Documentation Oracle Cloud Infrastructure

Accès aux ressources Object Storage dans des locations

Découvrez comment écrire des stratégies permettant à votre location d'accéder aux ressources Object Storage d'autres locations.

Si vous utilisez les stratégies pour la première fois, reportez-vous à Gestion des domaines d'identité et à Détails d'Object Storage, d'Archive Storage et du transfert de données.

Stratégies inter-locations

Votre organisation peut souhaiter partager des ressources avec une autre organisation qui possède sa propre location. Il peut s'agir d'une autre unité opérationnelle de votre société, d'un client, d'une société qui fournit des services à la vôtre, etc. Vous avez alors besoin de stratégies inter-locations en plus des stratégies utilisateur et de service requises décrites précédemment.

Pour accéder aux ressources et les partager, les administrateurs des deux locations doivent créer des instructions de stratégie spéciales qui indiquent de façon explicite les ressources accessibles et pouvant être partagées. Ces instructions spéciales utilisent les mots Define, Endorse et Admit.

Instructions Endorse, Admit et Define

Voici un aperçu des verbes spéciaux utilisés dans les instructions inter-locations :

  • Endorse : présente l'ensemble général des actions qu'un groupe de votre location peut effectuer dans d'autres locations. L'instruction Endorse appartient toujours à la location contenant le groupe d'utilisateurs qui accède à l'autre location pour utiliser ses ressources. Dans les exemples, nous désignons cette location comme la location source.
  • Admit : indique le type de d'action possible dans votre location que vous voulez octroyer à un groupe d'une autre location. L'instruction Admit appartient à la location octroyant l'"admission". L'instruction Admit identifie le groupe d'utilisateurs nécessitant un accès aux ressources à partir de la location source, ce groupe étant identifié par une instruction Endorse correspondante. Dans les exemples, nous désignons cette location comme la location de destination.
  • Define : affecte un alias à un OCID de location pour les instructions de stratégie Endorse et Admit. Une instruction Define est également requise dans la location de destination afin d'affecter un alias à l'OCID de groupe IAM source pour les instructions Admit.

    Incluez une instruction Define dans la même entité de stratégie que l'instruction Endorse ou Admit.

Les instructions Endorse et Admit sont utilisées conjointement. Une instruction Endorse réside dans la location source tandis qu'une instruction Admit réside dans la location de destination. Sans instruction correspondante définissant l'accès, une instruction Endorse ou Admit particulière n'accorde aucun accès. Les deux locations doivent se mettre d'accord sur l'accès.

Important

En plus d'utiliser des instructions de stratégie, vous devez également vous abonner à une région pour partager des ressources entre les régions.

Instructions de stratégie de la location source

Les administrateurs de location source et cible créent des instructions de stratégie qui approuvent un groupe IAM source autorisé à gérer des ressources dans la location de destination.

Voici un exemple d'instruction de stratégie générale approuvant le groupe IAM StorageAdmins pour qu'il puisse effectuer n'importe quelle opération sur toutes les ressources Object Storage de l'ensemble des locations :

Endorse group StorageAdmins to manage object-family in any-tenancy

Pour écrire une stratégie qui réduit la portée de l'accès à la location, l'administrateur source doit référencer l'OCID de location de destination fourni par l'administrateur de destination. Voici un exemple d'instructions de stratégie approuvant le groupe IAM StorageAdmins pour qu'il puisse gérer les ressources Object Storage dans DestinationTenancy uniquement :

Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group StorageAdmins to manage object-family in tenancy DestinationTenancy

Lorsque vous utilisez IAM avec des domaines d'identité, indiquez le domaine :

Endorse group <identity_domain_name>/StorageAdmins to manage object-family in any-tenancy

Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group <identity_domain_name>/ StorageAdmins to manage object-family in tenancy DestinationTenancy

Instructions de stratégie de la location de destination

L'administrateur de destination crée des instructions de stratégie qui :

  • Définit la location source et le groupe IAM autorisé à accéder aux ressources de votre location. L'administrateur source doit fournir ces informations.
  • admettent les sources définies pour qu'elles puissent accéder aux ressources Object Storage de la location auxquelles accorder l'accès.

Voici un exemple d'instructions de stratégie approuvant le groupe IAM StorageAdmins de la location source pour qu'il puisse effectuer n'importe quelle opération sur toutes les ressources Object Storage de votre location :

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group StorageAdmins as ocid1.group.oc1..<unique_ID>
Admit group StorageAdmins of tenancy SourceTenancy to manage object-family in tenancy

Voici un exemple d'instructions de stratégie approuvant le groupe IAM StorageAdmins de la location source pour qu'il puisse gérer les ressources Object Storage du compartiment SharedBuckets uniquement :

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group StorageAdmins as ocid1.group.oc1..<unique_ID>
Admit group StorageAdmins of tenancy SourceTenancy to manage object-family in compartment SharedBuckets 
Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group <identity_domain_name>/StorageAdmins as ocid1.group.oc1..<unique_ID>
Admit group <identity_domain_name>/StorageAdmins of tenancy SourceTenancy to manage object-family in tenancy