Présentation des ressources et des droits d'accès Big Data Service dans les stratégies IAM
Oracle Identity and Access Management (IAM) fournit une structure flexible permettant d'écrire des instructions de stratégie qui contrôlent la façon dont les ressources peuvent interagir les unes avec les autres. IAM définit un certain nombre de ressources standard, ainsi que les droits d'accès nécessaires pour interagir avec elles. Big Data Service ajoute ses propres droits d'accès et ses propres ressources.
Cette rubrique décrit les ressources et les droits d'accès qu'un administrateur peut utiliser afin de créer des instructions de stratégie IAM pour Big Data Service.
Types de ressource et droits d'accès
Famille de ressources | Type de ressource | Droits d'accès |
---|---|---|
bds-family | bds-instances |
|
bds-family | bds-limits |
|
Correspondances opérations/droits d'accès
Le tableau suivant répertorie les opérations IAM propres à Big Data Service. Vous pouvez écrire une stratégie IAM incluant ces opérations ou une stratégie utilisant un verbe défini qui les encapsule.
Opération | Opération d'API | Droit d'accès requis pour utiliser l'opération |
---|---|---|
Répertorier tous les clusters dans le compartiment indiqué | ListBdsInstances | BDS_INSPECT |
Créer un cluster | CreateBdsInstance | BDS_CREATE |
Afficher les détails relatifs au cluster spécifié | GetBdsInstance | BDS_READ |
Modifier la taille d'un cluster | ChangeShape | BDS_UPDATE |
Mettre à jour les détails d'un cluster | UpdateBdsInstance | BDS_UPDATE |
Supprimer l'instance indiquée | DeleteBdsInstance | BDS_DELETE |
Ajouter du stockage de blocs au cluster spécifié | AddBlockStorage | BDS_UPDATE |
Ajouter des noeuds de processus actif au cluster spécifié | AddWorkerNodes | BDS_UPDATE |
Redémarrer un noeud spécifique d'un cluster | RestartNode | BDS_UPDATE |
Ajouter Cloud SQL au cluster spécifié | AddCloudSql | BDS_UPDATE |
Enlever Cloud SQL du cluster spécifié | RemoveCloudSql | BDS_UPDATE |
Déplacer le cluster d'un compartiment vers un autre | ChangeBdsInstanceCompartment | BDS_MOVE |
Répertorier toutes les configurations de redimensionnement automatique du cluster spécifié | ListAutoScalingConfigurations | BDS_INSPECT |
Ajouter une configuration de redimensionnement automatique au cluster spécifié | AddAutoScalingConfiguration | BDS_UPDATE |
Afficher les détails de la configuration de redimensionnement automatique spécifiée | GetAutoScalingConfiguration | BDS_READ |
Mettre à jour les champs d'une configuration de redimensionnement automatique | UpdateAutoScalingConfiguration | BDS_UPDATE |
Supprimer une configuration de redimensionnement automatique | RemoveAutoScalingConfiguration | BDS_UPDATE |
Répertorier toutes les demandes de travail Big Data dans le compartiment spécifié | ListWorkRequests | BDS_INSPECT |
Afficher les détails relatifs aux demandes de travail spécifiées | GetWorkRequest | BDS_READ |
Afficher les journaux de la demande de travail spécifiée | ListWorkRequestLogs | BDS_INSPECT |
Afficher les erreurs de la demande de travail spécifiée | ListWorkRequestErrors | BDS_INSPECT |
Afficher les ressources utilisées | ListConsumptions | BDS_CONSUMPTION_INSPECT |
Répertorier les clés d'API sur le cluster indiqué | ListBdsApiKeys | BDS_READ |
Créer une clé d'API sur le cluster indiqué | CreateBdsApiKey | BDS_UPDATE |
Obtenir une clé d'API sur le cluster indiqué | GetBdsApiKey | BDS_READ |
Supprimer une clé d'API sur le cluster indiqué | DeleteBdsApiKey | BDS_UPDATE |
Tester l'accès au bucket de banque d'objets à l'aide de la clé d'API indiquée | TestBdsObjectStorageConnection | BDS_READ |
Attributs propres à une opération
Pour un type de ressource donné, vous devez disposer du même ensemble d'attributs pour toutes les opérations (get, list, delete, etc.). La seule exception concerne une opération "create" : dans la mesure où vous n'avez pas encore l'ID de l'objet, vous ne pouvez pas avoir d'attribut target.RESOURCE-KIND.id
.
Type de ressource | Nom | Type | Source |
---|---|---|---|
bds-instances | target.bds-instances.source-compartment.id | Entité | Demande |
bds-instances | target.bds-instances.destination-compartment.id | Entité | Demande |
Verbes IAM à utiliser avec Big Data Service
Type de ressource | inspecter | lu | utiliser | gestion |
---|---|---|---|---|
bds-instances | BDS_INSPECT | inspecter + BDS_READ |
lecture + BDS_UPDATE |
use + BDS_CREATE BDS_DELETE BDS_MOVE |
bds-limits | BDS_CONSUMPTION_INSPECT | . | . | . |
Exemple 1 : administrateurs disposant de tous les droits d'accès sur les clusters
L'instruction de stratégie suivante indique que les membres d'un groupe nommé bds-admins
peuvent inspecter, lire, mettre à jour, créer, supprimer et déplacer tous les clusters d'un compartiment nommé bds-learn
.
allow bds-admins to manage bds-instances in compartment bds-dev
Dans l'instruction ci-dessus :
-
bds-admins
est un groupe créé par un administrateur, -
manage
indique les opérations que les membres du groupebds-admins
peuvent utiliser.Manage
est l'un des verbes décrits dans Verbes IAM à utiliser avec Big Data Service. Il permet à un utilisateur/groupe d'utiliser toutes les opérations fournies par les verbesinspect
,read
etuse
, ainsi que quelques opérations qui lui sont propres:
- Le verbe
inspect
inclut l'opérationBDS_INSPECT
. - Le verbe
read
inclut les opérationsBDS_INSPECT
etBDS_READ
. - Le verbe
use
inclut les opérationsBDS_INSPECT
,BDS_READ
etBDS_UPDATE
. - Le verbe
manage
inclut les opérationsBDS_INSPECT
,BDS_READ
,BDS_UPDATE
,BDS_CREATE
,BDS_DELETE
etBDS_MOVE
.
- Le verbe
-
bds-dev
est un compartiment créé par un administrateur.
L'instruction de stratégie suivante indique que les membres du groupe bds-admins
peuvent gérer les ressources de réseau cloud virtuel dans l'ensemble de la location.
allow group bds-admins to manage virtual-network-family in tenancy
Exemple 2 : utilisateurs
L'instruction de stratégie suivante indique que les membres d'un groupe nommé bds-users
peuvent inspecter et lire tous les clusters du compartiment bds-learn
. (Le verbe read
inclut les droits d'accès inspect
et read
.)
allow bds-users to read bds-instances in compartment bds-learn
Plus d'informations
Pour plus d'informations sur les stratégies IAM, reportez-vous à Présentation d'Oracle Cloud Infrastructure Identity and Access Management dans la documentation Oracle Cloud Infrastructure. Pour plus de détails sur l'écriture de stratégies, reportez-vous à Syntaxe de stratégie et à Référence de stratégie.