Stratégies Identity and Access Management (IAM)

Découvrez comment écrire des stratégies OCI IAM pour contrôler l'accès aux ressources Oracle Cloud VMware Solution.

Par défaut, seuls les utilisateurs du groupe Administrators ont accès à l'ensemble des ressources et des fonctions dans la solution VMware. Pour contrôler l'accès des utilisateurs non administrateurs aux fonctions et aux ressources de solution VMware, créez des groupes IAM, puis écrivez des stratégies qui accordent aux groupes un accès approprié.

Si vous avez besoin de la liste complète des stratégies Oracle Cloud Infrastructure, reportez-vous à Référence de stratégie.

Types de ressource

sddcs

Variables prises en charge

Seules les variables générales sont prises en charge (reportez-vous à Variables générales pour toutes les demandes).

Détails des combinaisons de verbe et de type de ressource

Les tableaux suivants indiquent les droits d'accès et les opérations d'API couverts par chaque verbe pour la solution VMware. Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre, dans l'ordre suivant : inspect, read, use, manage. Le signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule directement au-dessus, alors que la mention "aucun élément supplémentaire" n'indique aucun accès incrémentiel.

sddcs


Verbes	Droits d'accès	API entièrement couverte	API partiellement couvertes
inspecter	SDDC_INSPECT	`ListSddcs` `ListWorkRequests`	Aucun
lu	INSPECTER + SDDC_READ	INSPECTER + `GetSddc` `GetWorkRequest`	Aucun
utiliser	LECTURE + SDDC_UPDATE SDDC_UPDATE_ESXI_HOST	LECTURE + `UpdateSddc` `UpdateEsxiHost`	Aucun
gestion	USE + SDDC_CREATE SDDC_MOVE SDDC_ADD_ESXI_HOST SDDC_DELETE_ESXI_HOST SDDC_DELETE	USE + `ChangeSddcCompartment`	`CreateSddc` (`manage instances`, `manage vcns`, `use subnets`, `use vnics`, `use vlans`, `use private-ips`, `inspect security-lists`, `use network-security-groups`) `DeleteSddc`, `CreateEsxiHost`, `DeleteEsxiHost` (ont également besoin de `manage instances`, `manage vcns`, `use subnets`, `use vnics`, `use vlans`, `use private-ips`)

Droits d'accès requis pour chaque opération d'API

Le tableau suivant présente les opérations d'API dans un ordre logique, regroupées par type de ressource.


Opération d'API	Droits d'accès requis pour utiliser l'opération
`ListSddcs`	SDDC_INSPECT
`GetSddc`	SDDC_READ
`CreateSddc`	SDDC_CREATE & INSTANCE_CREATE & INSTANCE_ATTACH_SECONDARY_VNIC & VCN_READ & VCN_ATTACH & SUBNET_READ & SUBNET_ATTACH & VNIC_READ & VNIC_CREATE & VLAN_READ & VLAN_ATTACH & PRIVATE_IP_CREATE & PRIVATE_IP_ASSIGN & SECURITY_LIST_READ & NETWORK_SECURITY_GROUP_LIST_SECURITY_RULES
`ListWorkRequests`	SDDC_INSPECT
`GetWorkRequest`	SDDC_READ
`ChangeSddcCompartment`	SDDC_MOVE
`UpdateSddc`	SDDC_UPDATE
`DeleteSddc`	SDDC_DELETE & INSTANCE_DELETE & INSTANCE_DETACH_SECONDARY_VNIC & VCN_DETACH & SUBNET_DETACH & VLAN_DETACH & VNIC_READ & VNIC_DELETE & PRIVATE_IP_DELETE & PRIVATE_IP_UNASSIGN
`ListEsxiHosts`	SDDC_INSPECT
`CreateEsxiHost`	SDDC_ADD_ESXI_HOST & INSTANCE_CREATE & INSTANCE_ATTACH_SECONDARY_VNIC & VCN_READ & VCN_ATTACH & SUBNET_READ & SUBNET_ATTACH & VLAN_READ & VLAN_ATTACH & VNIC_READ & VNIC_CREATE & PRIVATE_IP_CREATE & PRIVATE_IP_ASSIGN
`UpdateEsxiHost`	SDDC_UPDATE_ESXI_HOST
`DeleteEsxiHost`	SDDC_DELETE_ESXI_HOST & INSTANCE_DELETE & INSTANCE_DETACH_SECONDARY_VNIC & VCN_DETACH & SUBNET_DETACH & VLAN_DETACH & VNIC_READ & VNIC_DELETE & PRIVATE_IP_DELETE & PRIVATE_IP_UNASSIGN

Création d'une stratégie

Afin de créer des stratégies pour un groupe d'utilisateurs, vous devez connaître le nom du groupe IAM Oracle Cloud Infrastructure.

Pour créer une stratégie, procédez comme suit :

Dans le menu de navigation de la console, sélectionnez Identité et sécurité, puis sous Identité, sélectionnez Stratégies.
Sélectionnez Créer une stratégie.
Entrez le nom et la description (facultative) de la stratégie.
Sélectionnez le compartiment dans lequel créer la stratégie.
Sélectionnez Afficher l'éditeur manuel. Entrez ensuite les instructions de stratégie dont vous avez besoin.
(Facultatif) Sélectionnez Créer une autre stratégie pour rester sur la page Créer une stratégie après avoir créé cette stratégie.
Pour créer cette stratégie, sélectionnez Créer.

Stratégies courantes

Autoriser les utilisateurs à créer, gérer et supprimer des SDDC, des hôtes ESXi et des VLAN

Type d'accès : permet de créer, de gérer ou de supprimer un SDDC, un hôte ESXi ou des VLAN.

Emplacement de création de la stratégie : dans la location, afin que la possibilité de créer, de gérer ou de supprimer une ressource de solution VMware soit facilement accordée à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée de ces fonctions d'administration aux SDDC d'un compartiment particulier, indiquez ce compartiment au lieu de la location.

Cet exemple de stratégie inclut également des droits d'accès pour les ressources réseau et de calcul. Ces ressources de calcul et de réseau sont requises pour créer, gérer ou supprimer des SDDC, des hôtes ESXi ou des VLAN. L'autorisation minimale requise est affichée pour chacun d'eux.

Allow group <group_name> to manage sddcs in tenancy
Allow group <group_name> to manage virtual-network-family in tenancy
Allow group <group_name> to manage dns in tenancy
Allow group <group_name> to manage instance-family in tenancy
Allow group <group_name> to manage volume-family in tenancy
Allow group <group_name> to read app-catalog-listing in tenancy

Documentation Oracle Cloud Infrastructure