Stratégies d'accès inter-location
Utilisez des instructions de stratégie inter-location pour créer des stratégies IAM qui fonctionnent dans les locations.
Vous pouvez créer des instructions de stratégie inter-locations, en plus des instructions de stratégie de service et d'utilisateur requises, pour partager des ressources avec une autre organisation disposant de sa propre location. Cette organisation peut être une autre unité opérationnelle dans votre société, un client, une société qui vous fournit des services, etc.
Pour accéder aux ressources et les partager, les administrateurs des deux locations doivent créer des instructions de stratégie spéciales qui indiquent de façon explicite les ressources accessibles et pouvant être partagées. Ces instructions spéciales utilisent les mots Define, Endorse et Admit.
Instructions Endorse, Admit et Define
Utilisez les mots de début spéciaux suivants dans les instructions inter-locations :
- Endorse : présente l'ensemble général des actions qu'un groupe de votre location peut effectuer dans d'autres locations. L'instruction Endorse appartient toujours à la location contenant le groupe d'utilisateurs qui franchit les limites pour travailler avec les ressources d'une autre location. Dans les exemples, cette location est appelée location source.
- Admit : indique le type de capacité dans votre propre location que vous voulez octroyer à un groupe d'une autre location. L'instruction Admit appartient à la location octroyant une "admission" à la location. L'instruction Admit identifie le groupe d'utilisateurs nécessitant l'accès aux ressources à partir de la location source, ce dernier étant identifié par une instruction Endorse correspondante. Dans les exemples, cette location est appelée location de destination.
-
Define : affecte un alias à un OCID de location pour les instructions de stratégie Endorse et Admit. Une instruction Define est également requise dans la location de destination afin d'affecter un alias à l'OCID de groupe IAM source pour les instructions Admit.
Incluez une instruction Define dans la même instruction de stratégie que l'instruction de stratégie Endorse ou Admit.
Les instructions Endorse et Admit sont utilisées conjointement. Une instruction Endorse réside dans la location source et qu'une instruction Admit réside dans la location de destination. Sans instruction correspondante définissant l'accès, une instruction Endorse ou Admit particulière n'accorde aucun accès. Les deux locations doivent se mettre d'accord sur l'accès.
Outre les instructions de stratégie, les locations cible et source doivent s'abonner aux mêmes régions pour partager des ressources.
Exemples inter-location
-
La stratégie suivante permet au groupe
StorageAdminsde gérer les ressources de la location de destination Object Storage :Endorse group StorageAdmins to manage object-family in any-tenancyLes instructions de stratégie suivantes approuvent le groupe IAM
StorageAdminsdans la location source pour qu'il effectue toutes les opérations sur toutes les ressources Object Storage de la location de destination :Define tenancy SourceTenancy as ocid1.tenancy.oc1.exampleuniqueID Define group StorageAdmins as ocid1.group.oc1.exampleuniqueID Admit group StorageAdmins of tenancy SourceTenancy to manage object-family in tenancy -
Pour écrire une stratégie qui réduit la portée de l'accès à l'emplacement, l'administrateur source doit référencer l'OCID d'emplacement de destination fourni par l'administrateur de destination. Les instructions de stratégie suivantes approuvent le groupe
StorageAdminsdu groupe IAM pour gérer les ressources Object Storage dansDestinationTenancyuniquement :Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID> Endorse group StorageAdmins to manage object-family in tenancy DestinationTenancyCes exemples d'instructions de stratégie approuvent le groupe IAM
StorageAdminsde la location source pour qu'il gère les ressources Object Storage uniquement du compartimentSharedBuckets:Define tenancy SourceTenancy as ocid1.tenancy.oc1..exampleuniqueID Define group StorageAdmins as ocid1.group.oc1..exampleuniqueID Admit group StorageAdmins of tenancy SourceTenancy to manage object-family in compartment SharedBuckets