Stratégies de sécurité IAM
Les stratégies de sécurité IAM permettent de contrôler l'accès des groupes IAM aux ressources dans les compartiments et dans la location.
Oracle vous recommande d'affecter l'accès de moindre privilège aux groupes IAM pour accéder aux ressources. Le format commun pour les stratégies IAM est illustré dans l'exemple suivant.
Allow group <group_name> to <verb> <resource-type> in compartment <compartment_name>
Allow group <group_name> to <verb> <resource-type> in tenancyLes stratégies IAM autorisent quatre verbes prédéfinis : inspect, read, use et manage. Le verbe inspect octroie le moindre privilège et le verbe manage octroie le privilège le plus élevé. Les quatre verbes sont indiqués dans l'ordre croissant de privilèges dans le tableau ci-dessous.
| Verbe | Type d'accès | Exemple d'utilisateur |
|---|---|---|
inspect
|
Affiche uniquement les métadonnées. En général, cela permet uniquement de répertorier les ressources | auditeur tiers |
read
|
Inclut inspect et la possibilité de lire les métadonnées d'utilisateur et de ressource. Il s'agit du droit d'accès dont la plupart des utilisateurs ont besoin pour mener à bien leur travail. | auditeurs internes |
use
|
Inclut read plus la possibilité d'utiliser les ressources (les actions varient en fonction du type de ressource). N'inclut pas la possibilité de créer ou de supprimer des ressources. | utilisateurs standard (développeurs de logiciels, ingénieurs système, gestionnaires de développement, etc.) qui configurent les ressources de location et les applications qui y sont exécutées |
manage
|
Tous les droits d'accès pour toutes les ressources | administrateurs, cadres (pour les scénarios d'accès d'urgence) |
Les types de ressource Oracle Cloud Infrastructure sont présentés dans le tableau suivant.
| Famille de types de ressource | Description | Types de ressource |
|---|---|---|
all-resources |
Tous les types ressource | |
| Aucun nom | Types de ressource dans le service IAM | compartments, users, groups, dynamic-groups, policies, identity-providers, tenancy tag-namespaces, tag-definitions |
instance-family |
Types de ressource dans le service Compute | console-histories, instance-console-connection, instance-images, instances, volume-attachmentsapp-catalog-listing |
volume-family |
Types de ressource dans le service Block Storage | volumes, volume-attachments, volume-backups |
virtual-network-family |
Types de ressource dans le service de réseau virtuel | vcns, subnets, route-tables, security-lists, dhcp-options, private-ips, public-ips, internet-gateways, local-peering-gatewaysdrgs, deg-attachments, cpes, ipsec-connections, cross-connects, cross-connect-groups, virtual-circuits, vnics, vnic-attachments |
object-family |
Types de ressource dans le service Object Storage | buckets, objects |
database-family |
Types de ressource dans le service DbaaS | db-systems, db-nodes, db-homes, databases, backups |
load-balancers |
Ressources dans le service d'équilibreur de charge | load-balancers |
file-family |
Ressources dans le service File Storage | file-systems, mount-targets, export-sets |
dns |
Ressources dans le service DNS | dns-zones, dns-records, dns-traffic |
email-family |
Ressources dans le service Email Delivery | approved-senders, suppressions |
Pour plus d'informations sur les verbes IAM et les mises en correspondance des droits d'accès de type de ressource, reportez-vous à Détails des services de base.
Vous pouvez affiner les stratégies de sécurité IAM à l'aide de conditions. L'accès indiqué dans la stratégie n'est autorisé que si les instructions de condition renvoient la valeur True. Les conditions sont spécifiées à l'aide de variables prédéfinies. Les variables utilisent les mots-clés request ou target, selon la pertinence de la variable pour la demande ou la ressource faisant l'objet d'une action, respectivement. Pour plus d'informations sur les variables prédéfinies prises en charge, reportez-vous à Référence de stratégie.
Les groupes dynamiques IAM permettent d'autoriser les instances de calcul à accéder aux API Oracle Cloud Infrastructure. La fonctionnalité des principaux d'instance peut être utilisée par les applications en cours d'exécution sur les instances afin d'accéder par programmation aux services Oracle Cloud Infrastructure. Les clients créent des groupes dynamiques, qui comprennent des instances en tant que membres et autorisent l'accès à leurs ressources de location à l'aide de stratégies de sécurité IAM. Tous les accès par instance sont capturés dans les journaux d'audit disponibles pour les clients.