Exemples de stratégie

Utilisez les exemples suivants pour en savoir plus sur la création de stratégies IAM pour diverses ressources Application Dependency Management.

Base de connaissances

Créez une stratégie pour autoriser les utilisateurs d'un groupe à créer, mettre à jour ou supprimer une base de connaissances :

Allow group <group-name> to manage adm-knowledge-bases in compartment <compartment_name>

Audit de vulnérabilité

Créez une stratégie pour permettre aux utilisateurs d'utiliser une base de connaissances dans un compartiment spécifique et créez, mettez à jour ou supprimez des audits de vulnérabilité dans ce compartiment :

Allow group <group-name> to use adm-knowledge-bases in compartment <compartment_name>

Allow group <group-name> to manage adm-vulnerability-audits in compartment <compartment_name>

Résolution

Vous devez créer un groupe dynamique pour exécuter la résolution correctement. Les règles de mise en correspondance définissent les ressources appartenant à un groupe dynamique :

ALL {resource.type = 'admremediationrecipe', resource.compartment.id = 'compartmentOCID'}

Créez une stratégie pour accorder aux membres du groupe adm-admin le droit d'accès permettant de gérer (inspecter, lire, créer, mettre à jour, démarrer, supprimer, déplacer) les ressources de recette d'action correctrice, d'exécution d'action correctrice, d'étape d'exécution d'action correctrice, d'audit de vulnérabilité, de recommandation et de demande de travail :

Allow group adm-admin to manage adm-remediations-family in tenancy

Créez une stratégie pour accorder aux membres du groupe adm-dev les droits d'accès permettant d'inspecter, de lire et d'utiliser les ressources Activité, Exécution d'activité, Phase d'exécution d'activité, Recette de résolution, Exécution de résolution, Phase d'exécution de résolution, Audit de vulnérabilité et Recommandation. Cela ne permet pas aux membres de créer/supprimer/déplacer des activités, de supprimer des exécutions d'activité, de supprimer des audits de vulnérabilité et de supprimer des recommandations :

Allow group adm-dev to use adm-family in tenancy

Pour exécuter la résolution, créez les stratégies suivantes. Vous pouvez nommer le groupe dynamique de façon appropriée et remplacer compartmentOCID par l'OCID du compartiment :

Allow dynamic-group created-adm-dynamic-group to inspect dhcp-options in compartment <compartmentOCID>
Allow dynamic-group created-adm-dynamic-group to { ADM_KNOWLEDGE_BASE_READ, ADM_VULNERABILITY_AUDIT_READ, ADM_VULNERABILITY_AUDIT_CREATE } in compartment <compartmentOCID>
Allow dynamic-group created-adm-dynamic-group to inspect subnets in compartment <compartmentOCID>
Allow service adm to use subnets in compartment <compartmentOCID>
Allow service adm to use vnics in compartment <compartmentOCID>

Créez la stratégie suivante si vous utilisez la gestion du code source externe (SCM) :

Allow dynamic-group created-adm-dynamic-group to read secret-bundles in compartment <compartmentOCID>

Créez la stratégie suivante si vous utilisez OCI DevOps SCM (fournissez le nom du référentiel) :

Allow dynamic-group created-adm-dynamic-group to { DEVOPS_REPOSITORY_READ } in compartment <compartmentOCID> where target.repository.name = 'repositoryName'
Allow dynamic-group created-adm-dynamic-group to { DEVOPS_PULL_REQUEST_UPDATE, DEVOPS_PULL_REQUEST_CREATE, DEVOPS_PULL_REQUEST_INSPECT, DEVOPS_PULL_REQUEST_READ } in compartment <compartmentOCID> where target.repository.name = 'repositoryName'

Créez la stratégie suivante si vous utilisez un sous-réseau propre au domaine de disponibilité :

Allow dynamic-group created-adm-dynamic-group to use subnets in compartment <compartmentOCID>
Allow dynamic-group created-adm-dynamic-group to {COMPARTMENT_INSPECT} in compartment <compartmentOCID>

Créez le groupe dynamique et la stratégie suivants si vous utilisez le pipeline de build OCI Devops :

ALL {resource.type = 'devopsbuildpipeline', resource.compartment.id = 'compartmentOCID'}

Allow dynamic-group devops-build-dynamic-group to { DEVOPS_BUILD_RUN_READ, DEVOPS_BUILD_RUN_CREATE } in compartment <compartmentOCID>