe n'inclut pas la possibilité de créer ou de supprimer ce type de ressource. |
Utilisateurs finals quotidiens des ressources |
manage
|
Inclut tous les droits d'accès pour la ressource. | Administrateurs |
Types de ressource
Voici quelques types de ressource de famille courants. Pour les types individuels de ressource qui composent chaque famille, suivez les liens.
all-resources
: tous les types de ressource Oracle Cloud Infrastructure.cluster-family :
reportez-vous à Détails relatifs à Container Engine for Kubernetescompute-management-family
: reportez-vous à Détails des services de base.data-catalog-family :
: reportez-vous à Stratégies Data Catalog.data-science-family
: reportez-vous à Stratégies Data Sciencedatabase-family
: reportez-vous à Détails du service Database.datasafe-family-resources
: reportez-vous à Ressources OCI pour Oracle Data Safe.dns
: reportez-vous à Détails du service DNS.email-family
: reportez-vous à Détails relatifs au service Email Delivery.file-family
: reportez-vous à Détails du service File Storage.instance-agent-command-family
: reportez-vous à Détails des services de base.instance-agent-family
: reportez-vous à Détails des services de base.instance-family
: reportez-vous à Détails des services de base.object-family
: reportez-vous à Détails relatifs à Object Storage, Archive Storage et Transfert de données.optimizer-api-family
: reportez-vous à Création de stratégies Cloud Advisor.appmgmt-family
: reportez-vous à Détails relatifs à Stack Monitoringstack-monitoring-family
: reportez-vous à Détails relatifs à Stack Monitoringvirtual-network-family
: reportez-vous à Détails des services de base.volume-family
: reportez-vous à Détails des services de base.
IAM ne possède aucun type de ressource de famille, mais uniquement des types individuels. Reportez-vous à Détails relatifs à IAM avec les domaines d'identité ou à Détails relatifs à IAM sans domaine d'identité, selon que votre location comporte ou non des domaines d'identité.
Variables générales pour toutes les demandes
Vous utilisez des variables lorsque vous ajoutez des conditions à une stratégie. Pour plus d'informations, reportez-vous à Conditions. Voici les variables générales applicables à toutes les demandes.
Nom | Type | Description |
---|---|---|
request.user.id
|
Entité (OCID) | OCID de l'utilisateur à l'origine de la demande. |
request.user.name |
Chaîne | Nom de l'utilisateur demandeur. |
request.user.mfaTotpVerified
|
Valeur booléenne |
Indique si l'utilisateur a été vérifié par le biais de l'authentification à plusieurs facteurs. Pour limiter l'accès uniquement aux utilisateurs vérifiés par le biais de l'authentification à plusieurs facteurs, ajoutez la condition suivante :
Pour plus d'informations sur la configuration de l'AMF, reportez-vous à Gestion de l'authentification à plusieurs facteurs. |
request.groups.id
|
Liste des entités (OCID) | OCID des groupes auxquels appartient l'utilisateur à l'origine de la demande. |
request.permission
|
Chaîne | Droit d'accès sous-jacent demandé (reportez-vous à Droits d'accès). |
request.operation
|
Chaîne | Nom de l'opération d'API demandée (par exemple, ListUsers). |
request.networkSource.name
|
Chaîne | Nom du groupe de sources réseau qui indique de quelles adresses IP la demande peut provenir. Pour plus d'informations, reportez-vous à Gestion des sources réseau. |
request.utc-timestamp |
Chaîne | Heure UTC de soumission de la demande, spécifiée au format ISO 8601. Pour plus d'informations, reportez-vous à Restriction de l'accès aux ressources en fonction d'une période. |
request.utc-timestamp.month-of-year |
Chaîne | Mois au cours duquel la demande est soumise, spécifié au format numérique ISO 8601 (par exemple, '1', '2', '3', ... '12'). Pour plus d'informations, reportez-vous à Restriction de l'accès aux ressources en fonction d'une période. |
request.utc-timestamp.day-of-month |
Chaîne | Jour du mois auquel la demande est soumise, spécifié au format numérique '1' - '31'. Pour plus d'informations, reportez-vous à Restriction de l'accès aux ressources en fonction d'une période. |
request.utc-timestamp.day-of-week |
Chaîne | Jour de la semaine auquel la demande est soumise, spécifié en anglais (par exemple, 'Monday', 'Tuesday', 'Wednesday', etc.). Pour plus d'informations, reportez-vous à Restriction de l'accès aux ressources en fonction d'une période. |
request.utc-timestamp.time-of-day |
Chaîne | Intervalle UTC pendant lequel la demande est soumise, au format ISO 8601 (par exemple, '01:00:00Z' AND '02:01:00Z'). Pour plus d'informations, reportez-vous à Restriction de l'accès aux ressources en fonction d'une période. |
request.region
|
Chaîne |
Clé à 3 lettres pour la région dans laquelle la demande est effectuée. Valeurs autorisées : Remarque : pour les stratégies de quota, le nom de la région doit être indiqué à la place des valeurs de clé à 3 lettres suivantes. Pour plus d'informations, reportez-vous également à Exemples de quotas.
|
request.ad
|
Chaîne | Nom du domaine de disponibilité dans lequel la demande est effectuée. Pour obtenir la liste des noms de domaine de disponibilité, utilisez l'opération ListAvailabilityDomains. |
request.principal.compartment.tag
|
Chaîne | Les balises appliquées au compartiment auquel appartient la ressource demandeuse sont évaluées à la recherche d'une correspondance. Pour obtenir des instructions d'utilisation, reportez-vous à Utilisation des balises pour gérer l'accès. |
request.principal.group.tag
|
Chaîne | Les balises appliquées aux groupes auxquels l'utilisateur appartient sont évaluées pour une recherche de correspondance. Pour obtenir des instructions d'utilisation, reportez-vous à Utilisation des balises pour gérer l'accès. |
target.compartment.name
|
Chaîne | Nom du compartiment indiqué dans target.compartment.id . |
target.compartment.id
|
Entité (OCID) |
OCID du compartiment contenant la ressource principale. Remarque : |
target.resource.compartment.tag
|
Chaîne | La balise appliquée au compartiment cible de la demande est évaluée. Pour obtenir des instructions d'utilisation, reportez-vous à Utilisation des balises pour gérer l'accès. |
target.resource.tag
|
Chaîne | La balise appliquée à la ressource cible de la demande est évaluée. Pour obtenir des instructions d'utilisation, reportez-vous à Utilisation des balises pour gérer l'accès. |