Documentation Oracle Cloud Infrastructure

Stratégies IAM pour les groupes de positionnement de cluster

Ecrivez des stratégies IAM pour contrôler l'accès au service Cluster Placement Groups.

Types de ressource

cluster-placement-group

cluster-placement-groups

Variables prises en charge

Les groupes de positionnement de cluster prennent en charge toutes les variables générales, ainsi que celles répertoriées ici. Pour plus d'informations sur les variables générales prises en charge par les services Oracle Cloud Infrastructure, reportez-vous à Variables générales pour toutes les demandes.

Variable Type de variable Commentaires
target.cluster-placement-group.id Entité Utilisez cette variable pour déterminer si les opérations doivent être autorisées sur un groupe de placement de cluster spécifique en réponse à une demande de lecture, de mise à jour, de suppression ou de déplacement d'un groupe de placement de cluster, ou pour visualiser les informations relatives aux demandes de travail d'un groupe de placement de cluster.
target.cluster-placement-group.name String Utilisez cette variable pour déterminer si les opérations doivent être autorisées sur un groupe de placement de cluster spécifique en réponse à une demande de lecture, de mise à jour, de suppression ou de déplacement d'un groupe de placement de cluster, ou pour visualiser les informations relatives aux demandes de travail d'un groupe de placement de cluster. Cette variable ne peut pas être utilisée pour déterminer si des opérations doivent être autorisées sur un groupe de placement de cluster spécifique en réponse à une demande de création d'une ressource dans un groupe de placement de cluster spécifique.

Détails des combinaisons de verbe et de type de ressource

Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre, dans l'ordre suivant : inspect, read, use, manage.

Le signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule précédente, tandis que la mention no extra n'indique aucun accès incrémentiel.

Par exemple, le verbe read pour le type de ressource cluster-placement-group inclut les mêmes droits d'accès et opérations d'API que le verbe inspect, mais ajoute l'opération d'API GetClusterPlacementGroup. De même, le verbe manage pour le type de ressource cluster-placement-group accorde encore plus de droits d'accès que use. Pour le type de ressource cluster-placement-group, le verbe manage inclut les mêmes droits d'accès et opérations d'API que le verbe use, plus les droits d'accès CLUSTER_PLACEMENT_GROUP_CREATE, CLUSTER_PLACEMENT_GROUP_UPDATE, CLUSTER_PLACEMENT_GROUP_DELETE et CLUSTER_PLACEMENT_GROUP_MOVE, ainsi que plusieurs opérations d'API (CreateClusterPlacementGroup, UpdateClusterPlacementGroup, DeleteClusterPlacementGroup et ChangeClusterPlacementGroupCompartment).

groupe de placement de cluster

Verbes Droits d'accès API entièrement couvertes API partiellement couvertes
inspecter

CLUSTER_PLACEMENT_GROUP_INSPECT

ListClusterPlacementGroups

Aucune
lu

INSPECTER +

CLUSTER_PLACEMENT_GROUP_READ

INSPECTER +

GetClusterPlacementGroup

Aucune
utiliser

LIRE +

CLUSTER_PLACEMENT_GROUP_USE

  

no extra

Aucune
gestion

USE +

CLUSTER_PLACEMENT_GROUP_CREATE

CLUSTER_PLACEMENT_GROUP_UPDATE

CLUSTER_PLACEMENT_GROUP_DELETE

CLUSTER_PLACEMENT_GROUP_MOVE

USE +

CreateClusterPlacementGroup

UpdateClusterPlacementGroup

ChangeClusterPlacementGroupCompartment

ActivateClusterPlacementGroup

DeactivateClusterPlacementGroup

DeleteClusterPlacementGroup (requiert également le droit d'accès inspect all-resources)

Droits d'accès requis pour chaque opération d'API

Le tableau suivant présente les opérations d'API dans un ordre logique.

Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.

Opération d'API Droits d'accès requis pour utiliser l'opération
ListClusterPlacementGroups CLUSTER_PLACEMENT_GROUP_INSPECT
GetClusterPlacementGroup CLUSTER_PLACEMENT_GROUP_READ
CreateClusterPlacementGroup CLUSTER_PLACEMENT_GROUP_CREATE
UpdateClusterPlacementGroup CLUSTER_PLACEMENT_GROUP_UPDATE
DeleteClusterPlacementGroup CLUSTER_PLACEMENT_GROUP_DELETE
ChangeClusterPlacementGroupCompartment CLUSTER_PLACEMENT_GROUP_MOVE
DeactivateClusterPlacementGroup CLUSTER_PLACEMENT_GROUP_UPDATE
ActivateClusterPlacementGroup CLUSTER_PLACEMENT_GROUP_UPDATE

Exemples de stratégie

Voici quelques exemples de stratégie Cluster Placement Groups :

  • Autorisez les utilisateurs du groupe NetworkAdmins à créer et à mettre à jour toutes les ressources de groupes de positionnement de cluster dans l'ensemble de la location :

    Allow group NetworkAdmins to manage cluster-placement-groups in tenancy

  • Autorisez les utilisateurs du groupe ClusterPlacementGroupUsers à créer des ressources dans des groupes de placement de cluster dans l'ensemble de la location :

    Allow group ClusterPlacementGroupUsers to use cluster-placement-groups in tenancy

  • Autorisez les utilisateurs du groupe NetworkAdmins à répertorier les ressources des groupes de placement de cluster dans l'ensemble de la location :

    Allow group NetworkAdmins to inspect all-resources in tenancy

  • Autorisez les utilisateurs du groupe NetworkAdmins à supprimer toutes les ressources des groupes de positionnement de cluster dans l'ensemble de la location :

    Allow group NetworkAdmins to manage cluster-placement-groups in tenancy
Allow group NetworkAdmins to inspect all-resources in tenancy

Pour créer une instance ou un volume de blocs dans un groupe de placement de cluster, les utilisateurs ont besoin des droits d'accès suivants pour les autres ressources Oracle Cloud Infrastructure :

  • Gestion des instances
  • Lire les instances
  • Lire les modules d'extension d'agent d'instance (agent Oracle Cloud)
  • Gérer les volumes de blocs
  • Lire les volumes de blocs
  • Inspecter des demandes de travail
  • Utiliser des groupes de placement de cluster

Pour en savoir plus, reportez-vous à Détails des services de base.