Présentation des ressources et des droits d'accès Big Data Service dans les stratégies IAM
Oracle Identity and Access Management (IAM) fournit une structure flexible permettant d'écrire des instructions de stratégie qui contrôlent la façon dont les ressources peuvent interagir les unes avec les autres. IAM définit un certain nombre de ressources standard, ainsi que les droits d'accès nécessaires pour interagir avec elles. Big Data Service ajoute ses propres droits d'accès et ses propres ressources.
Cette rubrique décrit les ressources et les droits d'accès qu'un administrateur peut utiliser afin de créer des instructions de stratégie IAM pour Big Data Service.
Types de ressource et droits d'accès
| Famille de ressources | Type de ressource | Droits d'accès |
|---|---|---|
| bds-family | bds-instances |
|
| bds-family | bds-limits |
|
Correspondances opérations/droits d'accès
Le tableau suivant répertorie les opérations IAM propres à Big Data Service. Vous pouvez écrire une stratégie IAM incluant ces opérations ou une stratégie utilisant un verbe défini qui les encapsule.
| Opération | Opération d'API | Droit d'accès requis pour utiliser l'opération |
|---|---|---|
| Répertorier tous les clusters dans le compartiment indiqué | ListBdsInstances | BDS_INSPECT |
| Créer un cluster | CreateBdsInstance | BDS_CREATE |
| Afficher les détails relatifs au cluster spécifié | GetBdsInstance | BDS_READ |
| Modifier la taille d'un cluster | ChangeShape | BDS_UPDATE |
| Mettre à jour les détails d'un cluster | UpdateBdsInstance | BDS_UPDATE |
| Supprimer l'instance indiquée | DeleteBdsInstance | BDS_DELETE |
| Ajouter du stockage de blocs au cluster spécifié | AddBlockStorage | BDS_UPDATE |
| Ajouter des noeuds de processus actif au cluster spécifié | AddWorkerNodes | BDS_UPDATE |
| Redémarrer un noeud spécifique d'un cluster | RestartNode | BDS_UPDATE |
| Ajouter Cloud SQL au cluster spécifié | AddCloudSql | BDS_UPDATE |
| Enlever Cloud SQL du cluster spécifié | RemoveCloudSql | BDS_UPDATE |
| Déplacer le cluster d'un compartiment vers un autre | ChangeBdsInstanceCompartment | BDS_MOVE |
| Répertorier toutes les configurations de redimensionnement automatique du cluster spécifié | ListAutoScalingConfigurations | BDS_INSPECT |
| Ajouter une configuration de redimensionnement automatique au cluster spécifié | AddAutoScalingConfiguration | BDS_UPDATE |
| Afficher les détails de la configuration de redimensionnement automatique spécifiée | GetAutoScalingConfiguration | BDS_READ |
| Mettre à jour les champs d'une configuration de redimensionnement automatique | UpdateAutoScalingConfiguration | BDS_UPDATE |
| Supprimer une configuration de redimensionnement automatique | RemoveAutoScalingConfiguration | BDS_UPDATE |
| Répertorier toutes les demandes de travail Big Data dans le compartiment spécifié | ListWorkRequests | BDS_INSPECT |
| Afficher les détails relatifs aux demandes de travail spécifiées | GetWorkRequest | BDS_READ |
| Afficher les journaux de la demande de travail spécifiée | ListWorkRequestLogs | BDS_INSPECT |
| Afficher les erreurs de la demande de travail spécifiée | ListWorkRequestErrors | BDS_INSPECT |
| Afficher les ressources utilisées | ListConsumptions | BDS_CONSUMPTION_INSPECT |
| Répertorier les clés d'API sur le cluster indiqué | ListBdsApiKeys | BDS_READ |
| Créer une clé d'API sur le cluster indiqué | CreateBdsApiKey | BDS_UPDATE |
| Obtenir une clé d'API sur le cluster indiqué | GetBdsApiKey | BDS_READ |
| Supprimer une clé d'API sur le cluster indiqué | DeleteBdsApiKey | BDS_UPDATE |
| Tester l'accès au bucket de banque d'objets à l'aide de la clé d'API indiquée | TestBdsObjectStorageConnection | BDS_READ |
Attributs propres à une opération
Pour un type de ressource donné, vous devez disposer du même ensemble d'attributs pour toutes les opérations (get, list, delete, etc.). La seule exception concerne une opération "create" : dans la mesure où vous n'avez pas encore l'ID de l'objet, vous ne pouvez pas avoir d'attribut target.RESOURCE-KIND.id.
| Type de ressource | Nom | Type | Source |
|---|---|---|---|
| bds-instances | target.bds-instances.source-compartment.id | Entité | Demande |
| bds-instances | target.bds-instances.destination-compartment.id | Entité | Demande |
Verbes IAM à utiliser avec Big Data Service
| Type de ressource | inspecter | lu | utiliser | gestion |
|---|---|---|---|---|
| bds-instances | BDS_INSPECT | inspecter + BDS_READ |
lecture + BDS_UPDATE |
use + BDS_CREATE BDS_DELETE BDS_MOVE |
| bds-limits | BDS_CONSUMPTION_INSPECT | . | . | . |
Exemple 1 : administrateurs disposant de tous les droits d'accès sur les clusters
L'instruction de stratégie suivante indique que les membres d'un groupe nommé bds-admins peuvent inspecter, lire, mettre à jour, créer, supprimer et déplacer tous les clusters d'un compartiment nommé bds-learn.
allow bds-admins to manage bds-instances in compartment bds-devDans l'instruction ci-dessus :
-
bds-adminsest un groupe créé par un administrateur, -
manageindique les opérations que les membres du groupebds-adminspeuvent utiliser.Manageest l'un des verbes décrits dans le manuel Verbes IAM à utiliser avec Big Data Service. Il permet à un utilisateur/groupe d'utiliser toutes les opérations fournies par les verbesinspect,readetuse, ainsi que quelques opérations qui lui sont propres:- Le verbe
inspectinclut l'opérationBDS_INSPECT. - Le verbe
readinclut les opérationsBDS_INSPECTetBDS_READ. - Le verbe
useinclut les opérationsBDS_INSPECT,BDS_READetBDS_UPDATE. - Le verbe
manageinclut les opérationsBDS_INSPECT,BDS_READ,BDS_UPDATE,BDS_CREATE,BDS_DELETEetBDS_MOVE.
- Le verbe
-
bds-devest un compartiment créé par un administrateur.
L'instruction de stratégie suivante indique que les membres du groupe bds-admins peuvent gérer les ressources de réseau cloud virtuel dans l'ensemble de la location.
allow group bds-admins to manage virtual-network-family in tenancyExemple 2 : utilisateurs
L'instruction de stratégie suivante indique que les membres d'un groupe nommé bds-users peuvent inspecter et lire tous les clusters du compartiment bds-learn. (Le verbe read inclut les droits d'accès inspect et read.)
allow bds-users to read bds-instances in compartment bds-learnPlus d'informations
Pour plus d'informations sur les stratégies IAM, reportez-vous à Présentation d'Oracle Cloud Infrastructure Identity and Access Management dans la documentation Oracle Cloud Infrastructure. Pour plus de détails sur l'écriture de stratégies, reportez-vous à Syntaxe de stratégie et à Référence de stratégie.