Gestion des groupes
Cette rubrique décrit les notions de base de l'utilisation des groupes.
Si votre location est fédérée avec Oracle Identity Cloud Service, reportez-vous à Gestion des utilisateurs et des groupes Oracle Identity Cloud Service dans la console Oracle Cloud Infrastructure pour gérer des groupes.
Stratégie IAM requise
Si vous appartenez au groupe d'administrateurs, vous disposez de l'accès requis pour gérer les groupes.
Si vous ne connaissez pas les stratégies, reportez-vous à Introduction aux stratégies et à Stratégies courantes. Si vous souhaitez en savoir plus sur l'écriture de stratégies pour les groupes ou d'autres composants IAM, reportez-vous à Détails relatifs à IAM sans domaine d'identité.
Balisage des ressources
Appliquez des balises aux ressources afin de les organiser selon les besoins de votre entreprise. Vous pouvez appliquer des balises lorsque vous créez une ressource, et mettre à jour une ressource ultérieurement pour ajouter, réviser ou enlever des balises. Pour obtenir des informations générales sur l'application de balises, reportez-vous à Balises de ressource.
Utilisation des groupes
Lorsque vous créez un groupe, vous devez lui donner un nom unique, qui ne peut pas être modifié. Le nom doit être unique parmi tous les groupes de votre location. Vous devez également lui fournir une description (bien qu'il puisse s'agir d'une chaîne vide). Cette description n'est pas nécessairement unique et peut être modifiée. Oracle affecte également au groupe un ID unique, appelé OCID (Oracle Cloud ID). Pour plus d'informations, reportez-vous à Identificateurs de ressource.
Si vous supprimez un groupe, puis en créez un autre avec le même nom, ils seront considérés comme des groupes distincts car ils auront des OCID différents.
Un groupe ne dispose d'aucun droit d'accès tant que vous n'avez pas écrit au moins une stratégie lui permettant d'accéder à la location ou à un compartiment. Lors de l'écriture de la stratégie, vous pouvez spécifier le groupe concerné en utilisant son nom unique ou son OCID. Comme l'a indiqué précédemment, même si vous indiquez le nom du groupe dans la stratégie, IAM utilise l'OCID pour l'identifier. Pour plus d'informations sur l'écriture de stratégies, reportez-vous à Gestion des stratégies.
Vous ne pouvez supprimer un groupe que s'il est vide.
Pour plus d'informations sur le nombre de groupes dont vous pouvez disposer, reportez-vous à Limites de service.
Si vous effectuez une fédération avec un fournisseur d'identités, vous allez créer des correspondances entre les groupes de celui-ci et les groupes IAM. Pour plus d'informations, reportez-vous à Fédération avec les fournisseurs d'identités.
Utilisation de la console
- Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines. La liste des groupes de votre location s'affiche.
- Cliquez sur Créer un groupe.
- Entrez les informations suivantes :
- Nom : nom unique du groupe. Le nom doit être unique parmi tous les groupes de votre location. Vous ne pouvez pas modifier cet élément ultérieurement. Le nom doit comprendre entre 1 et 100 caractères et peut comporter les caractères suivants : minuscules a-z, majuscules A-Z, 0 à 9, point (.), tiret (-) et trait de soulignement (_). Les espaces ne sont pas autorisés. Evitez de saisir des informations confidentielles.
- Description : description conviviale. Vous pourrez modifier cet élément ultérieurement si vous le souhaitez.
- Balises : si vous êtes autorisé à créer une ressource, vous disposez également des droits d'accès nécessaires pour lui appliquer des balises à forme libre. Pour appliquer une balise defined, vous devez être autorisé à utiliser la balise namespace. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'êtes pas sûr d'appliquer des balises, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des balises ultérieurement.
- Cliquez sur Créer un groupe.
Ensuite, vous pouvez ajouter des utilisateurs au groupe ou écrire une stratégie pour celui-ci. Reportez-vous à Procédure de création d'une stratégie.
- Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines. La liste des groupes de votre location s'affiche.
- Recherchez le groupe dans la liste.
- Sélectionnez le groupe. Les détails du réseau sont affichés
- Sélectionnez Ajouter un utilisateur à un groupe.
- Sélectionnez l'utilisateur dans la liste déroulante, puis sélectionnez Ajouter un utilisateur.
- Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines. La liste des groupes de votre location s'affiche.
- Recherchez le groupe dans la liste.
- Sélectionnez le groupe pour afficher ses détails. La liste des utilisateurs du groupe apparaît.
- Recherchez l'utilisateur dans la liste.
- Sélectionnez l'option Enlever correspondant à l'utilisateur à enlever.
- Confirmez l'opération lorsque vous y êtes invité.
Prérequis : pour supprimer un groupe, celui-ci ne doit contenir aucun utilisateur.
- Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines. La liste des groupes de votre location s'affiche.
- Recherchez le groupe dans la liste.
- Sélectionnez l'option Supprimer correspondant au groupe à supprimer.
- Confirmez l'opération lorsque vous y êtes invité.
Cette option n'est disponible que via l'API. Si vous n'avez pas accès à l'API et que vous devez mettre à jour la description d'un groupe, contactez le support technique Oracle.
Utilisation de l'API
Pour plus d'informations sur l'utilisation de l'API et la signature des demandes, reportez-vous à la documentation relative à l'API REST et à Informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.
Les mises à jour ne sont pas immédiates dans toutes les régions
Vos ressources IAM résident dans votre région d'origine. Pour appliquer une stratégie à l'ensemble des régions, le service IAM réplique vos ressources dans chaque région. Chaque fois que vous créez ou modifiez une stratégie, un utilisateur ou un groupe, les modifications sont d'abord appliquées dans la région d'origine, puis propagées vers les autres régions. L'application des modifications à toutes les régions peut prendre plusieurs minutes. Par exemple, supposons que vous disposez d'un groupe doté de droits d'accès permettant de lancer des instances dans la location. Si vous ajoutez UserA à ce groupe, UserA pourra lancer des instances dans votre région d'origine dans la minute qui suit. Toutefois, UserA ne pourra pas lancer d'instances dans d'autres régions tant que le processus de réplication n'est pas terminé. Ce processus peut prendre plusieurs minutes. Si UserA tente de lancer une instance avant la fin de la réplication, une erreur indiquant que l'opération n'est pas autorisée est générée.
Utilisez ces opérations d'API pour gérer les groupes :
- CreateGroup
- ListGroups
- GetGroup
- UpdateGroup : vous ne pouvez mettre à jour que la description du groupe.
- DeleteGroup
- ListUserGroupMemberships : cette opération permet d'obtenir la liste des utilisateurs se trouvant dans un groupe ou la liste des groupes auxquels appartient un utilisateur.
- AddUserToGroup : cette opération génère un objet
UserGroupMembershipavec son propre OCID. - GetUserGroupMembership
- RemoveUserFromGroup : cette opération supprime un objet
UserGroupMembership.
Afin de connaître les opérations d'API associées aux correspondances de groupes pour les fournisseurs d'identités, reportez-vous à Fédération avec les fournisseurs d'identités.