Documentation Oracle Cloud Infrastructure

Stratégies inter-locations

Votre organisation peut souhaiter accéder aux ressources d'autres locations ou partager des ressources avec une autre organisation qui possède sa propre location. L'autre organisation peut être une autre unité opérationnelle de votre société, un client, une société qui fournit des services à cette dernière, etc. Vous avez alors besoin de stratégies inter-locations en plus des stratégies normalement requises.

Pour accéder aux ressources et les partager, les administrateurs des deux locations doivent créer des instructions de stratégie inter-locations spéciales qui affichent de façon explicite les ressources accessibles et pouvant être partagées. Ces instructions spéciales utilisent les mots Endorse, Admit et Define.

Instructions Endorse, Admit et Define

Présentation des verbes spéciaux utilisés dans les instructions inter-locations :

  • Endorse : présente l'ensemble général des fonctionnalités qu'un groupe de votre location peut effectuer dans d'autres locations. L'instruction Endorse appartient toujours à la location contenant le groupe d'utilisateurs qui accède à l'autre location pour utiliser ses ressources. Dans les exemples, nous désignons cette location comme la location de groupe.
  • Admit : indique le type de capacité dans votre location que vous voulez accorder à un groupe d'une autre location. L'instruction Admit appartient à la location qui accorde l'"admission". L'instruction Admit identifie le groupe d'utilisateurs nécessitant un accès aux ressources à partir de la location de groupe, ce groupe étant identifié par une instruction Endorse correspondante. Dans les exemples, nous désignons cette location comme la location de ressource.

  • Define : affecte un alias à un OCID de location pour les instructions de stratégie Endorse et Admit. Une instruction Define est également requise dans la location de ressource afin d'affecter un alias à l'OCID de groupe IAM à partir de la location de groupe pour les instructions Admit. L'alias est un nom convivial de votre choix. Vous n'avez pas besoin d'utiliser le nom d'affichage réel de la location ou du groupe.

    Incluez une instruction Define dans la même entité de stratégie que l'instruction Endorse ou Admit.

Les instructions Endorse et Admit sont utilisées conjointement. Une instruction Endorse réside dans la location de groupe tandis qu'une instruction Admit réside dans la location de ressource. Sans instruction correspondante définissant l'accès, une instruction Endorse ou Admit particulière n'accorde aucun accès. Les deux locataires doivent se mettre d'accord sur l'accès.

Vous devez définir des instructions inter-locations dans le compartiment racine de la location, et non dans un compartiment enfant.

Pour illustrer, voici un exemple de configuration inter-locations possible. Les ressources (connexions, clés secrètes et adresses privées) se trouvent dans une location différente de celle du groupe qui doit y avoir accès.

Cette figure illustre une configuration inter-location dans laquelle les ressources se trouvent dans une location différente du groupe.

Instructions de stratégie de la location de groupe

En tant qu'administrateur de location de groupe, vous créez des instructions de stratégie qui :

  • Définissez un alias pour la location de ressource. L'administrateur de location de ressource doit fournir l'OCID de la location de ressource.
  • Approuvez un groupe IAM dans votre location pour accéder aux ressources de cette dernière.

Voici un exemple d'instruction de stratégie générale qui approuve un groupe IAM dans votre location appelé DatabaseToolsAdministrators pour effectuer n'importe quelle opération sur toutes les ressources Database Tools de n'importe quelle location : 

Endorse group DatabaseToolsAdministrators to manage database-tools-family in any-tenancy

Pour écrire une stratégie qui réduit la portée de toutes les locations vers une location de ressource unique, vous devez référencer l'OCID de location de ressource fourni par l'administrateur de location de ressource. Voici un exemple d'instructions de stratégie qui approuvent le groupe DatabaseToolsAdministrators pour gérer les ressources Database Tools dans une location appelée ResourceTenancy : 

Define tenancy ResourceTenancy as <resource_tenancy_ocid>

Endorse group DatabaseToolsAdministrators to manage database-tools-family in tenancy ResourceTenancy

Vous ne devez approuver le groupe que pour qu'il dispose des autorisations minimales requises. Voici un exemple d'instructions de stratégie qui approuvent uniquement le groupe IAM DatabaseToolsConnectionUsers pour utiliser les connexions Database Tools et lire les clés secrètes dans ResourceTenancy : 

Define tenancy ResourceTenancy as <resource_tenancy_ocid>

Endorse group DatabaseToolsConnectionUsers to use database-tools-connections in tenancy ResourceTenancy

Endorse group DatabaseToolsConnectionUsers to read secret-family in tenancy ResourceTenancy

Instructions de stratégie de la location de ressources

En tant qu'administrateur de location de ressource, vous créez des instructions de stratégie qui :

  • Définissez les alias de la location de groupe et du groupe IAM autorisé à accéder aux ressources de votre location. L'administrateur de location de groupe doit fournir les OCID de la location de groupe et du groupe.
  • Admettez le groupe de la location de groupe pour accéder aux ressources Database Tools auxquelles vous voulez autoriser l'accès dans votre location.

Voici un exemple d'instructions de stratégie qui admettent le groupe IAM DatabaseToolsAdministrators d'une location de groupe appelée GroupTenancy pour effectuer n'importe quelle opération sur toutes les ressources Database Tools de votre location : 

Define tenancy GroupTenancy as <group_tenancy_ocid>

Define group DatabaseToolsAdministrators as <database_tools_administrators_group_ocid>

Admit group DatabaseToolsAdministrators of tenancy GroupTenancy to 
manage database-tools-family in tenancy

Vous pouvez restreindre l'accès du groupe à un compartiment spécifique dans votre location. Voici un exemple d'instructions de stratégie qui admettent que DatabaseToolsAdministrators effectue n'importe quelle opération sur toutes les ressources Database Tools que dans le compartiment SharedConnections de votre location : 

Define tenancy GroupTenancy as <group_tenancy_ocid>

Define group DatabaseToolsAdministrators as <database_tools_administrators_group_ocid>

Admit group DatabaseToolsAdministrators of tenancy GroupTenancy to 
manage database-tools-family in compartment SharedResources

Vous devez uniquement admettre que le groupe dispose des autorisations minimales requises. Voici un exemple d'instructions de stratégie qui admettent uniquement un groupe IAM appelé DatabaseToolsConnectionUsers pour utiliser les connexions Database Tools et lire les clés secrètes dans le compartiment SharedConnections de votre location : 

Define tenancy GroupTenancy as <group_tenancy_ocid>

Define group DatabaseToolsConnectionUsers as <database_tools_connection_users_group_ocid>

Admit group DatabaseToolsConnectionUsers of tenancy GroupTenancy to use database-tools-connections in compartment SharedResources

Admit group DatabaseToolsConnectionUsers of tenancy GroupTenancy to read secret-family in compartment SharedResources