6.4.2 Stratégies d'association inter-location
Votre organisation peut également vouloir créer dans sa location des connexions qui référencent des adresses privées dans une autre location, ou autoriser ses propres adresses privées à être utilisées par des connexions dans une autre location.
Pour autoriser un groupe IAM à créer de telles connexions inter-location, les administrateurs de location doivent écrire des instructions de stratégie d'association inter-location spéciales. Ces instructions utilisent les verbes Endosser et Admettre comme pour les instructions de stratégie inter-locations normales, mais au lieu d'accorder le droit d'effectuer une action telle que read ou use sur un type de ressource, elles accordent le droit d'associer deux types de ressource l'un à l'autre.
Instructions d'association inter-locations
Des instructions de stratégie d'association inter-location sont requises :
- Lorsqu'un groupe crée une connexion référençant une adresse privée qui n'est pas dans la même location que la connexion, ou met à jour une connexion existante pour en faire une référence.
- En plus des instructions de stratégie inter-locations normalement requises. Par exemple, des instructions inter-locations sont requises pour permettre au groupe d'utiliser l'adresse privée s'il se trouve dans une location différente de celle du groupe.
- Uniquement pour certaines paires de ressources. Database Tools les requiert uniquement pour les connexions et les adresses privées. Elles ne sont pas requises pour toutes les paires de ressources pouvant se référencer, telles que les connexions et les clés secrètes de coffre.
Une fois les connexions créées, les stratégies d'association inter-location ne sont pas requises pour les utiliser. Tout utilisateur autorisé à utiliser les connexions et à lire les clés secrètes référencées peut les utiliser.
Dans les exemples suivants, nous faisons référence à la location avec le groupe et la connexion en tant que location de groupe, et à la location avec l'adresse privée en tant que location de ressource.
Voici un exemple de configuration possible dans laquelle des instructions de stratégie d'association inter-location sont requises. Les connexions sont créées dans une location différente des adresses privées auxquelles elles font référence.
Vous pouvez également disposer des clés secrètes dans la location de groupe ou permuter les connexions et les adresses privées. Si les connexions et les adresses privées sont associées dans la même location, vous n'avez pas besoin de stratégies d'association inter-location.
Instructions de stratégie de la location de groupe
En tant qu'administrateur de location de groupe, vous créez des instructions de stratégie qui :
- Définissez un alias pour la location de ressource. L'administrateur de location de ressource doit fournir l'OCID de la location de ressource.
- Approuvez un groupe IAM dans votre location pour associer des connexions dans votre location ou compartiment à des adresses privées dans la location de ressource.
Vous pouvez également inclure les instructions de stratégie inter-location normales requises pour approuver le groupe afin d'accéder aux ressources dans la location de ressource.
Voici un exemple d'instructions de stratégie approuvant le groupe IAM DatabaseToolsConnectionManagers pour associer des connexions dans un compartiment de location de groupe, ConnectionsCompartment, à des adresses privées dans ResourceTenancy. Ils approuvent également le groupe pour lire les clés secrètes et utiliser des adresses privées dans ResourceTenancy :
Define tenancy ResourceTenancy as <resource_tenancy_ocid>
Endorse group DatabaseToolsConnectionManagers to associate database-tools-connections in compartment ConnectionsCompartment with database-tools-private-endpoints in tenancy ResourceTenancy
Endorse group DatabaseToolsConnectionManagers to read secret-family in tenancy ResourceTenancy
Endorse group DatabaseToolsConnectionManagers to use database-tools-private-endpoints in tenancy ResourceTenancy
Instructions de stratégie de la location de ressources
En tant qu'administrateur de location de ressource, vous créez des instructions de stratégie qui :
- Définissez les alias de la location de groupe et du groupe IAM autorisé à accéder aux ressources de votre location. L'administrateur de location de groupe doit fournir les OCID de la location de groupe et du groupe.
- Admettez le groupe pour associer des connexions dans la location de groupe à des adresses privées dans votre location ou compartiment.
Vous pouvez également inclure les instructions de stratégie inter-location normales requises pour autoriser le groupe à accéder aux ressources de votre location.
Voici un exemple d'instructions de stratégie qui admettent le groupe IAM DatabaseToolsConnectionManagers dans la location de groupe pour associer des connexions dans GroupTenancy à des adresses privées dans un compartiment de location de ressource, PrivateEndpointsCompartment. Ils admettent également que le groupe lit des clés secrètes et utilise des adresses privées dans PrivateEndpointsCompartment :
Define tenancy GroupTenancy as <group_tenancy_ocid>
Define group DatabaseToolsConnectionManagers as <database_tools_connection_managers_group_ocid>
Admit group DatabaseToolsConnectionManagers of tenancy GroupTenancy to
associate database-tools-connections in tenancy GroupTenancy with
database-tools-private-endpoints in compartment PrivateEndpointsCompartment
Admit group DatabaseToolsConnectionManagers of tenancy GroupTenancy to read
secret-family in compartment PrivateEndpointsCompartment
Admit group DatabaseToolsConnectionManagers of tenancy GroupTenancy to use
database-tools-private-endpoints in compartment PrivateEndpointsCompartment
Avec trois locations
Le groupe IAM peut également se trouver dans une troisième location. Supposons que le groupe se trouve dans une location appelée GroupTenancy, que les connexions se trouvent dans une location appelée ConnectionTenancy et que les adresses privées se trouvent dans une location appelée PrivateEndpointsTenancy.
Etant donné qu'il existe trois locations, trois instructions de stratégie d'association inter-location sont requises. Outre les instructions Define supplémentaires, GroupTenancy doit comporter une instruction Endorse et ConnectionTenancy et PrivateEndpointsTenancy doivent chacun comporter une instruction Admit.
Voici un exemple de configuration possible impliquant trois locations. Le groupe, les connexions et les adresses privées sont tous dans des locations distinctes. D'autres configurations possibles peuvent contenir les clés secrètes dans l'une des autres locations ou même dans une quatrième location, mais les stratégies d'association inter-location ne sont pas requises pour les connexions et les clés secrètes.
Voici un exemple d'instructions de stratégie dans GroupTenancy qui approuvent un groupe IAM dans la location, DatabaseToolsConnectionManagers, pour associer des connexions dans ConnectionTenancy à des adresses privées dans PrivateEndpointTenancy. Il approuve également le groupe permettant de gérer les connexions dans ConnectionTenancy, de lire les clés secrètes et d'utiliser des adresses privées dans PrivateEndpointTenancy :
Define tenancy ConnectionTenancy as <connection_tenancy_ocid>
Define tenancy PrivateEndpointTenancy as <private_endpoint_tenancy_ocid>
Endorse group DatabaseToolsConnectionManagers to associate
database-tools-connections in tenancy ConnectionTenancy with
database-tools-private-endpoints in tenancy PrivateEndpointTenancy
Endorse group DatabaseToolsConnectionManagers to manage
database-tools-connections in tenancy ConnectionTenancy
Endorse group DatabaseToolsConnectionManagers to read secret-family
in tenancy PrivateEndpointTenancy
Endorse group DatabaseToolsConnectionManagers to use
database-tools-private-endpoints in tenancy PrivateEndpointTenancy
Voici un exemple d'instructions de stratégie dans ConnectionTenancy qui approuvent DatabaseToolsConnectionManagers pour associer des connexions dans la location à des adresses privées dans PrivateEndpointTenancy. Il autorise également le groupe à gérer les connexions dans un compartiment nommé ConnectionsCompartment :
Define tenancy GroupTenancy as <group_tenancy_ocid>
Define tenancy PrivateEndpointTenancy as <private_endpoint_tenancy_ocid>
Admit group DatabaseToolsConnectionManagers of tenancy GroupTenancy to
associate database-tools-connections in tenancy with
database-tools-private-endpoints in tenancy PrivateEndpointTenancy
Admit group DatabaseToolsConnectionManagers of tenancy GroupTenancy to manage
database-tools-connections in compartment ConnectionsCompartmentVoici un exemple d'instructions de stratégie dans PrivateEndpointTenancy qui approuvent DatabaseToolsConnectionManagers pour associer des connexions dans ConnectionTenancy à des adresses privées dans la location. Elle autorise également le groupe à lire des clés secrètes et à utiliser des adresses privées dans un compartiment appelé PrivateEndpointsCompartment :
Define tenancy GroupTenancy as <group_tenancy_ocid>
Define tenancy ConnectionTenancy as <connection_tenancy_ocid>
Admit group DatabaseToolsConnectionManagers of tenancy GroupTenancy to
associate database-tools-connections in tenancy ConnectionTenancy
with database-tools-private-endpoints in tenancy
Admit group DatabaseToolsConnectionManagers of tenancy GroupTenancy to read
secret-family in compartment PrivateEndpointsCompartment
Admit group DatabaseToolsConnectionManagers of tenancy GroupTenancy to use
database-tools-private-endpoints in compartment PrivateEndpointsCompartment