Documentation Oracle Cloud Infrastructure

Stratégies d'accès inter-locations

Utilisez des instructions de stratégie inter-locations pour créer des stratégies IAM qui fonctionnent entre les locations.

Vous pouvez créer des instructions de stratégie inter-locations, en plus des instructions de stratégie de service et d'utilisateur requises, pour partager des ressources avec une autre organisation possédant sa propre location. Cette organisation peut être une autre unité opérationnelle de votre société, un client, une société qui vous fournit des services, etc.

Pour accéder aux ressources et les partager, les administrateurs des deux locations doivent créer des instructions de stratégie spéciales qui indiquent de façon explicite les ressources accessibles et pouvant être partagées. Ces instructions spéciales utilisent les mots Define, Endorse et Admit.

Instructions Endorse, Admit et Define

Utilisez les mots de début spéciaux suivants dans les instructions inter-locations :

  • Endorse : présente l'ensemble général des actions qu'un groupe de votre location peut effectuer dans d'autres locations. L'instruction Endorse appartient toujours à la location contenant le groupe d'utilisateurs qui franchit les limites pour utiliser les ressources d'une autre location. Dans les exemples, cette location est appelée la location source.
  • Admit : indique le type de possibilité offerte dans votre location que vous voulez accorder à un groupe d'une autre location. L'instruction Admit appartient à la location accordant l'"admission". L'instruction Admit identifie le groupe d'utilisateurs nécessitant un accès aux ressources à partir de la location source, ce groupe étant identifié par une instruction Endorse correspondante. Dans les exemples, cette location est appelée la location de destination.

  • Define : affecte un alias à un OCID de location pour les instructions de stratégie Endorse et Admit. L'instruction Define est également requise dans la location de destination afin d'affecter un alias à l'OCID de groupe IAM source pour les instructions Admit.

    Incluez une instruction Define dans la même instruction de stratégie que l'instruction de stratégie Endorse ou Admit.

Les instructions Endorse et Admit sont utilisées conjointement. Une instruction Endorse réside dans la location source et une instruction Admit dans la location de destination. Sans instruction correspondante définissant l'accès, une instruction Endorse ou Admit particulière n'accorde aucun accès. Les deux locations doivent se mettre d'accord sur l'accès.

Important

Outre les instructions de stratégie, les locations cible et source doivent s'abonner aux mêmes régions pour partager les ressources.

Exemples inter-établissements

  • La stratégie suivante permet au groupe StorageAdmins de gérer les ressources dans les ressources Object Storage de la location de destination :

    Endorse group StorageAdmins to manage object-family in any-tenancy

    Les instructions de stratégie suivantes approuvent le groupe IAM StorageAdmins de la location source pour qu'il puisse effectuer n'importe quelle opération sur toutes les ressources Object Storage de la location de destination :

    Define tenancy SourceTenancy as ocid1.tenancy.oc1.exampleuniqueID
Define group StorageAdmins as ocid1.group.oc1.exampleuniqueID
Admit group StorageAdmins of tenancy SourceTenancy to manage object-family in tenancy

  • Pour écrire une stratégie qui réduit la portée de l'accès à la location, l'administrateur source doit référencer l'OCID de location de destination fourni par l'administrateur de destination. Les instructions de stratégie suivantes approuvent le groupe IAM StorageAdmins pour qu'il puisse gérer les ressources Object Storage dans DestinationTenancy uniquement :

    Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group StorageAdmins to manage object-family in tenancy DestinationTenancy

    Les exemples d'instruction de stratégie suivants approuvent le groupe IAM StorageAdmins de la location source pour qu'il puisse gérer les ressources Object Storage du compartiment SharedBuckets uniquement :

    Define tenancy SourceTenancy as ocid1.tenancy.oc1..exampleuniqueID
Define group StorageAdmins as ocid1.group.oc1..exampleuniqueID
Admit group StorageAdmins of tenancy SourceTenancy to manage object-family in compartment SharedBuckets