Verbes
L'élément verbe d'une instruction de stratégie indique le type d'accès. Par exemple, utilisez inspect pour permettre aux auditeurs tiers de répertorier les ressources indiquées.
Les verbes de création de stratégies IAM sont définis par Oracle.
Du moins à la plupart des accès, les verbes suivants sont possibles :
- inspect
- read
- use
- manage
Accès général couvert par chaque verbe
Vous trouverez ci-dessous les types généraux d'accès et les utilisateurs cible pour chaque verbe possible, qui sont triés du moins à la plupart des accès. Certaines ressources prennent en charge les exceptions. Voir
| Verbe | Utilisateur cible | Types d'accès couverts |
|---|---|---|
inspect
|
Auditeurs tiers | Possibilité de répertorier des ressources sans accéder aux informations confidentielles ou aux métadonnées spécifiées par l'utilisateur pouvant appartenir à ces ressources. Important : l'opération permettant de répertorier les stratégies inclut le contenu des stratégies elles-mêmes. Les opérations permettant de répertorier les types de ressource Networking retournent toutes les informations (par exemple, le contenu des listes de sécurité et des tables de routage). |
read
|
Auditeurs internes | Inclut les mêmes droits d'accès que le verbe inspect ainsi que la possibilité d'obtenir les métadonnées spécifiées par l'utilisateur et la ressource elle-même. |
use
|
Utilisateurs finals quotidiens des ressources | Inclut les mêmes droits d'accès que le verbe read ainsi que la possibilité d'utiliser les ressources existantes (les actions varient en fonction du type de ressource). Inclut la possibilité de mettre à jour la ressource, sauf pour les types de ressource dans lesquels l'opération de mise à jour a le même impact effectif que l'opération de création (par exemple, UpdatePolicy, UpdateSecurityList, etc), auquel cas la possibilité de mise à jour est uniquement disponible avec le verbe manage. En général, ce verbe n'inclut pas la possibilité de créer ou de supprimer ce type de ressource. |
manage
|
Administrateurs | Inclut tous les droits d'accès pour la ressource. |
Le verbe fournit un certain type d'accès général (par exemple, inspect vous permet de répertorier et d'obtenir des ressources). Lorsque vous associez ensuite un type d'accès à un type de ressource particulier dans une stratégie (par exemple, Allow group XYZ to inspect compartments in the tenancy), vous octroyez à ce groupe l'accès à un ensemble spécifique de droits d'accès et d'opérations d'API (par exemple, ListCompartments, GetCompartment). Pour obtenir d'autres exemples, reportez-vous à Détails des combinaisons de verbe et de type de ressource. La référence de stratégie comprend un tableau similaire pour chaque service, vous donnant la liste des opérations d'API couvertes pour chaque combinaison de verbe et de type de ressource.
Il existe des exceptions ou des nuances spéciales pour certains types de ressource.
Utilisateurs : l'accès à manage users et à manage groups vous permet d'effectuer n'importe quelle opération sur les utilisateurs et les groupes, y compris créer et supprimer des utilisateurs et des groupes, et ajouter des utilisateurs à des groupes ou en enlever. Pour ajouter des utilisateurs à des groupes ou en enlever sans disposer des droits d'accès de création ou de suppression d'utilisateurs et de groupes, vous avez seulement besoin de use users et use groups. Reportez-vous à Modèles de stratégie du générateur de stratégies.
Stratégies : la possibilité de mettre à jour une stratégie n'est disponible que par le biais de manage policies, et non de use policies, car l'effet de la mise à jour est semblable à celui de la création d'une stratégie (vous pouvez écraser les instructions de stratégie existantes). En outre, inspect policies permet d'obtenir tout le contenu des stratégies.
objets Object Storage : inspect objects vous permet de répertorier tous les objets d'un bucket ainsi que d'effectuer une opération HEAD pour un objet particulier. En comparaison, read objects permet de télécharger l'objet lui-même.
Ressources Load Balancer : n'oubliez pas que inspect load-balancers vous permet d'obtenir toutes les informations concernant vos équilibreurs de charge et les composants associés (ensembles de back-ends, etc.).
Ressources Networking :
Gardez à l'esprit que le verbe inspect ne renvoie pas uniquement des informations générales sur les composants du réseau cloud (par exemple, le nom et l'OCID d'une liste de sécurité ou d'une table de routage). Il inclut également le contenu du composant (par exemple, les règles réelles dans la liste de sécurité, les routages de la table de routage, etc.).
En outre, les types d'action suivants ne sont disponibles qu'avec le verbe manage, et non avec le verbe use :
- Mettre à jour (activer/désactiver) les passerelles Internet (
internet-gateways) - Mettre à jour les listes de sécurité (
security-lists) - Mettre à jour les tables de routage (
route-tables) - Mettre à jour les options DHCP (
dhcp-options) - Attacher une passerelle de routage dynamique à un réseau cloud virtuel
- Créer une connexion IPSec entre une passerelle de routage dynamique et un CPE (Customer-Premises Equipment)
- Appairer des réseaux cloud virtuels
Chaque réseau cloud virtuel dispose de divers composants qui influent directement sur le comportement du réseau (tables de routage, listes de sécurité, options DHCP, passerelle Internet, etc.). Lorsque vous créez l'un de ces composants, vous établissez une relation entre celui-ci et le réseau cloud virtuel, ce qui signifie qu'une stratégie doit vous autoriser à créer le composant et à gérer le réseau cloud virtuel. Toutefois, la possibilité de mettre à jour ce composant (pour modifier les règles de routage, les règles de liste de sécurité, etc.) ne nécessite pas de droit de gestion pour le réseau cloud virtuel, même si la modification de ce composant peut influer directement sur le comportement du réseau. Cette différence est conçue pour vous permettre d'accorder moins de privilèges aux utilisateurs. Vous n'avez ainsi pas besoin d'accorder des accès excessifs au réseau cloud virtuel uniquement pour que l'utilisateur puisse gérer d'autres composants du réseau. Gardez à l'esprit qu'en donnant à un utilisateur la possibilité de mettre à jour un type de composant particulier, vous lui faites implicitement confiance pour contrôler le comportement du réseau.