Présentation des ressources et des droits d'accès Big Data Service dans les stratégies IAM

Oracle Identity and Access Management (IAM) fournit une structure flexible permettant d'écrire des instructions de stratégie qui contrôlent la façon dont les ressources peuvent interagir les unes avec les autres. IAM définit un certain nombre de ressources standard, ainsi que les droits d'accès nécessaires pour interagir avec elles. Big Data Service ajoute ses propres droits d'accès et ses propres ressources.

Cette rubrique décrit les ressources et les droits d'accès qu'un administrateur peut utiliser afin de créer des instructions de stratégie IAM pour Big Data Service.

Types de ressource et droits d'accès

Famille de ressources Type de ressource Droits d'accès
bds-family bds-instances
  • BDS_INSPECT
  • BDS_READ
  • BDS_CREATE
  • BDS_UPDATE
  • BDS_DELETE
  • BDS_MOVE
bds-family bds-limits
  • BDS_CONSUMPTION_INSPECT

Correspondances opérations/droits d'accès

Le tableau suivant répertorie les opérations IAM propres à Big Data Service. Vous pouvez écrire une stratégie IAM incluant ces opérations ou une stratégie utilisant un verbe défini qui les encapsule.

Opération Opération d'API Droit d'accès requis pour utiliser l'opération
Répertorier tous les clusters dans le compartiment indiqué ListBdsInstances BDS_INSPECT
Créer un cluster CreateBdsInstance BDS_CREATE
Afficher les détails relatifs au cluster spécifié GetBdsInstance BDS_READ
Modifier la taille d'un cluster ChangeShape BDS_UPDATE
Mettre à jour les détails d'un cluster UpdateBdsInstance BDS_UPDATE
Supprimer l'instance indiquée DeleteBdsInstance BDS_DELETE
Ajouter du stockage de blocs au cluster spécifié AddBlockStorage BDS_UPDATE
Ajouter des noeuds de processus actif au cluster spécifié AddWorkerNodes BDS_UPDATE
Redémarrer un noeud spécifique d'un cluster RestartNode BDS_UPDATE
Ajouter Cloud SQL au cluster spécifié AddCloudSql BDS_UPDATE
Enlever Cloud SQL du cluster spécifié RemoveCloudSql BDS_UPDATE
Déplacer le cluster d'un compartiment vers un autre ChangeBdsInstanceCompartment BDS_MOVE
Répertorier toutes les configurations de redimensionnement automatique du cluster spécifié ListAutoScalingConfigurations BDS_INSPECT
Ajouter une configuration de redimensionnement automatique au cluster spécifié AddAutoScalingConfiguration BDS_UPDATE
Afficher les détails de la configuration de redimensionnement automatique spécifiée GetAutoScalingConfiguration BDS_READ
Mettre à jour les champs d'une configuration de redimensionnement automatique UpdateAutoScalingConfiguration BDS_UPDATE
Supprimer une configuration de redimensionnement automatique RemoveAutoScalingConfiguration BDS_UPDATE
Répertorier toutes les demandes de travail Big Data dans le compartiment spécifié ListWorkRequests BDS_INSPECT
Afficher les détails relatifs aux demandes de travail spécifiées GetWorkRequest BDS_READ
Afficher les journaux de la demande de travail spécifiée ListWorkRequestLogs BDS_INSPECT
Afficher les erreurs de la demande de travail spécifiée ListWorkRequestErrors BDS_INSPECT
Afficher les ressources utilisées ListConsumptions BDS_CONSUMPTION_INSPECT
Répertorier les clés d'API sur le cluster indiqué ListBdsApiKeys BDS_READ
Créer une clé d'API sur le cluster indiqué CreateBdsApiKey BDS_UPDATE
Obtenir une clé d'API sur le cluster indiqué GetBdsApiKey BDS_READ
Supprimer une clé d'API sur le cluster indiqué DeleteBdsApiKey BDS_UPDATE
Tester l'accès au bucket de banque d'objets à l'aide de la clé d'API indiquée TestBdsObjectStorageConnection BDS_READ

Attributs propres à une opération

Remarque

Pour un type de ressource donné, vous devez disposer du même ensemble d'attributs pour toutes les opérations (get, list, delete, etc.). La seule exception concerne une opération "create" : dans la mesure où vous n'avez pas encore l'ID de l'objet, vous ne pouvez pas avoir d'attribut target.RESOURCE-KIND.id.

Type de ressource Nom Type Source
bds-instances target.bds-instances.source-compartment.id Entité Demande
bds-instances target.bds-instances.destination-compartment.id Entité Demande

Verbes IAM à utiliser avec Big Data Service

Type de ressource inspecter lu utiliser gestion
bds-instances BDS_INSPECT inspecter +

BDS_READ

lecture +

BDS_UPDATE

use +

BDS_CREATE

BDS_DELETE

BDS_MOVE

bds-limits BDS_CONSUMPTION_INSPECT . . .

Exemple 1 : administrateurs disposant de tous les droits d'accès sur les clusters

L'instruction de stratégie suivante indique que les membres d'un groupe nommé bds-admins peuvent inspecter, lire, mettre à jour, créer, supprimer et déplacer tous les clusters d'un compartiment nommé bds-learn.

allow bds-admins to manage bds-instances in compartment bds-dev

Dans l'instruction ci-dessus :

  • bds-admins est un groupe créé par un administrateur,

  • manage indique les opérations que les membres du groupe bds-admins peuvent utiliser. Manage est l'un des verbes décrits dans Verbes IAM à utiliser avec Big Data Service. Il permet à un utilisateur/groupe d'utiliser toutes les opérations fournies par les verbes inspect, read et use, ainsi que quelques opérations qui lui sont propres :

    • Le verbe inspect inclut l'opération BDS_INSPECT.
    • Le verbe read inclut les opérations BDS_INSPECT et BDS_READ.
    • Le verbe use inclut les opérations BDS_INSPECT, BDS_READ et BDS_UPDATE.
    • Le verbe manage inclut les opérations BDS_INSPECT, BDS_READ, BDS_UPDATE, BDS_CREATE, BDS_DELETE et BDS_MOVE.
  • bds-dev est un compartiment créé par un administrateur.

L'instruction de stratégie suivante indique que les membres du groupe bds-admins peuvent gérer les ressources de réseau cloud virtuel dans l'ensemble de la location.

allow group bds-admins to manage virtual-network-family in tenancy

Exemple 2 : utilisateurs

L'instruction de stratégie suivante indique que les membres d'un groupe nommé bds-users peuvent inspecter et lire tous les clusters du compartiment bds-learn. (Le verbe read inclut les droits d'accès inspect et read.)

allow bds-users to read bds-instances in compartment bds-learn

Plus d'informations

Pour plus d'informations sur les stratégies IAM, reportez-vous à Présentation d'Oracle Cloud Infrastructure Identity and Access Management dans la documentation Oracle Cloud Infrastructure. Pour plus de détails sur l'écriture de stratégies, reportez-vous à Syntaxe de stratégie et à Référence de stratégie.