Détails relatifs à IAM avec les domaines d'identité
Cette rubrique traite des détails relatifs à l'écriture de stratégies visant à contrôler l'accès à IAM (pour les locations disposant de domaines d'identité).
Types de ressource
authentication-policies
compartments
credentials
domains
dynamic-groups
groups
iamworkrequest
identity-providers
network-sources
policies
tag-defaults
tag-namespaces
tenancies
users
workrequest
Variables prises en charge
IAM prend en charge toutes les variables générales (reportez-vous à Variables générales pour toutes les demandes) ainsi que celles répertoriées ici :
Type de ressource pour les opérations | Variables pouvant être utilisées | Type de variable | Commentaires |
---|---|---|---|
users
|
target.user.id
|
Entité (OCID) | Non disponible pour une utilisation avec CreateUser ou ListUsers. |
target.user.name
|
Chaîne | Non disponible pour une utilisation avec ListUsers. | |
target.resource.domain.id |
Entité (OCID) | ||
target.resource.domain.name |
Chaîne | ||
groups
|
target.group.id
|
Entité (OCID) | Non disponible pour une utilisation avec CreateGroup ou ListGroups. |
target.group.name
|
Chaîne | Non disponible pour une utilisation avec ListGroups. | |
target.group.member
|
Valeur booléenne |
True si request.user est membre de target.group. False si le service crée target.group. Non disponible pour une utilisation avec ListGroups. |
|
target.resource.domain.id |
Entité (OCID) | ||
target.resource.domain.name |
Chaîne | ||
dynamic-groups
|
target.dynamicgroup.id
|
Entité (OCID) | Non disponible pour une utilisation avec CreateDynamicGroup ou ListDynamicGroups. |
target.dynamicgroup.name |
Chaîne | Non disponible pour une utilisation avec CreateDynamicGroup ou ListDynamicGroups. | |
target.resource.domain.id |
Entité (OCID) | ||
target.resource.domain.name |
Chaîne | ||
policies
|
target.policy.id
|
Entité (OCID) | Non disponible pour une utilisation avec CreatePolicy ou ListPolicies. |
target.policy.name
|
Chaîne | Non disponible pour une utilisation avec ListPolicies. | |
target.policy.autoupdate |
Valeur booléenne | Non disponible pour une utilisation avec ListPolicies. | |
compartments
|
target.compartment.id
|
Entité (OCID) |
Il s'agit d'une variable universelle pouvant être utilisée avec toute demande dans l'ensemble des services (reportez-vous à Variables générales pour toutes les demandes), mais elle n'est pas disponible pour une utilisation avec ListCompartments. Pour CreateCompartment, il s'agit de la valeur du compartiment parent (par exemple, le compartiment racine). |
target.compartment.name
|
Chaîne | Il s'agit d'une variable universelle pouvant être utilisée avec toute demande dans l'ensemble des services (reportez-vous à Variables générales pour toutes les demandes), mais elle n'est pas disponible pour une utilisation avec ListCompartments. |
|
credentials |
target.credential.type |
Chaîne | Par exemple, "smtp", "switft", "secretkey". |
target.user.id |
Entité (OCID) | ||
target.user.name |
Chaîne | ||
target.resource.domain.id |
Entité (OCID) | ||
target.resource.domain.name |
Chaîne | ||
domain
|
target.domain.id
|
Entité (OCID) | Non disponible pour une utilisation avec CreateDomain ou ListDomains. |
target.domain.name
|
Chaîne | Non disponible pour une utilisation avec ListDomains. | |
tag-namespace
|
target.tag-namespace.id
|
Entité (OCID) |
Cette variable est prise en charge uniquement dans les instructions octroyant des droits d'accès pour le type de ressource |
target.tag-namespace.name
|
Chaîne | Non disponible pour une utilisation avec ListTagNamespaces. |
Détails des combinaisons de verbe et de type de ressource
Les tableaux suivants indiquent les droits d'accès et les opérations d'API couverts par chaque verbe. Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre de la façon suivante :inspect
> read
> use
> manage
. Par exemple, un groupe qui peut utiliser une ressource peut également inspecter et lire cette ressource. La présence d'un signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule située directement au-dessus, tandis que la mention "aucun élément supplémentaire" indique l'absence d'accès incrémentiel.
Par exemple, le verbe read
pour compartments ne couvre aucune opération d'API ni aucun droit d'accès supplémentaire par rapport au verbe inspect
. Le verbe use
comprend les mêmes éléments que le verbe read
, plus le droit d'accès COMPARTMENT_UPDATE et l'opération d'API UpdateCompartment
. Le verbe manage
inclut les mêmes droits d'accès et opérations d'API que le verbe use
, plus le droit d'accès COMPARTMENT_CREATE et deux opérations d'API : CreateCompartment
et DeleteCompartment
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | AUTHENTICATION_POLICY_INSPECT |
|
aucun |
read | aucun élément supplémentaire |
aucun élément supplémentaire |
aucun |
use | aucun élément supplémentaire |
aucun élément supplémentaire |
aucun |
manage | USE + AUTHENTICATION_POLICY_UPDATE |
USE +
|
aucun |
Pour déplacer un compartiment (c'est-à-dire utiliser MoveCompartment
), vous devez appartenir à un groupe disposant des droits d'accès manage all-resources
sur le compartiment parent partagé le plus bas du compartiment en cours et du compartiment de destination.
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | COMPARTMENT_INSPECT |
|
aucun |
read | aucun élément supplémentaire |
aucun élément supplémentaire |
aucun |
use | READ + COMPARTMENT_UPDATE |
READ +
|
aucun |
manage | USE + COMPARTMENT_CREATE COMPARTMENT_DELETE COMPARTMENT_RECOVER |
USE +
|
aucun |
Le type de ressource credentials
fait référence aux informations d'identification SMTP uniquement. Les droits d'accès permettant d'utiliser d'autres informations d'identification pouvant être ajoutées à un utilisateur (par exemple, des jetons d'authentification, des clés d'API et des clés secrètes client) sont inclus avec les droits d'accès de ressource users
.
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | CREDENTIAL_INSPECT |
ListSmtpCredentials
|
aucun |
read | aucun élément supplémentaire |
aucun élément supplémentaire |
aucun |
use | aucun élément supplémentaire |
aucun élément supplémentaire |
aucun |
manage | USE + CREDENTIAL_ADD CREDENTIAL_UPDATE CREDENTIAL_REMOVE |
USE +
|
aucun |
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect |
DOMAIN_INSPECT |
|
aucun |
read |
INSPECT + DOMAIN_READ DOMAIN_LICENSETYPE_READ |
|
aucun |
use |
READ + DOMAIN_UPDATE IAM_WORKREQUEST_READ |
READ +
|
aucun |
manage |
USE + DOMAIN_CREATE DOMAIN_DELETE DOMAIN_MOVE DOMAIN_REPLICATE DOMAIN_ACTIVATE DOMAIN_DEACTIVATE |
USE +
|
aucun |
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | DYNAMIC_GROUP_INSPECT |
|
No extra |
read | aucun élément supplémentaire |
aucun élément supplémentaire |
aucun élément supplémentaire |
use | READ + DYNAMIC_GROUP_UPDATE |
READ +
|
Aucun élément supplémentaire |
manage | USE + DYNAMIC_GROUP_CREATE DYNAMIC_GROUP_DELETE |
USE +
|
aucun élément supplémentaire |
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | GROUP_INSPECT |
|
|
read | aucun élément supplémentaire |
aucun élément supplémentaire |
aucun élément supplémentaire |
use | READ + GROUP_UPDATE |
READ +
|
READ +
|
manage | USE + GROUP_CREATE GROUP_DELETE |
USE +
|
aucun élément supplémentaire |
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | IDENTITY_PROVIDER_INSPECT |
|
ListIdpGroupMappings , GetIdpGroupMapping (les deux requièrent également inspect groups )
|
read | aucun élément supplémentaire |
aucun élément supplémentaire |
aucun élément supplémentaire |
use | aucun élément supplémentaire |
aucun élément supplémentaire |
aucun élément supplémentaire |
manage | USE + IDENTITY_PROVIDER_UPDATE IDENTITY_PROVIDER_CREATE IDENTITY_PROVIDER_DELETE |
USE +
|
USE +
|
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | NETWORK_SOURCE_INSPECT |
|
No extra |
read | aucun élément supplémentaire |
aucun élément supplémentaire |
aucun élément supplémentaire |
use | READ + NETWORK_SOURCE_UPDATE |
READ +
|
Aucun élément supplémentaire |
manage | USE + NETWORK_SOURCE_CREATE NETWORK_SOURCE_DELETE |
USE +
|
aucun élément supplémentaire |
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | POLICY_READ |
|
aucun |
read | aucun élément supplémentaire |
aucun élément supplémentaire |
aucun |
use | aucun élément supplémentaire |
aucun élément supplémentaire Remarque : la possibilité de mettre à jour des stratégies est disponible uniquement avec |
aucun |
manage | USE + POLICY_UPDATE POLICY_CREATE POLICY_DELETE |
USE +
|
aucun |
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | TAG_NAMESPACE_INSPECT |
|
aucun |
read | aucun élément supplémentaire |
aucun élément supplémentaire |
aucun |
use | READ + TAG_NAMESPACE_USE Remarque : afin d'appliquer, de mettre à jour ou d'enlever des balises définies pour une ressource, l'utilisateur doit disposer de droits d'accès sur la ressource ainsi que des droits d'accès permettant d'utiliser l'espace de noms de balise. |
READ +
|
aucun |
manage | USE + TAG_NAMESPACE_UPDATE TAG_NAMESPACE_CREATE TAG_NAMESPACE_MOVE TAG_NAMESPACE_DELETE |
USE +
|
aucun |
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect |
TAG_DEFAULT_INSPECT TAG_NAMESPACE_READ (Utilisez les deux autorisations) |
|
aucun |
read | aucun élément supplémentaire |
aucun élément supplémentaire |
aucun |
use | aucun élément supplémentaire |
aucun élément supplémentaire |
aucun |
manage | INSPECT + TAG_DEFAULT_CREATE TAG_DEFAULT_UPDATE TAG_DEFAULT_DELETE |
USE +
|
aucun |
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | TENANCY_INSPECT |
|
aucun |
read | aucun élément supplémentaire |
aucun élément supplémentaire |
aucun |
use | READ + TENANCY_UPDATE |
aucun élément supplémentaire |
aucun |
manage | USE + TENANCY_UPDATE |
USE +
|
aucun |
Afin d'utiliser les informations d'identification SMTP pour un utilisateur, vous devez disposer de droits d'accès pour le type de ressource credentials
.
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | USER_INSPECT |
|
GetUserGroupMembership (requiert également inspect groups )
|
read | INSPECT + USER_READ |
INSPECT +
|
aucun élément supplémentaire |
use | READ + USER_UPDATE |
READ +
|
READ +
|
manage | USE + USER_CREATE USER_DELETE USER_UNBLOCK USER_APIKEY_ADD USER_APIKEY_REMOVE USER_UIPASS_SET USER_UIPASS_RESET USER_SWIFTPASS_SET USER_SWIFTPASS_RESET USER_SWIFTPASS_REMOVE USER_AUTHTOKEN_SET USER_AUTHTOKEN_RESET USER_AUTHTOKEN_REMOVE USER_OAUTH2_CLIENT_CRED_CREATE USER_OAUTH2_CLIENT_CRED_UPDATE USER_OAUTH2_CLIENT_CRED_REMOVE USER_SECRETKEY_ADD USER_SECRETKEY_UPDATE USER_SECRETKEY_REMOVE USER_SUPPORT_ACCOUNT_LINK USER_SUPPORT_ACCOUNT_UNLINK USER_TOTPDEVICE_ADD USER_TOTPDEVICE_REMOVE USER_TOTPDEVICE_UPDATE |
USE +
|
aucun élément supplémentaire |
Droits d'accès requis pour chaque opération d'API
Le tableau suivant répertorie les opérations d'API dans un ordre logique, regroupées par type de ressource.
Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.
Opération d'API | Droits d'accès requis pour utiliser l'opération |
---|---|
ListRegions
|
TENANCY_INSPECT |
ListRegionSubscriptions
|
TENANCY_INSPECT |
CreateRegionSubscription
|
TENANCY_UPDATE |
GetTenancy
|
TENANCY_INSPECT |
ListDomains |
DOMAIN_INSPECT |
GetDomain |
DOMAIN_READ |
CreateDomain |
DOMAIN_CREATE |
ActivateDomain |
DOMAIN_ACTIVATE |
UpdateDomain |
DOMAIN_UPDATE |
ReplicateDomainRegion |
DOMAIN_REPLICATE |
ChangeDomainCompartment |
DOMAIN_MOVE |
GetDomainLicenseTypes |
DOMAIN_LICENSETYPE_READ |
ChangeSku |
DOMAIN_MOVE |
DeactivateDomain |
DOMAIN_DEACTIVATE |
DeleteDomain |
DOMAIN_DELETE |
GetAuthenticationPolicy
|
AUTHENTICATION_POLICY_INSPECT |
UpdateAuthenticationPolicy
|
AUTHENTICATION_POLICY_UPDATE |
ListAvailabilityDomains
|
COMPARTMENT_INSPECT |
ListFaultDomains
|
COMPARTMENT_INSPECT |
ListCompartments
|
COMPARTMENT_INSPECT |
GetCompartment
|
COMPARTMENT_INSPECT |
UpdateCompartment
|
COMPARTMENT_UPDATE |
CreateCompartment
|
COMPARTMENT_CREATE |
RecoverCompartment
|
COMPARTMENT_RECOVER |
DeleteCompartment
|
COMPARTMENT_DELETE |
MoveCompartment
|
Aucun droit d'accès n'est associé à l'opération MoveCompartment . Cette opération requiert des droits d'accès manage all-resources sur le compartiment parent partagé le plus bas du compartiment en cours et du compartiment de destination. |
GetWorkRequest
|
COMPARTMENT_READ |
ListUsers
|
USER_INSPECT |
GetUser
|
USER_INSPECT |
UpdateUser
|
USER_UPDATE |
UpdateUserState
|
USER_UPDATE et USER_UNBLOCK |
CreateUser
|
USER_CREATE |
DeleteUser
|
USER_DELETE |
CreateOrResetUIPassword
|
USER_UPDATE et USER_UIPASS_RESET |
ListApiKeys
|
USER_READ |
UploadApiKey
|
USER_UPDATE et USER_APIKEY_ADD |
DeleteApiKey
|
USER_UPDATE et USER_APIKEY_REMOVE |
ListAuthTokens
|
USER_READ |
UpdateAuthToken
|
USER_UPDATE et USER_AUTHTOKEN_RESET |
CreateAuthToken
|
USER_UPDATE et USER_AUTHTOKEN_SET |
DeleteAuthToken
|
USER_UPDATE et USER_AUTHTOKEN_REMOVE |
ListSwiftPasswords
|
USER_READ |
UpdateSwiftPassword
|
USER_UPDATE et USER_SWIFTPASS_RESET |
CreateSwiftPassword
|
USER_UPDATE et USER_SWIFTPASS_SET |
DeleteSwiftPassword
|
USER_UPDATE et USER_SWIFTPASS_REMOVE |
ListCustomerSecretKeys
|
USER_READ |
CreateSecretKey
|
USER_UPDATE et USER_SECRETKEY_ADD |
UpdateCustomerSecretKey
|
USER_UPDATE et USER_SECRETKEY_UPDATE |
DeleteCustomerSecretKey
|
USER_UPDATE et USER_SECRETKEY_REMOVE |
CreateOAuthClientCredential |
USER_UPDATE et USER_OAUTH2_CLIENT_CRED_CREATE |
UpdateOAuthClientCredential |
USER_UPDATE et USER_OAUTH2_CLIENT_CRED_UPDATE |
ListOAuthClientCredentials |
USER_READ |
DeleteOAuthClientCredential |
USER_UPDATE et USER_OAUTH2_CLIENT_CRED_REMOVE |
LinkSupportAccount |
USER_SUPPORT_ACCOUNT_LINK |
UnlinkSupportAccount |
USER_SUPPORT_ACCOUNT_UNLINK |
CreateSmtpCredential |
CREDENTIAL_ADD |
ListSmtpCredentials |
CREDENTIAL_INSPECT |
UpdateSmtpCredential |
CREDENTIAL_UPDATE |
DeleteSmtpCredential |
CREDENTIAL_REMOVE |
ListUserGroupMemberships
|
GROUP_INSPECT et USER_INSPECT |
GetUserGroupMembership
|
USER_INSPECT et GROUP_INSPECT |
AddUserToGroup
|
GROUP_UPDATE et USER_UPDATE |
RemoveUserFromGroup
|
GROUP_UPDATE et USER_UPDATE |
ListGroups
|
GROUP_INSPECT |
GetGroup
|
GROUP_INSPECT |
UpdateGroup
|
GROUP_UPDATE |
CreateGroup
|
GROUP_CREATE |
DeleteGroup
|
GROUP_DELETE |
ListDynamicGroups
|
DYNAMIC_GROUP_INSPECT |
GetDynamicGroup
|
DYNAMIC_GROUP_INSPECT |
UpdateDynamicGroup
|
DYNAMIC_GROUP_UPDATE |
CreateDynamicGroup
|
DYNAMIC_GROUP_CREATE |
DeleteDynamicGroup
|
DYNAMIC_GROUP_DELETE |
GetNetworkSource
|
NETWORK_SOURCE_INSPECT |
ListNetworkSources
|
NETWORK_SOURCE_INSPECT |
CreateNetworkSource
|
NETWORK_SOURCE_CREATE |
UpdateNetworkSource
|
NETWORK_SOURCE_UPDATE |
DeleteNetworkSource
|
NETWORK_SOURCE_DELETE |
ListPolicies
|
POLICY_READ |
GetPolicy
|
POLICY_READ |
UpdatePolicy
|
POLICY_UPDATE |
CreatePolicy
|
POLICY_CREATE |
DeletePolicy
|
POLICY_DELETE |
ListIdentityProviders
|
IDENTITY_PROVIDER_INSPECT |
GetIdentityProvider
|
IDENTITY_PROVIDER_INSPECT |
UpdateIdentityProvider
|
IDENTITY_PROVIDER_UPDATE |
CreateIdentityProvider
|
IDENTITY_PROVIDER_CREATE |
DeleteIdentityProvider
|
IDENTITY_PROVIDER_DELETE |
ListIdpGroupMappings
|
IDENTITY_PROVIDER_INSPECT et GROUP_INSPECT |
GetIdpGroupMapping
|
IDENTITY_PROVIDER_INSPECT et GROUP_INSPECT |
AddIdpGroupMapping
|
IDENTITY_PROVIDER_UPDATE et GROUP_UPDATE |
DeleteIdpGroupMapping
|
IDENTITY_PROVIDER_UPDATE et GROUP_UPDATE |
ListIamWorkRequests |
IAM_WORKREQUEST_INSPECT |
GetIamWorkRequest |
IAM_WORKREQUEST_READ |
ListWorkRequestErrors |
IAM_WORKREQUEST_INSPECT |
ListIamWorkRequestLogs |
IAM_WORKREQUEST_INSPECT |
ListTagNamespaces
|
TAG_NAMESPACE_INSPECT |
ListTaggingWorkRequest
|
TAG_NAMESPACE_INSPECT |
ListTaggingWorkRequestErrors
|
TAG_NAMESPACE_INSPECT |
ListTaggingWorkRequestLogs
|
TAG_NAMESPACE_INSPECT |
GetTaggingWorkRequest
|
TAG_NAMESPACE_INSPECT |
GetTagNamespace
|
TAG_NAMESPACE_INSPECT |
CreateTagNamespace
|
TAG_NAMESPACE_CREATE |
UpdateTagNamespace
|
TAG_NAMESPACE_UPDATE |
ChangeTagNamespaceCompartment
|
TAG_NAMESPACE_MOVE |
CascadeDeleteTagNamespace
|
TAG_NAMESPACE_DELETE |
DeleteTagNamespace
|
TAG_NAMESPACE_DELETE |
ListTags
|
TAG_NAMESPACE_INSPECT |
BulkEditTags
|
TAG_NAMESPACE_INSPECT |
ListCostTrackingTags
|
TAG_NAMESPACE_INSPECT |
GetTag
|
TAG_NAMESPACE_INSPECT |
CreateTag
|
TAG_NAMESPACE_USE |
UpdateTag
|
TAG_NAMESPACE_USE |
DeleteTag
|
TAG_NAMESPACE_DELETE |
BulkDeleteTags
|
TAG_NAMESPACE_DELETE |
ListTagDefaults
|
TAG_DEFAULT_INSPECT |
GetTagDefault
|
TAG_DEFAULT_INSPECT |
CreateTagDefault
|
TAG_DEFAULT_MANAGE |
UpdateTagDefault
|
TAG_DEFAULT_MANAGE |
DeleteTagDefault
|
TAG_DEFAULT_MANAGE |