Verbes
L'élément verbe d'une instruction de stratégie indique le type d'accès. Par exemple, utilisez inspect pour permettre aux auditeurs tiers de répertorier les ressources spécifiées.
Les verbes permettant de créer des stratégies IAM sont définis par Oracle.
Du moins à la plupart des accès, les verbes suivants sont possibles :
- inspect
- read
- use
- manage
Accès général couvert par chaque verbe
Voici les types généraux d'accès et les utilisateurs cible pour chaque verbe possible, qui sont classés du moins possible au plus grand nombre d'accès. Certaines ressources prennent en charge les exceptions. Voir
| Verbe | Utilisateur cible | Types d'accès couverts |
|---|---|---|
inspect
|
Auditeurs tiers | Possibilité de répertorier des ressources sans accéder aux informations confidentielles ou aux métadonnées indiquées par l'utilisateur pouvant apparaitre dans ces ressources. Important : l'opération permettant de répertorier les stratégies inclut le contenu des stratégies elles-mêmes. Les opérations permettant de répertorier des types de ressource Networking renvoient toutes les informations (par exemple, le contenu des listes de sécurité et les tables d'acheminement). |
read
|
Auditeurs internes | Inclut les mêmes droits d'accès que le verbe inspect ainsi que la possibilité d'obtenir les métadonnées spécifiées par l'utilisateur et la ressource elle-même. |
use
|
Utilisateurs finals quotidiens des ressources | Inclut les mêmes droits d'accès que le verbe read ainsi que la possibilité d'utiliser les ressources existantes (les actions varient en fonction du type de ressource). Inclut la possibilité de mettre à jour la ressource, sauf pour les types de ressources dans lesquels l'opération "update" a le même impact effectif que l'opération "create" (par exemple, UpdatePolicy, UpdateSecurityList, etc.). Dans ce cas, la possibilité de mettre à jour est uniquement disponible avec le verbe manage. En général, ce verbe n'inclut ni la possibilité de créer ni de supprimer ce type de ressource. |
manage
|
Administrateurs | Inclut tous les droits d'accès pour la ressource. |
Le verbe fournit un certain type d'accès général (par exemple, inspect vous permet de répertorier et d'obtenir des ressources). Lorsque vous associez ensuite un type d'accès à un type de ressource particulier dans une stratégie (par exemple, Allow group XYZ to inspect compartments in the tenancy), vous octroyez à ce groupe l'accès à un ensemble spécifique de droits d'accès et d'opérations d'API (par exemple, ListCompartments, GetCompartment). Pour obtenir d'autres exemples, reportez-vous à Détails des combinaisons de verbe et de type de ressource. La Référence de stratégie de service détaillée comprend un tableau similaire pour chaque service, vous donnant la liste des opérations d'API couvertes pour chaque combinaison de verbe et du type de ressource.
Il existe des exceptions ou des nuances spéciales pour certains types de ressource.
Utilisateurs : l'accès à manage users et manage groups vous permet d'effectuer n'importe quelle opération avec les utilisateurs et les groupes, y compris créer et supprimer des utilisateurs et des groupes, et ajouter ou supprimer des utilisateurs à un groupe. Pour ajouter des utilisateurs à des groupes ou en enlever sans disposer des droits d'accès de création ou de suppression d'utilisateurs et de groupes, vous avez seulement besoin de use users et use groups. Reportez-vous à Modèles de stratégie de générateur de stratégies.
Stratégies : la possibilité de mettre à jour une stratégie n'est disponible qu'avec le biais de manage policies, et non de use policies, car la mise à jour d'une stratégie est semblable à celle de l'ajout d'une stratégie (vous pouvez écraser les instructions existantes). En outre, inspect policies permet d'obtenir tout le contenu des stratégies.
Objets Object Storage : inspect objects vous permet de répertorier tous les objets d'un bucket ainsi que d'effectuer une opération HEAD pour un objet particulier. En comparaison, read objects vous permet de télécharger l'objet lui-même.
Ressources d'équilibreur de charge : n'oubliez pas que inspect load-balancers vous permet d'obtenir toutes les informations concernant vos équilibreurs de charge et les composants associés (ensembles de backend, etc.).
Ressources de réseau:
Gardez à l'esprit que le verbe inspect ne renvoie pas uniquement des informations générales sur les composants du réseau cloud (par exemple, le nom et l'OCID d'une liste de sécurité ou d'une table de routage). Il inclut également le contenu du composant (par exemple, les règles réelles dans la liste de sécurité, les routages de la table de routage, etc.).
En outre, les types d'action suivants ne sont disponibles qu'avec le verbe manage, et non avec le verbe use :
- Mettre à jour (activer/désactiver) les passerelles Internet (
internet-gateways) - Mettre à jour les listes de sécurité (
security-lists) - Mettre à jour les tables de routage (
route-tables) - Mettre à jour les options DHCP (
dhcp-options) - Attachement d'une passerelle de routage dynamique (DRG) à un réseau cloud virtuel (VCN)
- Créer une connexion IPSec entre une passerelle de routage dynamique et un CPE (Customer-Premises Equipment)
- Appairer des réseaux cloud virtuels
Chaque réseau cloud virtuel dispose de divers composants qui influent directement sur le comportement du réseau (tables de routage, listes de sécurité, options DHCP, passerelle Internet, etc.). Lorsque vous créez l'un de ces composants, vous établissez une relation entre celui-ci et le réseau cloud virtuel, ce qui signifie qu'une stratégie doit vous autoriser à créer le composant et à gérer le réseau cloud virtuel. Cependant, la possibilité de mettre à jour ce composant (pour modifier les règles de routage, les règles de liste de sécurité, etc.) n'exige pas l'autorisation de gérer le VCN lui-même, même si la modification de ce composant peut affecter directement le comportement du réseau. Cette divergence est conçue pour vous donner la flexibilité nécessaire pour accorder le moindre privilège aux utilisateurs et ne pas vous obliger à accorder un accès excessif au VCN afin que l'utilisateur puisse gérer d'autres composants du réseau. Gardez à l'esprit qu'en donnant à un utilisateur la possibilité de mettre à jour un type de composant particulier, vous lui faites implicitement confiance pour contrôler le comportement du réseau.