Documentation Oracle Cloud Infrastructure

Présentation des stratégies IAM

Les stratégies IAM régissent le contrôle des ressources dans les locations Oracle Cloud Infrastructure (OCI).

Une stratégie contient des instructions de stratégie. Chaque instruction utilise une syntaxe de base ou conditionnelle.

Syntaxe de base :

Allow <subject> to <verb> <resource> in <location>

Syntaxe conditionnelle :

Allow <subject> to <verb> <resource> in <location> where <conditions>

Le tableau suivant explique brièvement les éléments de la syntaxe et fournit des liens vers des informations détaillées sur chaque élément.

Elément Description
Autorisation Mot de début obligatoire. Une instruction de stratégie commence toujours par le mot Allow. Les stratégies ne font qu'autoriser l'accès ; elles ne peuvent pas le refuser.
<sujet >

Utilisateur, groupe ou autre principal auquel l'accès doit être accordé. Le sujet inclut le type et l'identificateur de principal (nom ou OCID) et est précédé du nom du domaine d'identité, sauf si le domaine d'identité par défaut est utilisé.

Un administrateur de votre organisation définit les groupes et les compartiments dans votre location. 

Allow group <identity_domain_name>/<group_name> to <verb> <resource-type> in tenancy
<verbe> Niveau d'accès. Oracle définit les verbes et les types de ressource possibles que vous pouvez utiliser dans les stratégies. Reportez-vous à Verbes.
<resource>

Ressources auxquelles la politique accorde l'accès. Oracle définit les types de ressource que vous pouvez utiliser dans les stratégies. Reportez-vous à Ressources. Certaines opérations d'API nécessitent l'accès à plusieurs types de ressource. Par exemple, LaunchInstance nécessite de pouvoir créer des instances et d'utiliser un réseau cloud. L'opération CreateVolumeBackup nécessite un accès au volume et à la sauvegarde de volume. Cela nécessite des instructions de stratégie distinctes pour donner accès à chaque type de ressource. Ces instructions individuelles n'ont pas besoin de se trouver dans la même stratégie. Un utilisateur peut obtenir l'accès requis en étant dans différents groupes.

<location>

(Facultatif) Compartiment ou location auquel la stratégie s'applique. Pour un compartiment, la valeur inclut un identificateur (nom ou OCID).

Parfois, la stratégie doit s'appliquer à l'ensemble de la location, et non à un compartiment dans la location. Voici un exemple d'instruction de stratégie propre à un compartiment, dans laquelle <location> est un compartiment spécifique :

Allow group <identifier> to <verb> <resource> in compartment <identifier>

Voici un exemple d'instruction de stratégie à l'échelle de la location, dans laquelle <location> est une location :

Allow group <identifier> to <verb> <resource> in tenancy
<condition> (Facultatif) Limite l'accès à une ressource.
Diagramme ferroviaire de la structure de stratégie IAM

OCI vous permet également de créer des stratégies inter-locations. Pour plus d'informations, reportez-vous à Stratégies d'accès inter-location.

Stratégies inter-locations

Les instructions de stratégie inter-locations permettent aux sujets d'utiliser des ressources dans d'autres locations. Reportez-vous à Stratégies d'accès inter-locations.