Création de stratégies IAM de Delegate Access Control
Apprenez à développer vos stratégies utilisant des actions pour contrôler l'accès aux ressources de contrôle d'accès délégué.
Pour obtenir un exemple de stratégie, reportez-vous à Autoriser les administrateurs de base de données à gérer des instances Exadata Cloud@Customer.
- A propos des types de ressource et des stratégies Delegate Access Control
Découvrez les types de ressource utilisables dans les stratégies. - Types de ressource de Delegate Access Control
Consultez la liste des types de ressource propres à Delegate Access Control. - Variables prises en charge pour le contrôle d'accès délégué
Utilisez des variables lorsque vous ajoutez des conditions à une stratégie. - Détails des combinaisons de verre et de type de ressource
Consultez la liste des droits d'accès et des opérations d'API couverts par chaque verbe pour Delegate Access Control. - Droits d'accès requis pour chaque opération d'API
Consultez la liste des opérations d'API des ressources Delegate Control Access dans un ordre logique, regroupées par type de ressource.
A propos des types de ressource et des stratégies Delegate Access Control
Découvrez les types de ressource utilisables dans les stratégies.
Le type agrégé de ressource couvre la liste des types individuels de ressource indiqués immédiatement après. Par exemple, écrire une seule stratégie pour autoriser un groupe à accéder à delegation-management-family équivaut à écrire des stratégies distinctes accordant l'accès aux types de ressource delegation-controls, delegated-resource-access-requests, delegation-subscriptions, delegation-management-work-requests, delegation-management-service-provider-actions et delegation-management-service-providers. Pour plus d'informations, reportez-vous à Types de ressource.
Exemples de stratégie :
- Autorisez le groupe
DelegationControlManagersà gérer les contrôles de délégation dans la location.allow group DelegationControlManagers to manage delegation-controls in compartment <your compartment> - Autorisez le groupe
AccessRequestApproversà approuver, rejeter et révoquer les demandes d'accès aux ressources déléguées dans la location.allow group AccessRequestApprovers to manage delegated-resource-access-requests in compartment <your compartment>
Rubrique parent : Création de stratégies IAM de Delegate Access Control
Types de ressource de Delegate Access Control
Consultez la liste des types de ressource spécifiques à Delegate Access Control.
delegation-management-familydelegation-controlsdelegated-resource-access-requestsdelegation-subscriptionsdelegation-management-work-requestsdelegation-management-service-provider-actionsdelegation-management-service-providers
Rubrique parent : Création de stratégies IAM de Delegate Access Control
Variables prises en charge pour Delegate Access Control
Utilisez des variables lorsque vous ajoutez des conditions à une stratégie.
Delegate Access Control prend uniquement en charge les variables générales. Pour plus d'informations, reportez-vous à Variables générales pour toutes les demandes.
Rubrique parent : Création de stratégies IAM de Delegate Access Control
Détails des combinaisons de verbe et de type de ressource
Consultez la liste des droits d'accès et des opérations d'API couverts par chaque verbe pour Delegate Access Control.
Pour plus d'informations, reportez-vous à Droits d'accès, à Verbes et à Types de ressource.
- types de ressource delegation-management-family
Chaque verbe de type de ressource de contrôle d'accès délégué accorde différents niveaux d'accès. - delegation-management-family
Consultez la liste des droits d'accès et des opérations d'API pour le type de ressourcedelegation-management-family. - delegation-controls
Consultez la liste des droits d'accès et des opérations d'API pour le type de ressourcedelegation-controls. - delegated-resource-access-requests
Consultez la liste des droits d'accès et des opérations d'API pour le type de ressourcedelegated-resource-access-requests. - delegation-subscriptions
Consultez la liste des droits d'accès et des opérations d'API pour le type de ressourcedelegation-subscriptions. - delegation-management-work-requests
Consultez la liste des droits d'accès et des opérations d'API pour le type de ressourcedelegation-management-work-requests. - delegation-management-service-provider-actions
Consultez la liste des droits d'accès et des opérations d'API pour le type de ressourcedelegation-management-service-provider-actions. - delegation-management-service-providers
Consultez la liste des droits d'accès et des opérations d'API pour le type de ressourcedelegation-management-service-providers.
Rubrique parent : Création de stratégies IAM de Delegate Access Control
types de ressource délégation-management-family
Chaque verbe de type de ressource Delegate Access Control accorde différents niveaux d'accès.
Le niveau d'accès est cumulatif à mesure que vous passez de inspect à read, en passant par use et en passant par manage. Le signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule directement au-dessus, alors que la mention "aucun élément supplémentaire" n'indique aucun accès incrémentiel.
Par exemple, le terme read pour delegation-controls resource-type ne couvre aucune opération d'API ni aucun droit d'accès supplémentaire par rapport au terme inspect. En revanche, le verbe use inclut un droit d'accès supplémentaire et couvre deux autres opérations (l'une entièrement et l'autre partiellement).
Rubrique parent : Détails des combinaisons de verbe et de type de ressource
délégation-gestion-famille
Consultez la liste des droits d'accès et des opérations d'API du type de ressource delegation-management-family.
| Verbes | Droits d'accès | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| INSPECT | DELEGATION_CONTROL_INSPECT | ListDelegationControls | aucun |
| DELEGATED_RESOURCE_ACCESS_REQUEST_INSPECT | ListDelegatedResourceAccessRequests | ||
| DELEGATION_SUBSCRIPTION_INSPECT | ListDelegationSubscriptions | ||
| DELEGATION_MANAGEMENT_SERVICE_PROVIDER_ACTION_INSPECT | ListServiceProviderActions | ||
| DELEGATION_MANAGEMENT_SERVICE_PROVIDER_INSPECT | ListServiceProviders | ||
| DELEGATION_MANAGEMENT_WORK_REQUEST_INSPECT | ListWorkRequests | ||
| LISTE | INSPECT + | aucun | |
| DELEGATION_CONTROL_READ | GetDelegationControl | ||
| DELEGATED_RESOURCE_ACCESS_REQUEST_READ | GetDelegatedResourceAccessRequest | ||
| GetDelegatedResourceAccessRequestAuditLogReport | |||
| ListDelegatedResourceAccessRequestHistories | |||
| ListServiceProviderInteractions | |||
| DELEGATION_SUBSCRIPTION_READ | GetDelegationSubscription | ||
| DELEGATION_MANAGEMENT_SERVICE_PROVIDER_ACTION_READ | GetServiceProviderAction | ||
| DELEGATION_MANAGEMENT_SERVICE_PROVIDER_READ | GetServiceProvider | ||
| DELEGATION_MANAGEMENT_WORK_REQUEST_READ | ListWorkRequestErrors | ||
| ListWorkRequestLogs | |||
| GetWorkRequest | |||
| USE | READ + | aucun | |
| DELEGATION_CONTROL_UPDATE | UpdateDelegationControl | ||
| DELEGATED_RESOURCE_ACCESS_REQUEST_UPDATE | ApproveDelegatedResourceAccessRequest | ||
| RejectDelegatedResourceAccessRequest | |||
| RevokeDelegatedResourceAccessRequest | |||
| ServiceProviderInteractionRequest | |||
| DELEGATION_SUBSCRIPTION_UPDATE | UpdateDelegationSubscription | ||
| MANAGE | USE + | aucun | |
| DELEGATION_CONTROL_CREATE | CreateDelegationControl | ||
| DELEGATION_CONTROL_MOVE | ChangeDelegationControlCompartment | ||
| DELEGATION_CONTROL_DELETE | DeleteDelegationControl | ||
| DELEGATION_SUBSCRIPTION_CREATE | CreateDelegationSubscription | ||
| DELEGATION_SUBSCRIPTION_MOVE | ChangeDelegationSubscriptionCompartment | ||
| DELEGATION_SUBSCRIPTION_DELETE | DeleteDelegationSubscription |
Rubrique parent : Détails des combinaisons de verbe et de type de ressource
contrôles de délégation
Consultez la liste des droits d'accès et des opérations d'API du type de ressource delegation-controls.
| Verbes | Droits d'accès | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| INSPECT |
DELEGATION_CONTROL_INSPECT |
ListDelegationControls |
aucun |
| LISTE | INSPECT + | aucun | |
| DELEGATION_CONTROL_READ | GetDelegationControl | ||
| USE | READ + | aucun | |
| DELEGATION_CONTROL_UPDATE | UpdateDelegationControl | ||
| MANAGE | USE + | aucun | |
| DELEGATION_CONTROL_CREATE | CreateDelegationControl | ||
| DELEGATION_CONTROL_MOVE | ChangeDelegationControlCompartment | ||
| DELEGATION_CONTROL_DELETE | DeleteDelegationControl |
Rubrique parent : Détails des combinaisons de verbe et de type de ressource
Delegated-resource-access-requests (demandes d'accès aux ressources déléguées)
Consultez la liste des droits d'accès et des opérations d'API du type de ressource delegated-resource-access-requests.
| Verbes | Droits d'accès | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| INSPECT | DELEGATED_RESOURCE_ACCESS_REQUEST_INSPECT | ListDelegatedResourceAccessRequests | aucun |
| LISTE | INSPECT + | aucun | |
| DELEGATED_RESOURCE_ACCESS_REQUEST_READ | GetDelegatedResourceAccessRequest | ||
| GetDelegatedResourceAccessRequestAuditLogReport | |||
| ListDelegatedResourceAccessRequestHistories | |||
| ListServiceProviderInteractions | |||
| USE | READ + | aucun | |
| DELEGATED_RESOURCE_ACCESS_REQUEST_UPDATE | ApproveDelegatedResourceAccessRequest | ||
| RejectDelegatedResourceAccessRequest | |||
| RevokeDelegatedResourceAccessRequest | |||
| ServiceProviderInteractionRequest | |||
| MANAGE | USE + | aucun élément supplémentaire | aucun |
Rubrique parent : Détails des combinaisons de verbe et de type de ressource
délégation-abonnements
Consultez la liste des droits d'accès et des opérations d'API du type de ressource delegation-subscriptions.
| Verbes | Droits d'accès | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| INSPECT | DELEGATION_SUBSCRIPTION_INSPECT | ListDelegationSubscriptions | aucun |
| LISTE | INSPECT + | aucun | |
| DELEGATION_SUBSCRIPTION_READ | GetDelegationSubscription | ||
| USE | READ + | aucun | |
| DELEGATION_SUBSCRIPTION_UPDATE | UpdateDelegationSubscription | ||
| MANAGE | USE + | aucun | |
| DELEGATION_SUBSCRIPTION_CREATE | CreateDelegationSubscription | ||
| DELEGATION_SUBSCRIPTION_MOVE | ChangeDelegationSubscriptionCompartment | ||
| DELEGATION_SUBSCRIPTION_DELETE | DeleteDelegationSubscription |
Rubrique parent : Détails des combinaisons de verbe et de type de ressource
délégation-gestion-travail-demandes
Consultez la liste des droits d'accès et des opérations d'API pour le type de ressource delegation-management-work-requests.
| Verbes | Droits d'accès | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| INSPECT | DELEGATION_MANAGEMENT_WORK_REQUEST_INSPECT | ListWorkRequests | aucun |
| LISTE | INSPECT + | aucun | |
| DELEGATION_MANAGEMENT_WORK_REQUEST_READ | ListWorkRequestErrors | ||
| ListWorkRequestLogs | |||
| GetWorkRequest | |||
| USE | READ+ | aucun élément supplémentaire | aucun |
| MANAGE | USE+ | aucun élément supplémentaire | aucun |
Rubrique parent : Détails des combinaisons de verbe et de type de ressource
délégation-gestion-service-fournisseur-actions
Consultez la liste des droits d'accès et des opérations d'API pour le type de ressource delegation-management-service-provider-actions.
| Verbes | Droits d'accès | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| INSPECT | DELEGATION_MANAGEMENT_SERVICE_PROVIDER_ACTION_INSPECT | ListServiceProviderActions | aucun |
| LISTE | INSPECT + | aucun | |
| DELEGATION_MANAGEMENT_SERVICE_PROVIDER_ACTION_READ | GetServiceProviderAction | ||
| USE | READ + | aucun élément supplémentaire | aucun |
| MANAGE | USE + | aucun élément supplémentaire | aucun |
Rubrique parent : Détails des combinaisons de verbe et de type de ressource
délégation-gestion-service-fournisseurs
Consultez la liste des droits d'accès et des opérations d'API pour le type de ressource delegation-management-service-providers.
| Verbes | Droits d'accès | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| INSPECT | DELEGATION_MANAGEMENT_SERVICE_PROVIDER_INSPECT | ListServiceProviders | aucun |
| LISTE | INSPECT + | aucun | |
| DELEGATION_MANAGEMENT_SERVICE_PROVIDER_READ | GetServiceProvider | ||
| USE | READ + | aucun élément supplémentaire | aucun |
| MANAGE | USE + | aucun élément supplémentaire | aucun |
Rubrique parent : Détails des combinaisons de verbe et de type de ressource
Droits d'accès requis pour chaque opération d'API
Consultez la liste des opérations d'API des ressources Delegate Control Access dans un ordre logique, regroupées par type de ressource.
Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.
| Catégorie de ressource | Droits d'accès |
|---|---|
| Delegated-resource-access-requests (demandes d'accès aux ressources déléguées) |
|
| contrôles de délégation |
|
| délégation-gestion-service-fournisseur-actions |
|
| délégation-gestion-service-fournisseurs |
|
| délégation-gestion-travail-demandes |
|
| délégation-abonnements |
|
| Opération d'API | Droits d'accès requis pour utiliser l'opération |
|---|---|
| Contrôle de délégation | |
| ListDelegationControls | DELEGATION_CONTROL_INSPECT |
| GetDelegationControl | DELEGATION_CONTROL_READ |
| CreateDelegationControl | DELEGATION_CONTROL_CREATE |
| UpdateDelegationControl | DELEGATION_CONTROL_UPDATE |
| ChangeDelegationControlCompartment | DELEGATION_CONTROL_MOVE |
| DeleteDelegationControl | DELEGATION_CONTROL_DELETE |
| Demande d'accès aux ressources déléguées | |
| ListDelegatedResourceAccessRequests | DELEGATED_RESOURCE_ACCESS_REQUEST_INSPECT |
| GetDelegatedResourceAccessRequest | DELEGATED_RESOURCE_ACCESS_REQUEST_READ |
| GetDelegatedResourceAccessRequestAuditLogReport | DELEGATED_RESOURCE_ACCESS_REQUEST_READ |
| ListDelegatedResourceAccessRequestHistories | DELEGATED_RESOURCE_ACCESS_REQUEST_READ |
| ListServiceProviderInteractions | DELEGATED_RESOURCE_ACCESS_REQUEST_READ |
| ApproveDelegatedResourceAccessRequest | DELEGATED_RESOURCE_ACCESS_REQUEST_UPDATE |
| RejectDelegatedResourceAccessRequest | DELEGATED_RESOURCE_ACCESS_REQUEST_UPDATE |
| RevokeDelegatedResourceAccessRequest | DELEGATED_RESOURCE_ACCESS_REQUEST_UPDATE |
| ServiceProviderInteractionRequest | DELEGATED_RESOURCE_ACCESS_REQUEST_UPDATE |
| Abonnement de délégation | |
| ListDelegationSubscriptions | DELEGATION_SUBSCRIPTION_INSPECT |
| GetDelegationSubscription | DELEGATION_SUBSCRIPTION_READ |
| CreateDelegationSubscription | DELEGATION_SUBSCRIPTION_CREATE |
| UpdateDelegationSubscription | DELEGATION_SUBSCRIPTION_UPDATE |
| ChangeDelegationSubscriptionCompartment | DELEGATION_SUBSCRIPTION_MOVE |
| DeleteDelegationSubscription | DELEGATION_SUBSCRIPTION_DELETE |
| Action du prestataire de services | |
| ListServiceProviderActions | DELEGATION_MANAGEMENT_SERVICE_PROVIDER_ACTION_INSPECT |
| GetServiceProviderAction | DELEGATION_MANAGEMENT_SERVICE_PROVIDER_ACTION_READ |
| Fournisseur d'accès | |
| ListServiceProviders | DELEGATION_MANAGEMENT_SERVICE_PROVIDER_INSPECT |
| GetServiceProvider | DELEGATION_MANAGEMENT_SERVICE_PROVIDER_READ |
| Demande de travail | |
| ListWorkRequests | DELEGATION_MANAGEMENT_WORK_REQUEST_INSPECT |
| ListWorkRequestErrors | DELEGATION_MANAGEMENT_WORK_REQUEST_READ |
| ListWorkRequestLogs | DELEGATION_MANAGEMENT_WORK_REQUEST_READ |
| GetWorkRequest | DELEGATION_MANAGEMENT_WORK_REQUEST_READ |
Rubrique parent : Création de stratégies IAM de Delegate Access Control