Documentation Oracle Cloud Infrastructure

Référence de stratégie

Découvrez les rubriques de référence de stratégie IAM, y compris les verbes, les types de ressource et les variables générales.

Cette référence comprend les éléments suivants :

Pour savoir comment créer et gérer des stratégies à l'aide de la console ou de l'API, reportez-vous à Présentation de l'utilisation des stratégies.

Verbes

Les verbes sont répertoriés de celui qui offre le moins de possibilités à celui qui en offre le plus. La signification exacte de chaque verbe dépend du type de ressource auquel il est associé. Les tableaux de cette section présentent les opérations d'API couvertes par chaque combinaison de verbe et de type de ressource.

Verbe Utilisateur cible Types d'accès couverts
inspect Auditeurs tiers Possibilité de répertorier des ressources sans accéder aux informations confidentielles ou aux métadonnées spécifiées par l'utilisateur pouvant appartenir à ces ressources. Important : l'opération permettant de répertorier les stratégies inclut le contenu des stratégies elles-mêmes. Les opérations permettant de répertorier les types de ressource Networking retournent toutes les informations (par exemple, le contenu des listes de sécurité et des tables de routage).
read Auditeurs internes Inclut les mêmes droits d'accès que le verbe inspect ainsi que la possibilité d'obtenir les métadonnées spécifiées par l'utilisateur et la ressource elle-même.
use Utilisateurs finals quotidiens des ressources Inclut les mêmes droits d'accès que le verbe read ainsi que la possibilité d'utiliser les ressources existantes (les actions varient en fonction du type de ressource). Inclut la possibilité de mettre à jour la ressource, sauf pour les types de ressource dans lesquels l'opération de mise à jour a le même impact effectif que l'opération de création (par exemple, UpdatePolicy, UpdateSecurityList, etc), auquel cas la possibilité de mise à jour est uniquement disponible avec le verbe manage. En général, ce verbe n'inclut pas la possibilité de créer ou de supprimer ce type de ressource.
manage Administrateurs Inclut tous les droits d'accès pour la ressource.

Types de ressource

Quelques types de ressources de famille courants sont répertoriés ci-dessous. Pour les types individuels de ressource qui composent chaque famille, suivez les liens.

IAM ne dispose d'aucun type de ressource de famille, mais uniquement d'un type individuel. Reportez-vous à Présentation des stratégies IAM ou à Détails relatifs à IAM sans domaine d'identité, selon que votre location comporte ou non des domaines d'identité.

Variables générales pour toutes les demandes

Vous utilisez des variables lorsque vous ajoutez des conditions à une stratégie. Pour plus d'informations, reportez-vous à Conditions. Voici les variables générales applicables à toutes les demandes.

Nom Type Description
request.user.id Entité (OCID) OCID de l'utilisateur à l'origine de la demande.
request.user.name Chaîne Nom de l'utilisateur demandeur.
request.user.mfaTotpVerified Valeur booléenne

Indique si l'utilisateur a été vérifié par le biais de l'authentification à plusieurs facteurs. Pour limiter l'accès uniquement aux utilisateurs vérifiés par le biais de l'authentification à plusieurs facteurs, ajoutez la condition suivante :

where request.user.mfaTotpVerified='true'

Pour plus d'informations sur la configuration de l'authentification à plusieurs facteurs, reportez-vous à Gestion de l'authentification à plusieurs facteurs.
request.groups.id Liste des entités (OCID) OCID des groupes auxquels appartient l'utilisateur à l'origine de la demande.
request.permission Chaîne Droit d'accès sous-jacent demandé (reportez-vous à Droits d'accès).
request.operation Chaîne Nom de l'opération d'API demandée (par exemple, ListUsers).
request.networkSource.name Chaîne Nom du groupe de sources réseau qui indique de quelles adresses IP la demande peut provenir. Pour plus d'informations, reportez-vous à Gestion des sources réseau.
request.utc-timestamp Chaîne Heure UTC de soumission de la demande, spécifiée au format ISO 8601. Pour plus d'informations, reportez-vous à Restriction de l'accès aux ressources en fonction d'une période.
request.utc-timestamp.month-of-year Chaîne Mois au cours duquel la demande est soumise, spécifié au format numérique ISO 8601 (par exemple, '1', '2', '3', ... '12'). Pour plus d'informations, reportez-vous à Restriction de l'accès aux ressources en fonction d'une période.
request.utc-timestamp.day-of-month Chaîne Jour du mois auquel la demande est soumise, spécifié au format numérique '1' - '31'. Pour plus d'informations, reportez-vous à Restriction de l'accès aux ressources en fonction d'une période.
request.utc-timestamp.day-of-week Chaîne Jour de la semaine auquel la demande est soumise, spécifié en anglais (par exemple, 'Monday', 'Tuesday', 'Wednesday', etc.). Pour plus d'informations, reportez-vous à Restriction de l'accès aux ressources en fonction d'une période.
request.utc-timestamp.time-of-day Chaîne Intervalle UTC pendant lequel la demande est soumise, au format ISO 8601 (par exemple, '01:00:00Z' AND '02:01:00Z'). Pour plus d'informations, reportez-vous à Restriction de l'accès aux ressources en fonction d'une période.
request.region Chaîne

Clé à 3 lettres pour la région dans laquelle la demande est effectuée. Valeurs autorisées :

Remarque : pour les stratégies de quota, le nom de région doit être indiqué à la place des valeurs de clé à 3 lettres suivantes. Pour plus d'informations, reportez-vous également à Exemples de quota.

  • AMS : Nord-ouest des Pays-Bas (Amsterdam)
  • ARN : Centre de la Suède (Stockholm)
  • AUH : Centre des Emirats arabes unis (Abou Dabi)
  • BEG - utilisation pour Serbia Central (Jovanovac)
  • BOG - utilisation pour le centre de la Colombie (Bogota)
  • BOM : Ouest de l'Inde (Mumbai)
  • CDG : Centre de la France (Paris)
  • CWL : Ouest du Royaume-Uni (Newport)
  • DXB : Est des Emirats arabes unis (Dubaï)
  • FRA : Allemagne centrale (Francfort)
  • GRU : Est du Brésil (São Paulo)
  • HSG - utilisation pour le nord de l'Indonésie (Batam)
  • HYD : Sud de l'Inde (Hyderabad)
  • IAD : Est des Etats-Unis (Ashburn)
  • ICN : Centre de la Corée du Sud (Séoul)
  • JED : Ouest de l'Arabie saoudite (Djeddah)
  • JNB : Centre de l'Afrique du Sud (Johannesburg)
  • KIX : Centre du Japon (Osaka)
  • LHR : Sud du Royaume-Uni (Londres)
  • LIN : Nord-ouest de l'Italie (Milan)
  • MAD - utilisation pour le centre de l'Espagne (Madrid)
  • MEL : Sud-est de l'Australie (Melbourne)
  • MRS : Sud de la France (Marseille)
  • MTY - à utiliser pour le nord-est du Mexique (Monterrey)
  • MTZ : Centre d'Israël (Jérusalem)
  • NRT : Est du Japon (Tokyo)
  • ORD - utilisation pour le Midwest des Etats-Unis (Chicago)
  • PHX : Ouest des Etats-Unis (Phoenix)
  • QRO : Centre du Mexique (Querétaro)
  • RUH - utilisation pour le centre de l'Arabie saoudite (Riyad)
  • SCL - utilisation pour le centre du Chili (Santiago)
  • SIN : Singapour (Singapour)
  • SJC : Ouest des Etats-Unis (San José)
  • SYD : Est de l'Australie (Sydney)
  • VAP - utilisation pour l'ouest du Chili (Valparaiso)
  • VCP : Sud-est du Brésil (Vinhedo)
  • XSP - utilisation pour l'ouest de Singapour (Singapour)
  • YNY : Nord de la Corée du Sud (Chuncheon)
  • YUL : Sud-est du Canada (Montréal)
  • YYZ : Sud-est du Canada (Toronto)
  • ZRH : Nord de la Suisse (Zurich)
request.ad Chaîne Nom du domaine de disponibilité dans lequel la demande est effectuée. Pour obtenir la liste des noms de domaine de disponibilité, utilisez l'opération ListAvailabilityDomains.
request.principal.compartment.tag Chaîne Les balises appliquées au compartiment auquel appartient la ressource demandeuse sont évaluées à la recherche d'une correspondance. Pour obtenir des instructions d'utilisation, reportez-vous à Utilisation des balises pour gérer l'accès.
request.principal.group.tag Chaîne Les balises appliquées aux groupes auxquels l'utilisateur appartient sont évaluées pour une recherche de correspondance. Pour obtenir des instructions d'utilisation, reportez-vous à Utilisation des balises pour gérer l'accès.
target.compartment.name Chaîne Nom du compartiment indiqué dans target.compartment.id.
target.compartment.id Entité (OCID)

OCID du compartiment contenant la ressource principale.

Remarque : target.compartment.id et target.compartment.name ne peuvent pas être utilisés avec une opération d'API de liste pour filtrer la liste en fonction de l'accès de l'utilisateur à l'origine de la demande au compartiment.

target.resource.compartment.tag Chaîne  La balise appliquée au compartiment cible de la demande est évaluée. Pour obtenir des instructions d'utilisation, reportez-vous à Utilisation des balises pour gérer l'accès.
target.resource.tag Chaîne  La balise appliquée à la ressource cible de la demande est évaluée. Pour obtenir des instructions d'utilisation, reportez-vous à Utilisation des balises pour gérer l'accès.