Documentation Oracle Cloud Infrastructure

Contrôler les privilèges d'accès des administrateurs

Les privilèges d'accès sont accordés à un administrateur en fonction des groupes d'autorisation dont le compte est membre. La stratégie attachée à un groupe d'autorisations définit l'accès aux ressources et aux fonctions. Sans stratégie valide, les membres du groupe d'autorisations ne disposent pas de privilèges d'accès.

Utiliser des groupes d'autorisations

Lors de la configuration de l'accès d'administration, vous pouvez utiliser les groupes d'autorisation par défaut ou en créer un nouveau. Les groupes par défaut sont les suivants :

  • Valeur initiale

    Les utilisateurs ont un accès limité à l'Enclave de service. Ils sont autorisés à créer le compte administrateur initial et à afficher des informations sur l'appareil, mais n'ont pas accès en lecture aux autres ressources.

  • OCIApp

    Les utilisateurs disposent d'un accès spécifique aux opérations liées à l'utilisation des API et des applications OCI.

  • OracleServiceAdmin

    Les utilisateurs disposent d'un accès spécifique aux opérations liées à l'utilisation des services Private Cloud Appliance.

  • SuperAdmin

    Les utilisateurs disposent d'un accès illimité à l'enclave de service. Ils sont autorisés à effectuer toutes les opérations disponibles, y compris la configuration d'autres comptes d'administrateur et la gestion des groupes et familles d'autorisations.

Remarque

D'autres groupes d'autorisations internes existent. Par exemple, le groupe Day0 fournit un accès spécifique aux opérations liées à la configuration initiale de l'appareil.

Sur les systèmes existants mis à niveau à partir d'une version antérieure, les groupes d'autorisations hérités ne sont pas supprimés. Pour assurer la continuité, des familles et des stratégies d'autorisation sont créées lors du processus de mise à niveau afin de garantir que les mêmes privilèges d'accès sont conservés.

Utiliser l'interface utilisateur Web de service

  1. Ouvrez le menu de navigation et cliquez sur Groupe d'autorisations.

  2. Cliquez sur Créer le groupe.

  3. Entrez un nom de 1 à 255 caractères, puis cliquez sur Créer un groupe d'autorisations.

    La page de détails du nouveau groupe d'autorisations s'affiche.

  4. Cliquez sur Add Policy Statement. La fenêtre Formulaire de déclaration de stratégie d'autorisation s'affiche.

    Remarque

    Pour plus d'informations, reportez-vous à Ecriture d'instructions de stratégie.

  5. Entrez un nom comportant entre 1 et 255 caractères.

  6. Sélectionnez une action : Inspecter, Lire, Utiliser ou Gérer.

  7. Sélectionnez une application de stratégie :

    • Ressources : entrez les ressources auxquelles la stratégie doit s'appliquer.

    • Famille de fonctions - Sélectionnez un nom dans la liste déroulante

    • Famille de ressources : sélectionnez-en une dans la liste déroulante

    Remarque

    Pour plus d'informations, reportez-vous à Utilisation des familles d'autorisations.

  8. Cliquez sur Créer une instruction de stratégie.

    La nouvelle instruction de stratégie apparaît sur la page de détails. Ajoutez jusqu'à 100 instructions de stratégie supplémentaires.

Utilisation de la CLI de service

  1. Créez un groupe d'autorisations.

    PCA-ADMIN> create AuthorizationGroup name=authors
JobId: 14ea4d22-acf1-455d-a7a1-ec0a30f29671
Data:
id:c672d9c6-90ec-4776-bccb-caae128e86db name:authors

  2. Consultez l'aide de la commande create authpolicyStatement.

    PCA-ADMIN> create authpolicyStatement ?
*action
activeState
functionFamily
resourceFamily
resources
*on
  3. Entrez showcustomcmds ? pour afficher les options des ressources ou showallcustomcmds pour visualiser les options des fonctions, par exemple :
    PCA-ADMIN> showcustomcmds ?
                          ASRBundle
                          ASRPhonehome
                          BackupJob
                          CnUpdateManager
                          ComputeInstance
                          ComputeNode
                          [...]

PCA-ADMIN> showallcustomcmds
    Operation Name: <Related Object(s)>
    -----------------------------------
    [...]
    backup:  BackupJob
    changeIlomPassword:  ComputeNode, ManagementNode
    changePassword:  ComputeNode, LeafSwitch, ManagementNode, ManagementSwitch, SpineSwitch, User, ZFSAppliance
    clearFirstBootError:  NetworkConfig
    configZFSAdDomain:  ZfsAdDomain
    configZFSAdWorkgroup:  ZfsAdDomain
    createAdminAccount:  
    createUserInGroup:  User
    deletePlatformImage:  PlatformImage
    deprovision:  ComputeNode
    disableVmHighAvailability:  PcaSystem
    drAddComputeInstance:  ComputeInstance
    drAddSiteMapping:  DrSiteMapping
    [...]
    Remarque

    Pour plus d'informations sur les commandes et la syntaxe, reportez-vous à Utilisation de l'interface de ligne de commande de service.

  4. Créez une instruction de stratégie à l'aide de resources, functionFamily ou resourceFamily.

    Remarque

    Pour plus d'informations, reportez-vous à Ecriture d'instructions de stratégie et à Utilisation des familles d'autorisations.

    PCA-ADMIN> create authpolicyStatement action=manage resources=ComputeNode on authorizationGroup id=c672d9c6-90ec-4776-bccb-caae128e86db
    PCA-ADMIN> create authpolicyStatement action=manage authresourceFamily=rackops on authorizationGroup id=c672d9c6-90ec-4776-bccb-caae128e86db
    PCA-ADMIN> create authpolicyStatement action=manage authfunctionFamily=computeops on authorizationGroup id=c672d9c6-90ec-4776-bccb-caae128e86db

  5. Consulter le détail du groupe d'autorisations.

    PCA-ADMIN> show authorizationGroup name=authors
Data:
Id = c672d9c6-90ec-4776-bccb-caae128e86db
Type = AuthorizationGroup
Name = authors
Policy Statements 1 = dea601bf-9bfc-4b2c-a135-d98378e69c87(ACTIVE)-Allow authors to MANAGE ComputeNode
Is Predefined Authorization Group = false
AuthPolicyStatementIds 1 = id:4adde579-1f6a-49eb-a783-9478465f135e type:AuthPolicyStatement name:
AuthPolicyStatementIds 2 = id:be498a4e-3e0a-4cfa-9013-188542adb8e3 type:AuthPolicyStatement name:

Pour désactiver une instruction de stratégie, procédez comme suit :

  1. Consultez l'aide de la commande edit authpolicyStatement.

    PCA-ADMIN> edit authpolicyStatement ?
id=<object identifier>

  2. Recherchez l'ID de l'instruction de stratégie à l'aide de la commande show authorizationGroup name=group-name.

    PCA-ADMIN> show authorizationGroup name=authors
[...]
Policy Statements 1 = dea601bf-9bfc-4b2c-a135-d98378e69c87(ACTIVE)-Allow authors to MANAGE ComputeNode
Is Predefined Authorization Group = false
AuthPolicyStatementIds 1 = id:4adde579-1f6a-49eb-a783-9478465f135e type:AuthPolicyStatement name:
AuthPolicyStatementIds 2 = id:be498a4e-3e0a-4cfa-9013-188542adb8e3 type:AuthPolicyStatement name:

  3. A l'aide de l'ID de l'instruction de stratégie (AuthPolicyStatementIds Number = id:unique-identifier), affichez la commande permettant d'activer ou de désactiver l'instruction de stratégie.

    PCA-ADMIN> edit authpolicyStatement id=be498a4e-3e0a-4cfa-9013-188542adb8e3 ?
activeState

  4. Désactivez l'instruction de stratégie.

    PCA-ADMIN> edit authpolicyStatement id=be498a4e-3e0a-4cfa-9013-188542adb8e3 activeState=inactive
JobId: 842c444e-060d-461d-a4e0-c9cdd9f1d3c3

  5. Vérifiez que l'instruction de stratégie est inactive.

    PCA-ADMIN> show authorizationGroup name=authors
Data:
Id = c672d9c6-90ec-4776-bccb-caae128e86db
Type = AuthorizationGroup
Name = authors
Policy Statements 1 = 4adde579-1f6a-49eb-a783-9478465f135e(ACTIVE)-Allow authors to MANAGE ComputeNode
Policy Statements 2 = be498a4e-3e0a-4cfa-9013-188542adb8e3(INACTIVE)-Allow authors to MANAGE ComputeNode
Is Predefined Authorization Group = false
AuthPolicyStatementIds 1 = id:4adde579-1f6a-49eb-a783-9478465f135e type:AuthPolicyStatement name:
AuthPolicyStatementIds 2 = id:be498a4e-3e0a-4cfa-9013-188542adb8e3 type:AuthPolicyStatement name:

Utilisation des familles d'autorisations

L'utilisation d'une famille d'autorisations vous permet de créer des stratégies que vous pouvez réutiliser entre les groupes d'autorisations. Les groupes d'autorisation par défaut utilisent des stratégies prédéfinies, qui sont créées à l'aide de familles d'autorisation. Vous pouvez utiliser deux types de famille d'autorisations dans les instructions de stratégie :

  • Les familles de ressources permettent de définir les ressources de l'appliance, telles que les serveurs, le stockage et l'infrastructure réseau.

  • Les familles de fonctions permettent de définir les fonctions de l'appliance, telles que la gestion des compartiments, des utilisateurs et du calcul.

Le tableau suivant répertorie les familles d'autorisations prédéfinies et leur utilisation dans les stratégies de groupe d'autorisations par défaut.

Famille d'autorisations

Type

Utilisé dans les stratégies pour...

Les utilisateurs du groupe peuvent...

Day0

Famille de fonctions

Groupe d'autorisations SuperAdmin

  • définir le système Day0, le routage statique, le routage dynamique et les paramètres réseau

  • obtenir le noeud de gestion, le noeud de calcul et l'état ZFS à partir d'ILOM

  • déverrouiller et verrouiller l'appareil

Valeur initiale

Famille de fonctions

Groupe d'autorisations initial

créer le compte d'administration initial

OCIApp

Famille de fonctions

Groupe d'autorisations SuperAdmin

créer un compte d'applications OCI

OracleServiceAdmin

Famille de fonctions

Groupe d'autorisations SuperAdmin

créer un compte de services Oracle

SuperAdmin

Famille de fonctions

Groupe d'autorisations SuperAdmin

gérer toutes les fonctions de l'appareil

Day0

Famille de ressources

Groupe d'autorisations SuperAdmin

lire les informations système et la configuration réseau

Valeur initiale

Famille de ressources

Groupe d'autorisations initial

lecture des informations système

OCIApp

Famille de ressources

Groupe d'autorisations SuperAdmin

gérer les applications OCI

OracleServiceAdmin

Famille de ressources

Groupe d'autorisations SuperAdmin

gérer les services Oracle

SuperAdmin

Famille de ressources

Groupe d'autorisations SuperAdmin

 gérer toutes les ressources sur l'appliance
Utiliser l'interface utilisateur Web de service

  1. Ouvrez le menu de navigation et cliquez sur Familles d'autorisations.

  2. Cliquez sur Créer une famille d'autorisations.

  3. Sélectionnez le type de famille d'autorisation : Famille de fonctions ou Famille de ressources.

  4. Entrez un nom.

  5. Saisissez les ressources à inclure dans la famille.

    Remarque

    Pour plus d'informations sur la recherche des options de ressource et de fonction, reportez-vous aux instructions de la CLI.

  6. Cliquez sur Create Family.

Utilisation de la CLI de service

Pour créer une famille de fonctions d'autorisation :

  1. Affichez les options de la commande create authfunctionFamily.

    PCA-ADMIN> create authfunctionFamily ?
*name
*resources

  2. Entrez showallcustomcmds pour afficher les options des fonctions, par exemple :

    PCA-ADMIN> showallcustomcmds
    Operation Name: <Related Object(s)>
    -----------------------------------
    [...]
    backup:  BackupJob
    changeIlomPassword:  ComputeNode, ManagementNode
    changePassword:  ComputeNode, LeafSwitch, ManagementNode, ManagementSwitch, SpineSwitch, User, ZFSAppliance
    clearFirstBootError:  NetworkConfig
    configZFSAdDomain:  ZfsAdDomain
    configZFSAdWorkgroup:  ZfsAdDomain
    createAdminAccount:  
    createUserInGroup:  User
    deletePlatformImage:  PlatformImage
    deprovision:  ComputeNode
    disableVmHighAvailability:  PcaSystem
    drAddComputeInstance:  ComputeInstance
    drAddSiteMapping:  DrSiteMapping
    [...]

  3. Créez la famille de fonctions d'autorisation.

    PCA-ADMIN> create authfunctionFamily name=cnops resources=ComputeNode.reset,ComputeNode.start,ComputeNode.stop
Command: create authfunctionFamily name=cnops resources=ComputeNode.reset,ComputeNode.start,ComputeNode.stop
JobId: 4cd37ea7-161f-4b11-952f-ffa992a37d5f
Data:
id:ae0216da-20d1-4e03-bf65-c7898c6079b2 name:cnops

  4. Répertoriez les familles de fonctions d'autorisation.

    PCA-ADMIN> list authfunctionFamily
Data:
id name
-- ----
7f1ac922-571a-4253-a120-e5d15a877a1e Initial
2185058a-3355-48be-851c-2fa0e5a896bd SuperAdmin
7f092ddd-1a51-4a17-b4e2-96c4ece005ec Day0
ae0216da-20d1-4e03-bf65-c7898c6079b2 cnops

Pour créer une famille de ressources d'autorisation :

  1. Affichez les options de la commande create authresourceFamily.

    PCA-ADMIN> create authresourceFamily ?
*name
*resources

  2. Entrez showcustomcmds ? pour afficher les options des ressources, par exemple :

    PCA-ADMIN> showcustomcmds ?
                          ASRBundle
                          ASRPhonehome
                          BackupJob
                          CnUpdateManager
                          ComputeInstance
                          ComputeNode
                          [...]
    Remarque

    Pour plus d'informations sur les commandes et la syntaxe, reportez-vous à Utilisation de l'interface de ligne de commande de service.

  3. Créez la famille de ressources d'autorisation.

    PCA-ADMIN> create authresourceFamily name=rackops resources=ComputeNode,RackUnit
JobId: eb49ac48-e3f3-4c2f-bf11-d5d18a066788
Data:
id:b54e4413-15bd-440e-b399-e2ab75f17c35 name:rackops

  4. Répertoriez les familles de ressources d'autorisation.

    PCA-ADMIN> list authresourceFamily
Data:
id name
-- ----
9aefc9c8-556d-42a4-9369-d7cdf0bf0c52 SuperAdmin
b591cc7b-b117-449e-af35-cb4fc6f0c213 Day0
87633db2-d724-45b6-97a5-30babb6c4869 cnops
b54e4413-15bd-440e-b399-e2ab75f17c35 rackops
a45c08b4-f895-4da8-87f4-c81ca0b2bf27 Initial

Ecrire des instructions de stratégie

Des stratégies sont requises pour que les groupes d'autorisations fonctionnent. Vous pouvez créer des stratégies individuelles ou utiliser des familles d'autorisations. Vous pouvez créer des instructions de stratégie à partir de l'interface utilisateur Web de service ou de l'interface de ligne de commande de service. Chaque instruction de stratégie doit contenir les éléments suivants :

  • Nom - 1 à 255 caractères

  • Action : inspecter, lire, utiliser ou gérer

  • Famille de ressources/d'autorisations : une ou plusieurs ressources ou une famille d'autorisations

  • (Interface de ligne de commande de service uniquement) Groupe d'autorisation - ID du groupe

Remarque

Vous ne pouvez pas modifier une instruction de stratégie. Si vous devez apporter des modifications à une instruction de stratégie, vous devez la supprimer puis la recréer.

Le tableau suivant contient des informations sur les actions que vous pouvez effectuer sur une ressource.

Action

Type d'accès

inspect

Possibilité de répertorier des ressources sans accéder aux informations confidentielles ou aux métadonnées spécifiées par l' utilisateur pouvant figurer dans ces ressources.

read

Inclut inspect et la possibilité d'obtenir les métadonnées définies par l'utilisateur et la ressource elle-même.

use

Inclut read et la possibilité d'utiliser les ressources existantes. Les actions varient en fonction du type de ressource.

manage

Inclut tous les droits d'accès relatifs à la ressource.