Stratégies IAM de cache OCI

Découvrez les stratégies IAM requises et les détails des droits d'accès pour OCI Cache.

Droits d'accès utilisateur

Pour créer ou gérer un cluster, les utilisateurs doivent disposer de droits d'accès permettant de créer et de gérer les ressources réseau requises, en plus des droits d'accès permettant de créer et de gérer des ressources OCI Cache.

L'exemple de stratégie suivant accorde les droits d'accès suivants au groupe ClusterAdmins :

Allow group ClusterAdmins to manage redis-family in compartment <USER_COMPARTMENT>
Allow group ClusterAdmins to manage virtual-network-family in compartment <USER_COMPARTMENT>

Vous pouvez configurer ces droits d'accès avec plus de précision. Reportez-vous à Exemples de stratégie.

Types de ressource et droits d'accès

Liste des types de ressource OCI Cache et des droits d'accès associés.

Pour affecter des droits d'accès à toutes les ressources OCI Cache, utilisez le type d'agrégation redis-family. Pour plus d'informations, reportez-vous à Droits d'accès.

Le tableau suivant répertorie toutes les ressources dans redis-family :


Nom de famille	Type de ressource individuel
`redis-family`	`redis-clusters` `oci-cache-users` `oci-cache-configsets` `redis-work-requests`

Une stratégie qui utilise <verb> redis-family équivaut à écrire une stratégie avec une instruction <verb> <resource-type> distincte pour chaque type de ressource individuel.


Type de ressource	Droits d'accès
redis-clusters	REDIS_CLUSTER_INSPECT REDIS_CLUSTER_READ REDIS_CLUSTER_USE REDIS_CLUSTER_MANAGE
utilisateurs oci-cache	OCI_CACHE_USER_INSPECT OCI_CACHE_USER_READ OCI_CACHE_USER_USE OCI_CACHE_USER_MANAGE
oci-cache-configsets	OCI_CACHE_CONFIGSET_INSPECT OCI_CACHE_CONFIGSET_READ OCI_CACHE_CONFIGSET_USE OCI_CACHE_CONFIGSET_MANAGE
redis-work-requests	REDIS_WORK_REQUEST_INSPECT REDIS_WORK_REQUEST_READ REDIS_WORK_REQUEST_MANAGE

Détails des combinaisons de verbe et de type de ressource

Identifiez les droits d'accès et Les opérations d'API couverts par chaque verbe pour les ressources OCI Cache.

Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre, dans l'ordre suivant : inspect, read, use, manage. Un signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule précédente.

Pour plus d'informations sur l'octroi d'accès, reportez-vous à Droits d'accès.

redis-clusters


Verbes	Droits d'accès	API entièrement couvertes	API partiellement couvertes
inspect	`REDIS_CLUSTER_INSPECT`	`ListRedisClusters`	aucun
`read`	`inspect+` `REDIS_CLUSTER_READ`	`inspect+` `GetRedisCluster`	aucun
`use`	`read+` `REDIS_CLUSTER_USE`	`read+` `ChangeRedisClusterCompartment` `ListAttachedOciCacheUsers`	`AttachOciCacheUsers` (requiert également `OCI_CACHE_USER_USE`) `DetachOciCacheUsers` (requiert également `OCI_CACHE_USER_USE`) `Generate Token for OCI Cache User` (requiert également `OCI_CACHE_USER_USE`) `UpdateRedisCluster` (requiert également `OCI_CACHE_CONFIGSET_USE`)
`manage`	`use+` `REDIS_CLUSTER_MANAGE`	`use+` `DeleteRedisCluster`	`CreateRedisCluster` (requiert également `OCI_CACHE_CONFIGSET_USE`)

utilisateurs oci-cache


Verbes	Droits d'accès	API entièrement couvertes	API partiellement couvertes
`inspect`	`OCI_CACHE_USER_INSPECT`	`ListOciCacheUsers`	aucun
`read`	`inspect+` `OCI_CACHE_USER_READ`	`inspect+` `GetOciCacheUser`	aucun
`use`	`read+` `OCI_CACHE_USER_USE`	`read+` `ChangeOciCacheUserCompartment` `UpdateOciCacheUser`	`AttachOciCacheUsers` (requiert également `REDIS_CLUSTER_USE`) `DetachOciCacheUsers` (requiert également `REDIS_CLUSTER_USE`) `Generate Token for OCI Cache User` (requiert également `REDIS_CLUSTER_USE`)
`manage`	`use+` `OCI_CACHE_USER_MANAGE`	`use+` `CreateOciCacheUser` `DeleteOciCacheUser`	aucun

oci-cache-configsets


Verbes	Droits d'accès	API entièrement couvertes	API partiellement couvertes
`inspect`	`OCI_CACHE_CONFIGSET_INSPECT`	`ListOciCacheConfigSets` `ListOciCacheDefaultConfigSets`	aucun
`read`	`inspect+` `OCI_CACHE_CONFIGSET_READ`	`inspect+` `GetOciCacheConfigSet` `GetOciCacheDefaultConfigSet`	aucun
`use`	`read+` `OCI_CACHE_CONFIGSET_USE`	`read+` `ChangeOciCacheConfigSetCompartment` `ListAssociatedOciCacheClusters` `UpdateOciCacheConfigSet`	`CreateRedisCluster` (requiert également `REDIS_CLUSTER_MANAGE`) `UpdateRedisCluster` (requiert également `REDIS_CLUSTER_USE`)
`manage`	`use+` `OCI_CACHE_CONFIGSET_MANAGE`	`use+` `CreateOciCacheConfigSet` `DeleteOciCacheConfigSet`	aucun

redis-work-requests


Verbes	Droits d'accès	API entièrement couvertes	API partiellement couvertes
`inspect`	`REDIS_WORK_REQUEST_INSPECT`	`ListWorkRequests`	aucun
`read`	`inspect+` `REDIS_WORK_REQUEST_READ`	`inspect+` `ListWorkRequestErrors` `ListWorkRequestLogs` `GetWorkRequest`	aucun
`manage`	`use+` `REDIS_WORK_REQUEST_MANAGE`	`use+` `DeleteWorkRequest`	aucun

Droits d'accès requis pour chaque opération d'API

Le tableau suivant répertorie les opérations d'API pour OCI Cache dans un ordre logique, regroupées par type de ressource.


Opération d'API	Droits d'accès requis pour utiliser l'opération
`ListRedisClusters`	REDIS_CLUSTER_INSPECT
`GetRedisCluster`	REDIS_CLUSTER_READ
`CreateRedisCluster`	REDIS_CLUSTER_MANAGE, OCI_CACHE_CONFIGSET_USE
`ListAttachedOciCacheUsers`	REDIS_CLUSTER_USE
`UpdateRedisCluster`	REDIS_CLUSTER_USE, OCI_CACHE_CONFIGSET_USE
`ChangeRedisClusterCompartment`	REDIS_CLUSTER_USE
`DeleteRedisCluster`	REDIS_CLUSTER_MANAGE
`ListOciCacheUsers`	OCI_CACHE_USER_INSPECT
`GetOciCacheUser`	OCI_CACHE_USER_READ
`CreateOciCacheUser`	OCI_CACHE_USER_MANAGE
`UpdateOciCacheUser`	OCI_CACHE_USER_USE
`ChangeOciCacheUserCompartment`	OCI_CACHE_USER_USE
`DeleteOciCacheUser`	OCI_CACHE_USER_MANAGE
`AttachOciCacheUsers`	REDIS_CLUSTER_USE, OCI_CACHE_USER_USE
`DetachOciCacheUsers`	REDIS_CLUSTER_USE, OCI_CACHE_USER_USE
`Generate Token for OCI Cache User`	REDIS_CLUSTER_USE, OCI_CACHE_USER_USE
`ListOciCacheConfigSets`	OCI_CACHE_CONFIGSET_INSPECT
`GetOciCacheConfigSet`	OCI_CACHE_CONFIGSET_READ
`CreateOciCacheConfigSet`	OCI_CACHE_CONFIGSET_MANAGE
`UpdateOciCacheConfigSet`	OCI_CACHE_CONFIGSET_USE
`ChangeOciCacheConfigSetCompartment`	OCI_CACHE_CONFIGSET_USE
`DeleteOciCacheConfigSet`	OCI_CACHE_CONFIGSET_MANAGE
`ListAssociatedOciCacheClusters`	OCI_CACHE_CONFIGSET_USE
`ListOciCacheDefaultConfigSets`	OCI_CACHE_CONFIGSET_INSPECT
`GetOciCacheDefaultConfigSet`	OCI_CACHE_CONFIGSET_READ
`ListWorkRequests`	REDIS_WORK_REQUEST_INSPECT
`ListWorkRequestErrors`	REDIS_WORK_REQUEST_READ
`ListWorkRequestLogs`	REDIS_WORK_REQUEST_READ
`GetWorkRequest`	REDIS_WORK_REQUEST_READ
`DeleteWorkRequest`	REDIS_WORK_REQUEST_MANAGE

Exemples de stratégie

Les instructions de stratégie suivantes permettent au groupe ClusterAdmins d'utiliser et de gérer les ressources OCI Cache.

Autorise uniquement l'accès à des réseaux cloud virtuels, des compartiments et des sous-réseaux.

Allow group ClusterAdmins to use compartments in tenancy

Allow group ClusterAdmins to use vcns in compartment <USER_NETWORK_COMPARTMENT_NAME>

Allow group ClusterAdmins to use subnet in compartment <USER_NETWORK_COMPARTMENT_NAME>

Allow group ClusterAdmins to use network-security-groups in compartment <USER_NETWORK_COMPARTMENT_NAME>

Allow group ClusterAdmins to use vcns in compartment <USER_ENGINEERING_COMPARTMENT_NAME>

Remarque

Les réseaux cloud virtuels se trouvent dans le compartiment Réseau, tandis que les clusters se trouvent dans le compartiment Engineering.

Autorise l'accès à des cartes d'interface réseau virtuelles à usage unique dans le compartiment Engineering. Par exemple :
```
Allow group ClusterAdmins to use VNICs in compartment <USER_ENGINEERING_COMPARTMENT_NAME>
```

Autorise la gestion à créer ou mettre à jour des adresses privées. Par exemple :

Allow group ClusterAdmins to manage redis-family in compartment <USER_ENGINEERING_COMPARTMENT_NAME>

Allow group ClusterAdmins to manage redis-work-requests in compartment <USER_ENGINEERING_COMPARTMENT_NAME>

Allow group ClusterAdmins to manage vcns in compartment <USER_NETWORK_COMPARTMENT_NAME> where ALL{ ANY
{ request.operation = 'CreatePrivateEndpoint', request.operation = 'UpdatePrivateEndpoint', request.operation ='DeletePrivateEndpoint', request.operation = 'EnableReverseConnection', request.operation = 'ModifyReverseConnection', request.operation = 'DisableReverseConnection' }
, ANY {request.operation = 'CreateRedisCluster', request.operation = 'DeleteRedisCluster' , request.operation = 'UpdateRedisCluster' } }

(Facultatif) Autorise le trafic sur les ports Redis. Par exemple :

Allow group ClusterAdmins to manage security-lists in compartment <USER_NETWORK_COMPARTMENT_NAME> where ANY
{ request.operation = 'CreateRedisCluster', request.operation = 'DeleteRedisCluster' , request.operation = 'UpdateRedisCluster' }

Remarque

Si la stratégie n'est pas fournie, vous devez ajouter des règles de sécurité et autoriser le trafic TCP pour les ports 6379.

L'instruction de stratégie suivante permet au groupe ClusterUsers d'utiliser des clusters, mais de restreindre les autres accès :

Allow group ClusterUsers to use redis-clusters in compartment <USER_COMPARTMENT>

L'instruction de stratégie suivante permet au groupe CacheUsers d'utiliser les utilisateurs OCI Cache :

Allow group CacheUsers to use oci-cache-users in compartment <USER_COMPARTMENT>

Les instructions de stratégie suivantes autorisent la gestion à attacher et détacher des adresses privées :

Allow group ClusterAdmins to manage vcns in compartment <USER_NETWORK_COMPARTMENT_NAME> where ALL{ ANY
{ request.operation = 'CreatePrivateEndpoint', request.operation = 'UpdatePrivateEndpoint', request.operation ='DeletePrivateEndpoint', request.operation = 'EnableReverseConnection', request.operation = 'ModifyReverseConnection', request.operation = 'DisableReverseConnection' }
, ANY {request.operation = 'CreateRedisCluster', request.operation = 'DeleteRedisCluster' , request.operation = 'UpdateRedisCluster', request.operation = 'AttachOciCacheUsers', request.operation = 'DetachOciCacheUsers' } }

L'instruction de stratégie suivante autorise le trafic sur les ports Redis pour l'attachement et le détachement :

Allow group ClusterAdmins to manage security-lists in compartment <USER_NETWORK_COMPARTMENT_NAME> where ANY
{ request.operation = 'CreateRedisCluster', request.operation = 'DeleteRedisCluster' , request.operation = 'UpdateRedisCluster',  request.operation = 'AttachOciCacheUsers', request.operation = 'DetachOciCacheUsers'}

L'instruction de stratégie suivante permet au groupe ClusterConfig d'utiliser les configurations OCI Cache :

Allow group ClusterConfig to use oci-cache-configsets in compartment <USER_COMPARTMENT>

Si vous ne connaissez pas les stratégies, reportez-vous à Introduction aux stratégies et à Stratégies courantes.