Documentation Oracle Cloud Infrastructure

Présentation des stratégies IAM

Les stratégies IAM régissent le contrôle des ressources dans les locations Oracle Cloud Infrastructure (OCI).

Une stratégie contient des instructions de stratégie. Chaque instruction utilise une syntaxe de base ou conditionnelle.

Syntaxe de base :

Allow <subject> to <verb> <resource> in <location>

Syntaxe conditionnelle :

Allow <subject> to <verb> <resource> in <location> where <conditions>

Le tableau suivant explique brièvement les éléments de la syntaxe et fournit des liens vers des informations détaillées sur chaque élément.

Elément Description
Autoriser Mot de début requis. Une instruction de stratégie commence toujours par le mot Allow. Les stratégies autorisent uniquement l'accès ; elles ne peuvent pas le refuser.
<sujet>

Utilisateur, groupe ou autre principal auquel l'accès est accordé. Le sujet inclut le type et l'identificateur du principal (nom ou OCID) et est préfixé par le nom du domaine d'identité, sauf si le domaine d'identité par défaut est utilisé.

Un administrateur de votre organisation définit les groupes et les compartiments dans votre location. 

Allow group <identity_domain_name>/<group_name> to <verb> <resource-type> in tenancy
<verbe> Niveau d'accès. Oracle définit les verbes et les types de ressource que vous pouvez utiliser dans les stratégies (voir Verbes).
<ressource>

Ressources auxquelles la politique accorde l'accès. Oracle définit les types de ressource possibles que vous pouvez utiliser dans les stratégies. Reportez-vous à Ressources. Certaines opérations d'API nécessitent l'accès à différents types de ressource. Par exemple, LaunchInstance nécessite de pouvoir créer des instances et d'utiliser un réseau cloud. L'opération CreateVolumeBackup nécessite un accès au volume et à la sauvegarde de volume. Cela nécessite des instructions de stratégie distinctes pour donner accès à chaque type de ressource. Ces instructions individuelles ne doivent pas nécessairement figurer dans la même stratégie. Un utilisateur peut obtenir l'accès requis en étant dans différents groupes.

<lieu>

(Facultatif) Compartiment ou location auquel la stratégie s'applique. Pour un compartiment, la valeur inclut un identificateur (nom ou OCID).

La stratégie doit parfois s'appliquer à l'ensemble de la location, et non à un compartiment de la location. Voici un exemple d'instruction de stratégie propre à un compartiment, dans laquelle <location> est un compartiment spécifique :

Allow group <identifier> to <verb> <resource> in compartment <identifier>

Voici un exemple d'instruction de stratégie à l'échelle de la location, dans laquelle <location> est la location :

Allow group <identifier> to <verb> <resource> in tenancy
<condition> (Facultatif) Limite l'accès à une ressource.
Diagramme de la structure de la politique IAM

OCI vous permet également de créer des stratégies inter-locations. Pour plus d'informations, reportez-vous à Stratégies d'accès inter-location.

Stratégies inter-locations

Les instructions de stratégie inter-locations permettent aux sujets d'utiliser des ressources dans d'autres locations. Reportez-vous à Stratégies d'accès inter-location.