Gestion des certificats

Stratégie IAM requise

Pour utiliser Oracle Cloud Infrastructure, un administrateur doit vous accorder un accès de sécurité dans une stratégie (IAM) . Cet accès est requis, que vous utilisiez la console ou l'API REST avec un kit SDK, une interface de ligne de commande ou un autre outil. Si un message vous informe que vous n'êtes pas autorisé ou que vous n'y êtes pas autorisé, vérifiez auprès de l'administration le type d'accès qui vous est accordé et le compartiment dans lesquels vous devez travailler.

La stratégie suivante autorise le groupe d'exemple CertificateAdmins à gérer les certificats et les packages d'autorité de certification. Elle permet plus précisément de répertorier toutes les ressources incluses dans le type agrégé de ressource certificate-authority-family (sans donner accès aux informations confidentielles). Elle autorise également le groupe d'exemple à utiliser le type de ressource certificate-authority-delegate. (Le groupe d'exemple peut utiliser n'importe quelle autorité de certification du compartiment pour signer un certificat, mais il ne peut pas créer, mettre à jour ou supprimer des autorités de certification). Enfin, elle autorise le groupe à effectuer n'importe quelle opération avec les ressources incluses dans le type agrégé de ressource leaf-certificate-family. L'accès est limité aux ressources contenues dans les compartiments d'exemple indiqués.

Allow group CertificateAdmins to inspect certificate-authority-family in compartment ABC
Allow group CertificateAdmins to use certificate-authority-delegate in compartment ABC
Allow group CertificateAdmins to manage leaf-certificate-family in compartment ABC

Ces instructions fournissent l'accès minimal requis pour effectuer les tâches d'administration avec des certificats, comme décrit plus tard dans cette section.

Vous pouvez autoriser un groupe à utiliser des certificats tout en limitant sa capacité à créer, à mettre à jour ou à supprimer des ressources associées aux certificats. La stratégie suivante autorise le groupe d'exemple CertificateUsers à lire et à mettre à jour des certificats et des packages d'autorité de certification. Elle autorise également le groupe à renouveler les certificats. L'accès est limité aux ressources contenues dans les compartiments d'exemple indiqués.

Allow group CertificateUsers to use leaf-certificate-family in compartment DEF
Allow group CertificateUsers to use certificate-authority-delegate in compartment DEF
Allow group CertificateUsers to manage certificate-associations in compartment DEF
Allow group CertificateUsers to inspect certificate-authority-associations in compartment DEF
Allow group CertificateUsers to manage cabundle-associations in compartment DEF
Enfin, vous voudrez peut-être donner accès à un groupe qui ne leur permet de lire que certains types de certificats groupés dans le cadre de leur travail. La stratégie suivante autorise le groupe d'exemples CertificateDevelopers à lire des groupes de certificats avec le contenu du certificat, la clé privée au format PEM et la phrase de passe de la clé privée. L'accès est limité aux ressources du compartiment d'exemple indiqué.
Allow group CertificateDevelopers to read leaf-certificate-bundles in compartment ABC where target.leaf-certificate.bundle-type='CERTIFICATE_CONTENT_WITH_PRIVATE_KEY'

Pour obtenir plus d'informations sur les droits d'accès ou pour écrire des stratégies plus ou moins restrictives, reportez-vous à Détails du service Certificates. Si vous ne connaissez pas les stratégies, reportez-vous à Introduction aux stratégies et à Stratégies courantes.