Documentation Oracle Cloud Infrastructure

Gestion des stratégies

Cette rubrique explique comment créer, modifier et supprimer des stratégies.

Stratégie IAM requise

Si vous appartenez au groupe d'administrateurs, vous disposez de l'accès requis pour gérer les stratégies.

Si vous ne connaissez pas les stratégies, reportez-vous à Introduction aux stratégies et à Stratégies courantes. Si vous souhaitez en savoir plus sur l'écriture de stratégies permettant de déterminer quels autres utilisateurs peuvent écrire des stratégies ou gérer d'autres composants d'IAM, reportez-vous à Autoriser un administrateur de compartiment à gérer le compartiment et à Détails relatifs à IAM sans domaine d'identité.

Balisage des ressources

Appliquez des balises à vos ressources afin de les organiser selon les besoins de votre entreprise. Appliquer des balises lors de la création d'une ressource ou mettre à jour la ressource ultérieurement avec les balises souhaitées. Pour obtenir des informations générales sur l'application de balises, reportez-vous à Balises de ressource.

Utilisation des stratégies

Si vous ne l'avez pas déjà fait, lisez Fonctionnement des stratégies pour comprendre les bases du fonctionnement des stratégies.

Lors de la création d'une stratégie, vous devez indiquer le compartiment auquel elle doit être attachée, à savoir la location (compartiment racine) ou un autre compartiment. L'emplacement d'attachement détermine qui peut la modifier ou la supprimer ultérieurement. Pour plus d'informations, reportez-vous à Attachement de stratégie. Lorsque vous créez la stratégie dans la console, vous l'attachez à un compartiment en la créant dans ce compartiment. Si vous utilisez l'API, vous indiquez l'identificateur du compartiment dans la demande CreatePolicy.

Lorsque vous créez une stratégie, vous devez également lui attribuer un nom qui ne peut pas être modifié. Ce nom doit être unique dans toutes les stratégies du compartiment dans lequel vous créez la vôtre. Vous devez également fournir une description de la stratégie. Elle n'a pas besoin d'être unique et peut être modifiée. Oracle affecte également à la stratégie un ID unique, appelé OCID (Oracle Cloud ID). Pour plus d'informations, reportez-vous à Identificateurs de ressource.

Remarque

Si vous supprimez une stratégie, puis en créez une autre avec le même nom, elles seront considérées comme des stratégies distinctes car elles auront des OCID différents.

Pour plus d'informations sur l'écriture d'une stratégie, reportez-vous à Fonctionnement des stratégies et à Syntaxe de stratégie. Lorsque vous utilisez la console pour écrire des stratégies, vous pouvez passer par le générateur de stratégies pour construire la syntaxe des stratégies à ajouter.

Lorsque vous créez une stratégie, que vous apportez des modifications à une stratégie existante ou que vous en supprimez une, vos modifications sont généralement appliquées dans les 10 secondes qui suivent.

Vous pouvez consulter la liste de vos stratégies dans la console ou à l'aide de l'API. Dans la console, la liste est automatiquement filtrée pour n'afficher que les stratégies attachées au compartiment que vous visualisez. Pour déterminer les stratégies s'appliquant à un groupe donné, vous devez afficher les instructions individuelles dans toutes vos stratégies. Il est impossible d'obtenir automatiquement ces informations dans la console ou l'API.

Pour plus d'informations sur le nombre de stratégies dont vous pouvez disposer, reportez-vous à Limites de service.

Ecriture d'instructions de stratégie à l'aide du générateur de stratégies

Le générateur de stratégies de la console vous aide à créer rapidement des stratégies courantes sans avoir à saisir manuellement les instructions de stratégie. Le générateur de stratégies suggère automatiquement les droits d'accès qu'un administrateur peut accorder à des groupes d'utilisateurs ou de ressources dans leur location, ainsi qu'à des ressources cible telles que des instances, des réseaux et des buckets. La plupart des stratégies suggérées dans le générateur de stratégies sont également disponibles dans Stratégies courantes, où vous trouverez plus de détails sur l'accès fourni par chaque stratégie et les cas d'emploi associés à chacune. Les utilisateurs qui n'ont pas besoin des suggestions proposées par le générateur de stratégies ou qui ont des exigences de stratégie plus complexes peuvent ignorer l'option de base du générateur et accéder directement à l'éditeur avancé, où vous pouvez saisir directement les instructions de stratégie dans une zone de texte à format libre.

Fonctionnalités du générateur de stratégies

Le générateur de stratégies fournit des modèles de stratégie que vous pouvez compléter afin de créer des stratégies pour votre location. Un modèle de stratégie inclut toutes les instructions nécessaires pour fournir les droits d'accès permettant d'effectuer une tâche ou un ensemble de tâches associées dans un service d'OCI. Pour compléter le modèle, sélectionnez le groupe dans le menu des groupes existants, et sélectionnez l'emplacement dans la liste des compartiments de la location.

Les modèles de stratégie du générateur de stratégies sont regroupés par cas d'emploi (gestion du réseau, gestion du stockage et gestion des comptes, par exemple) afin de faciliter la navigation et la recherche de l'ensemble de droits d'accès dont vous avez besoin.

Par exemple, supposons que vous configurez les administrateurs réseau de votre location. Vous devez accorder à un groupe d'utilisateurs les droits d'accès requis pour travailler avec toutes les ressources du service Networking. Pour créer cette stratégie dans le générateur de stratégies, procédez comme suit :

  • Commencez par rechercher la stratégie voulue : dans le menu Cas d'emploi de stratégie, sélectionnez Gestion du réseau. Si vous n'êtes pas sûr du cas d'emploi auquel une stratégie appartient, vous pouvez laisser cette option définie sur Tout pour parcourir tous les modèles.
  • Dans le menu Modèles de stratégie courante, sélectionnez Autoriser les administrateurs réseau à gérer un réseau cloud.

    Le générateur de stratégies affiche les instructions de stratégie qui seront créées. Dans ce cas, nous n'avons qu'une instruction :

    Allow {group name} to manage virtual-network-family in {location}
  • Maintenant, vous devez simplement sélectionner le groupe et l'emplacement pour la stratégie : lorsque vous sélectionnez un groupe, {group name} dans l'instruction de stratégie affichée est également mis à jour avec votre sélection.
  • Enfin, sélectionnez l'emplacement. Vous pouvez parcourir la hiérarchie de compartiment pour rechercher et sélectionner le compartiment approprié. Pour créer la stratégie dans la location, choisissez le compartiment racine.

    Cette image présente le générateur de stratégies avec la stratégie d'administration réseau.

Personnalisation des stratégies

Si vous constatez qu'un modèle ne répond pas exactement à vos besoins, vous pouvez personnaliser les stratégies fournies en ajoutant ou enlevant des instructions, en ajoutant des conditions ou en appliquant d'autres modifications pour créer la stratégie qui vous convient. Cliquez sur Personnaliser (Avancé) pour modifier les instructions dans une zone de texte à format libre. Lorsque vous entrez des instructions directement dans la zone de texte, veillez à respecter les règles de syntaxe de stratégie.

Exemples de personnalisation de la stratégie d'administration réseau :

  • Vous devez inclure un autre groupe, GroupB, dans cette stratégie. Pour ajouter un groupe :

    Cliquez sur Personnaliser (Avancé). Dans la zone de texte, saisissez les modifications à apporter à la stratégie (en suivant la syntaxe requise). 

    Allow group GroupA, GroupB to manage virtual-network-family in compartment CompartmentA

    Cette image présente la zone de texte avancée du générateur de stratégies avec l'instruction modifiée.

  • Vous devez ajouter une condition à l'instruction. Par exemple, vous voulez vous assurer que seuls les utilisateurs vérifiés par l'authentification à plusieurs facteurs peuvent gérer vos réseaux. Vous pouvez ajouter cette condition à l'instruction comme suit :
    Allow group GroupA to manage virtual-network-family in compartment CompartmentA where request.user.mfaTotpVerified='true'

    Cette image présente la zone de texte avancée du générateur de stratégies avec l'instruction modifiée.

  • Vous voulez ajouter une autre instruction à la stratégie. Par exemple, vous voulez que GroupA soit autorisé à utiliser des instances. Pour ajouter une autre instruction, entrez-la sur la ligne suivante :
    Allow group GroupA to manage virtual-network-family in compartment CompartmentA
Allow group GroupA to use instance-family in compartment CompartmentA
  • Cette image présente la zone de texte avancée du générateur de stratégies avec l'instruction modifiée.

Modification de stratégies avec le générateur de stratégies

Une fois que vous avez créé la stratégie, vous pouvez entrer les modifications d'instruction que vous devez apporter directement dans le texte de la stratégie. Le sélecteur de modèle est disponible uniquement lors de la création d'une stratégie. L'éditeur permet de supprimer, d'ajouter ou de modifier des instructions, ou d'en modifier l'ordre.

Cette image présente l'éditeur avancé du générateur de stratégies avec deux instructions.

Utilisation de la console

Procédure de création d'une stratégie.

Prérequis : le groupe et le compartiment pour lesquels vous écrivez la stratégie doivent déjà exister.

  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Stratégies. La liste des stratégies du compartiment en cours de visualisation apparaît.
  2. Cliquez sur Créer une stratégie.
  3. Entrez les informations suivantes :
    • Nom : nom unique de la stratégie. Le nom doit être unique parmi toutes les stratégies de votre location. Vous ne pouvez pas modifier cet élément ultérieurement. Evitez de saisir des informations confidentielles.
    • Description : description conviviale. Vous pourrez modifier cet élément ultérieurement si vous le souhaitez.
    • Compartiment : si vous voulez attacher la stratégie à un compartiment différent de celui que vous visualisez, sélectionnez-le dans la liste. L'emplacement d'attachement de la stratégie détermine qui peut la modifier ou la supprimer ultérieurement (reportez-vous à Attachement de stratégie).
  4. Entrez les instructions de stratégie à l'aide du générateur de stratégies. Utilisez l'option De base si vous voulez choisir parmi les modèles de stratégie courants, que vous pouvez également personnaliser. Utilisez l'option Personnaliser (Avancé) si vous savez déjà comment écrire les instructions dont vous avez besoin et que vous souhaitez simplement les saisir dans une zone de texte.
    Pour utiliser l'option De base du générateur de stratégies, procédez comme suit :
    1. Sélectionnez une option dans le menu Cas d'emploi de stratégie pour filtrer la liste des modèles de stratégie. Si vous ne savez pas quel cas d'emploi choisir, vous pouvez parcourir tous les modèles dans la liste Modèles de stratégie courante.
    2. Dans la liste Modèles de stratégie courante, sélectionnez le modèle qui répond le mieux à vos exigences.

      Le générateur de stratégies affiche la description de la stratégie choisie et répertorie les instructions qu'il inclut.

    3. Sélectionnez le groupe auquel cette stratégie s'applique.
    4. Sélectionnez un emplacement. L'emplacement est le compartiment auquel cette stratégie accorde l'accès. Le compartiment choisi ici doit être le compartiment auquel vous avez attaché la stratégie à l'étape 3 ou un compartiment dans sa hiérarchie.
    5. Si vous devez modifier les instructions de stratégie, cliquez sur Personnaliser (Avancé).
    Pour utiliser l'option Personnaliser (Avancé), procédez comme suit :
    1. Cliquez sur Personnaliser (Avancé).
    2. Entrez ou modifiez des instructions de stratégie selon le format décrit dans Syntaxe de stratégie, en saisissant une instruction par ligne.
  5. Pour ajouter des balises à cette stratégie, cliquez sur Afficher les options avancées. Si vous êtes autorisé à créer une ressource, vous disposez également des droits d'accès nécessaires pour lui appliquer des balises à format libre. Pour appliquer une balise définie, vous devez disposer de droits d'accès permettant d'utiliser l'espace de noms de balise. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'êtes pas certain d'appliquer des balises, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des balises ultérieurement.
  6. Pour créer une autre stratégie, sélectionnez Créer une autre stratégie.
  7. Cliquez sur Créer.

La nouvelle stratégie est généralement appliquée dans les 10 secondes qui suivent.

Procédure d'obtention de la liste des stratégies

Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Stratégies. La liste des stratégies du compartiment en cours de visualisation apparaît. Si vous voulez visualiser les stratégies attachées à un autre compartiment, sélectionnez ce dernier dans la liste située à gauche. Vous ne pouvez pas obtenir une seule liste contenant toutes les stratégies ; elles sont toujours affichées par compartiment.

Pour déterminer les stratégies s'appliquant à un groupe donné, vous devez afficher les instructions individuelles dans toutes vos stratégies. Il est impossible d'obtenir automatiquement ces informations dans la console.

Procédure de mise à jour de la description d'une stratégie existante

Cette option n'est disponible que via l'API. Une solution de contournement consiste à créer une stratégie avec la nouvelle description et à supprimer l'ancienne stratégie.

Procédure de mise à jour des instructions d'une stratégie existante
  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Stratégies. La liste des stratégies du compartiment en cours de visualisation apparaît. Si vous ne voyez pas celui que vous recherchez, vérifiez que vous visualisez le bon compartiment (sélectionnez-le dans la liste située à gauche de la page).
  2. Cliquez sur la stratégie à mettre à jour. Les détails et les instructions de la stratégie apparaissent.
  3. Cliquez sur Modifier les instructions de stratégie. Utilisez l'option De base du générateur de stratégies si vous voulez interagir avec les instructions à l'aide de contrôles graphiques. Utilisez l'option Avancé du générateur de stratégies pour modifier les instructions dans une zone de texte simple.

    Utilisez l'option De base comme suit :

    • Pour réviser une instruction, entrez les modifications selon le format indiqué dans Notions de base relatives aux stratégies et dans Syntaxe de stratégie.
    • Pour ajouter une instruction, cliquez sur + Autre instruction et entrez l'instruction en respectant le format requis.
    • Pour supprimer une instruction, cliquez sur la croix (X) en regard de l'instruction.
    • Pour modifier l'ordre des instructions, utilisez les flèches vers le haut et vers le bas pour déplacer les instructions dans l'ordre approprié, ou cliquez sur la poignée pour glisser-déplacer les instructions dans la position souhaitée.
    Utilisez l'option Avancé comme suit :
  4. Cliquez sur Enregistrer les modifications une fois les modifications apportées.

Vos modifications sont généralement appliquées dans les 10 secondes qui suivent.

Procédure de suppression d'une stratégie.
  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Stratégies. La liste des stratégies du compartiment en cours de visualisation apparaît. Si vous ne voyez pas celui que vous recherchez, vérifiez que vous visualisez le bon compartiment (sélectionnez-le dans la liste située à gauche de la page).
  2. Cliquez sur l'option Supprimer correspondant à la stratégie à supprimer.
  3. Confirmez l'opération lorsque vous y êtes invité.

Vos modifications sont généralement appliquées dans les 10 secondes qui suivent.

Procédure d'application de balises à une stratégie

Pour obtenir des instructions, reportez-vous à Balises de ressource.

Utilisation de l'API

Pour plus d'informations sur l'utilisation de l'API et la signature des demandes, reportez-vous à la documentation relative à l'API REST et à Informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.

Remarque

Les mises à jour ne sont pas immédiates dans toutes les régions

Vos ressources IAM résident dans votre région d'origine. Pour appliquer une stratégie à l'ensemble des régions, le service IAM réplique vos ressources dans chaque région. Chaque fois que vous créez ou modifiez une stratégie, un utilisateur ou un groupe, les modifications sont d'abord appliquées dans la région d'origine, puis propagées vers les autres régions. L'application des modifications à toutes les régions peut prendre plusieurs minutes. Par exemple, supposons que vous disposez d'un groupe doté de droits d'accès permettant de lancer des instances dans la location. Si vous ajoutez UserA à ce groupe, UserA pourra lancer des instances dans votre région d'origine dans la minute qui suit. Toutefois, UserA ne pourra pas lancer d'instances dans d'autres régions tant que le processus de réplication n'est pas terminé. Ce processus peut prendre plusieurs minutes. Si UserA tente de lancer une instance avant la fin de la réplication, une erreur indiquant que l'opération n'est pas autorisée est générée.

Utilisez ces opérations d'API pour gérer les stratégies :