File Storage avec des stratégies Lustre

Utilisez le service Oracle Cloud Infrastructure Identity and Access Management (IAM) afin de créer des stratégies pour File Storage avec des ressources Lustre.

Cette rubrique traite de la rédaction de stratégies visant à contrôler l'accès au service File Storage with Lustre. Pour plus d'informations, reportez-vous à Présentation des stratégies IAM.

Présentation de la syntaxe de stratégie

La syntaxe générale d'une instruction de stratégie est la suivante :

allow <subject> to <verb> <resource-type> in <location> where <condition>

Voici des exemples de ce que vous pouvez indiquer :

Un groupe ou un groupe dynamique par son nom ou son OCID en tant que <subject>. Vous pouvez également utiliser any-user pour couvrir tous les utilisateurs dans la location.
inspect, read, use et manage en tant que <verb> pour accorder à <subject> des droits d'accès.

Lorsque vous passez de inspect à read, puis à use, puis à manage, le niveau d'accès augmente généralement et les droits d'accès octroyés sont cumulés. Par exemple, use inclut read et autorise en plus la mise à jour.
Une famille de ressources telle que virtual-network-family pour resource-type. Vous pouvez également indiquer une ressource individuelle d'une famille telle que vcns ou subnets.
Un compartiment par son nom ou son OCID en tant que <location>. Vous pouvez également utiliser tenancy pour couvrir l'intégralité de la location.

Pour plus d'informations sur la création de stratégies, reportez-vous à Introduction aux stratégies et à Référence de stratégie.

Types de ressource

Pour permettre aux utilisateurs d'accéder à File Storage avec des ressources Lustre, créez des stratégies IAM avec File Storage avec des types de ressource Lustre.

Type agrégé de ressource

lustre-file-family

Une stratégie qui utilise <verb> lustre-file-family équivaut à écrire une règle avec une instruction <verb> <individual resource-type> distincte pour chaque type individuel de ressource.

Reportez-vous aux tableaux dans Détails des combinaisons de verbes et de type de ressource afin d'obtenir des détails sur le type individuel de ressource inclus dans lustre-file-family pour chaque opération d'API couverte par chaque verbe.

Types individuels de ressource

Pour accéder à File Storage avec des ressources Lustre, utilisez chacun des types de ressource suivants :

lustre-file-system
lfs-work-request

Pour plus d'informations, reportez-vous à Exemples de stratégie.

Variables prises en charge

Le service File Storage with Lustre prend en charge toutes les variables générales, ainsi que celles répertoriées ici.

Pour plus d'informations sur les variables générales prises en charge par Les services OCI, reportez-vous à Variables générales pour toutes les demandes.


Variable	Type de variable	Source
`target.lustre-file-system.id`	Entité (OCID)	Demande

Détails des combinaisons de verbe et de type de ressource

Vous pouvez utiliser différents verbes et types de ressource Oracle Cloud Infrastructure pour créer une stratégie.

Les tableaux suivants indiquent les droits d'accès et les opérations d'API couverts par chaque verbe pour File Storage with Lustre. Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre, dans l'ordre suivant : inspect, read, use, manage. La présence d'un signe plus (+) dans une cellule de tableau indique l'accès incrémentiel par rapport à la cellule qui la précède directement, tandis que la référence "aucun autre élément supplémentaire" indique l'absence d'accès incrémentiel.

système de fichiers lustre


Verbes	Droits d'accès	API entièrement couvertes	API partiellement couvertes
inspect	LUSTRE_FILE_SYSTEM_INSPECT	`ListLustreFileSystems`	aucun
lire	INSPECT + LUSTRE_FILE_SYSTEM_READ	INSPECT + `GetLustreFileSystem`	aucun
utiliser	READ + LUSTRE_FILE_SYSTEM_UPDATE	READ + `UpdateLustreFileSystem`	aucun
manage	USE + LUSTRE_FILE_SYSTEM_CREATE LUSTRE_FILE_SYSTEM_DELETE LUSTRE_FILE_SYSTEM_MOVE	USE + `CreateLustreFileSystem` `DeleteLustreFileSystem` `ChangeLustreFileSystemCompartment`	aucun

lfs-work-request


Verbes	Droits d'accès	API entièrement couvertes	API partiellement couvertes
inspect	LFS_WORK_REQUEST_INSPECT	`ListWorkRequests` `ListWorkRequestErrors` `ListWorkRequestLogs`	aucun
lire	INSPECT + LFS_WORK_REQUEST_READ	INSPECT + `GetWorkRequest`	aucun
utiliser	READ + aucun	READ + aucun	aucun
manage	USE + LFS_WORK_REQUEST_DELETE	USE + `CancelWorkRequest`	aucun

Droits d'accès requis pour chaque opération d'API

Le tableau suivant répertorie les opérations d'API pour OCI Database with PostgreSQL dans un ordre logique, regroupées par type de ressource.

Les types de ressource sont lustre-file-system et lfs-work-request.

Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.

Droits d'accès requis
Opération d'API	Droits d'accès requis pour utiliser l'opération
`ListLustreFileSystems`	LUSTRE_FILE_SYSTEM_INSPECT
`GetLustreFileSystem`	LUSTRE_FILE_SYSTEM_READ
`CreateLustreFileSystem`	LUSTRE_FILE_SYSTEM_CREATE
`UpdateLustreFileSystem`	LUSTRE_FILE_SYSTEM_UPDATE
`DeleteLustreFileSystem`	LUSTRE_FILE_SYSTEM_DELETE
`ChangeLustreFileSystemCompartment`	LUSTRE_FILE_SYSTEM_MOVE
`ListWorkRequests`	LFS_WORK_REQUEST_INSPECT
`GetWorkRequest`	LFS_WORK_REQUEST_READ
`CancelWorkRequest`	LFS_WORK_REQUEST_DELETE
`ListWorkRequestErrors`	LFS_WORK_REQUEST_INSPECT
`ListWorkRequestLogs`	LFS_WORK_REQUEST_INSPECT

Exemples de stratégie

Utilisez les exemples suivants pour créer des stratégies communes en plus de celles requises pour les systèmes de fichiers et de celles requises si vous chiffrez des systèmes de fichiers avec votre propre clé.

Autoriser un groupe à utiliser mais pas à supprimer des systèmes de fichiers

allow group lfsadminusers to use lustre-file-family in compartment <file_system_compartment>

Documentation Oracle Cloud Infrastructure