Stratégies d'accès géré

Créez des stratégies Oracle Cloud Infrastructure Identity and Access Management (IAM) pour contrôler l'accès aux ressources Oracle Managed Access, ainsi que le type d'accès de chaque groupe d'utilisateurs.

Par défaut, seuls les utilisateurs du groupe Administrators ont accès à toutes les ressources Managed Access. Si vous ne connaissez pas les stratégies IAM, reportez-vous à Introduction aux stratégies. Les stratégies Oracle Managed Access prises en charge utilisent le terme lockbox pour afficher une ressource Oracle Managed Access.

Pour obtenir la liste complète de toutes les stratégies dans Oracle Cloud Infrastructure, reportez-vous à Référence de stratégie.

Remarque

Oracle Managed Access est uniquement pris en charge pour les clients Fusion Applications qui s'abonnent à Break Glass.

Détails pour Oracle Managed Access

Cette rubrique traite des détails relatifs à l'écriture de stratégies visant à contrôler l'accès au service Managed Access.

Types de ressource

Les types de ressource suivants sont liés à Oracle Managed Access.

Cette rubrique traite des détails relatifs à l'écriture de stratégies visant à contrôler l'accès aux ressources Managed Access.


Type de ressource	Autorisations d'accès
`lockboxes`	`LOCKBOXES_INSPECT` `LOCKBOXES_READ` `LOCKBOXES_CREATE` `LOCKBOXES_UPDATE` `LOCKBOXES_DELETE` `LOCKBOXES_MOVE`
`approval-templates`	`APPROVAL_TEMPLATES_INSPECT` `APPROVAL_TEMPLATES_READ` `APPROVAL_TEMPLATES_CREATE` `APPROVAL_TEMPLATES_UPDATE` `APPROVAL_TEMPLATES_DELETE` `APPROVAL_TEMPLATES_MOVE` `APPROVAL_TEMPLATES_ATTACH`
`access-requests`	`ACCESS_REQUESTS_INSPECT` `ACCESS_REQUESTS_READ` `ACCESS_REQUESTS_CREATE` `ACCESS_REQUESTS_ACTION_HANDLE`
`access-approvals`	`ACCESS_APPROVALS_INSPECT` `ACCESS_APPROVALS_READ` `ACCESS_APPROVALS_CREATE` `ACCESS_APPROVALS_ACTION_REVOKE` `ACCESS_APPROVALS_RETRIEVE`

Une stratégie qui utilise <verb> lockbox-family est égale à l'écriture d'une stratégie avec une instruction <verb> <resource-type> distincte pour chaque type de ressource.

Types individuels de ressource

lockbox

lockboxes

approval-template

approval-templates

access-request

access-requests

access-approval

access-approvals

Types agrégés de ressource

lockbox-family

Variables prises en charge

Les stratégies IAM pour Managed Access prennent en charge toutes les variables de stratégie générales.

Pour plus d'informations sur les variables générales prises en charge par les services Oracle Cloud Infrastructure, reportez-vous à Variables générales pour toutes les demandes.

Détails des combinaisons de verbe et de type de ressource

Affichez les droits d'accès couverts par chaque verbe pour les ressources Oracle Managed Access.

Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre, dans l'ordre suivant : inspect, read, use, manage.

Le signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule précédente, tandis que la mention no extra n'indique aucun accès incrémentiel.

access-approval


Verbes	Autorisations d'accès
inspecter	`ACCESS_APPROVAL_INSPECT`
lecture	+ inspect `ACCESS_APPROVAL_READ`
utiliser	+ read `ACCESS_APPROVAL_RETRIEVE`
Gestion	+ use `ACCESS_APPROVAL_CREATE` `ACCESS_APPROVAL_ACTION_REVOKE`

access-request


Verbes	Autorisations d'accès
inspecter	`ACCESS_REQUEST_INSPECT`
lecture	+ inspect `ACCESS_REQUEST_READ`
utiliser	+ read
Gestion	+ use `ACCESS_REQUEST_CREATE` `ACCESS_REQUEST_ACTION_HANDLE`

approval-template


Verbes	Autorisations d'accès
inspecter	`APPROVAL_TEMPLATE_INSPECT` `GROUP_INSPECT` : à utiliser lorsque vous indiquez un groupe dans le modèle d'approbation. `USER_INSPECT` : à utiliser lorsque vous indiquez un utilisateur dans le modèle d'approbation.
lecture	+ inspect `APPROVAL_TEMPLATE_READ`
utiliser	+ read `APPROVAL_TEMPLATE_ATTACH`
Gestion	+ use `APPROVAL_TEMPLATE_CREATE` `APPROVAL_TEMPLATE_UPDATE` `APPROVAL_TEMPLATE_DELETE` `APPROVAL_TEMPLATE_MOVE`

lockbox


Verbes	Autorisations d'accès
inspecter	`LOCKBOX_INSPECT`
lecture	+ inspect `LOCKBOX_READ`
utiliser	+ read `LOCKBOX_UPDATE`
Gestion	+ use `LOCKBOX_CREATE` `LOCKBOX_DELETE` `LOCKBOX_MOVE`

Droits d'accès requis pour chaque opération d'API

Le tableau suivant répertorie les opérations d'API Managed Access dans un ordre logique, regroupées par type de ressource.

Pour plus d'informations sur les droits d'accès, reportez-vous à Stratégies Managed Access.


Opérations	Autorisations d'accès
`ListLockboxes`	`LOCKBOX_INSPECT`
`CreateLockbox`	`LOCKBOX-CREATE`
`GetLockbox`	`LOCKBOX_READ`
`UpdateLockbox`	`LOCKBOX_UPDATE` `LOCKBOX_UPDATE & APPROVAL_TEMPLATE_ATTACH`
DeleteLockbox	`LOCKBOX_DELETE`
ChangeLockboxCompartment	`LOCKBOX_MOVE`
ListApprovalTemplates	`APPROVAL_TEMPLATE_INSPECT`
CreateApprovalTemplate	`APPROVAL_TEMPLATE_CREATE` `GROUP_INSPECT` : à utiliser lorsque vous indiquez un groupe dans le modèle d'approbation. `USER_INSPECT` : à utiliser lorsque vous indiquez un utilisateur dans le modèle d'approbation.
GetApprovalTemplate	`APPROVAL_TEMPLATE_READ`
UpdateApprovalTemplate	`APPROVAL_TEMPLATE_UPDATE` `GROUP_INSPECT` : à utiliser lorsque vous indiquez un groupe dans le modèle d'approbation. `USER_INSPECT` : à utiliser lorsque vous indiquez un utilisateur dans le modèle d'approbation.
DeleteApprovalTemplate	`APPROVAL_TEMPLATE_DELETE`
ChangeApprovalTemplateCompartment	`APPROVAL_TEMPLATE_MOVE`
ListAccessRequests	`ACCESS_REQUEST_INSPECT`
CreateAccessRequest	`ACCESS_REQUEST_CREATE`
GetAccessRequest	`ACCESS_REQUEST_READ`
HandleAccessRequest	`ACCESS_REQUEST_CREATE` `ACCESS_REQUEST_ACTION_HANDLE`
GetAccessMaterials	`ACCESS_REQUEST_CREATE`
ListAccessApproval	`ACCESS_APPROVAL_INSPECT`
GetAccessApproval	`ACCESS_APPROVAL_READ`
CreateAccessApproval	`ACCESS_APPROVAL_CREATE`
GetAccessMaterials	`ACCESS_APPROVAL_RETRIEVE`
RevokeAccessApproval	`ACCESS_APPROVAL_ACTION_REVOKE`

Exemples de stratégie

Apprenez-en plus sur les stratégies IAM pour Oracle Managed Access grâce à ces exemples.

Pour autoriser les utilisateurs du groupe SecurityAdmins à créer, à mettre à jour et à supprimer toutes les ressources Managed Access dans l'ensemble de la location, exécutez la commande suivante :
```
Allow group SecurityAdmins to manage lockbox-family in tenancy
Allow group operators to inspect access-request in compartment tenancy
```

Pour toutes les stratégies, reportez-vous à Stratégies d'accès géré.

Documentation Oracle Cloud Infrastructure