Stratégies Secure Desktops

Chaque service d'Oracle Cloud Infrastructure s'intègre à Identity and Access Management (IAM) pour l'authentification et l'autorisation sur toutes les interfaces (console, kit SDK ou interface de ligne de commande, et API REST).

Remarque

Par exemple, stratégies Secure Desktops et informations sur les groupes dynamiques requis, reportez-vous à Création de stratégies pour le service et à Création de stratégies pour l'autorisation utilisateur.

L'administrateur de location doit créer des stratégies au niveau de la location ou du compartiment pour autoriser les bureaux sécurisés et utiliser les ressources dont il a besoin. Ils doivent également configurer des groupes, des compartiments et des stratégies qui contrôlent l'accès des utilisateurs au service. Reportez-vous à Création de stratégies pour le service et à Création de stratégies pour l'autorisation utilisateur.

Pour obtenir une introduction aux stratégies, reportez-vous à Initiation aux stratégies.

Remarque

La création d'une stratégie nécessite des privilèges appropriés. Contactez l'administrateur de location pour obtenir les privilèges ou pour que les stratégies soient créées pour vous.

Stratégies IAM requises

Dans le compartiment racine

Allow dynamic-group <dynamic-group> to {DOMAIN_INSPECT, DOMAIN_READ} in tenancy 
Allow dynamic-group <dynamic-group> to inspect users in tenancy 
Allow dynamic-group <dynamic-group> to inspect compartments in tenancy
Allow dynamic-group <dynamic-group> to use tag-namespaces in tenancy

Dans le compartiment racine ou au-dessus des compartiments de pool de bureaux que vous gérez

Allow dynamic-group <dynamic-group> to use virtual-network-family in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to manage virtual-network-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to read instance-images in compartment <image-compartment>
Allow dynamic-group <dynamic-group> to manage instance-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage volume-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to manage dedicated-vm-hosts in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage orm-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to {VNIC_CREATE, VNIC_DELETE} in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage instance-configurations in compartment <desktop-compartment>

Remarque

Si <desktops-network-compartment> n'est pas un enfant des compartiments au-dessus des compartiments de pool de bureaux, la stratégie doit être indiquée dans le compartiment racine.
Si vous envisagez de créer des pools de bureaux privés, des stratégies supplémentaires peuvent être requises. Pour plus d'informations, reportez-vous à la section Enabling Private Desktop Access.

Pour l'administrateur bureau

Allow group <desktop-administrators> to manage desktop-pool-family in compartment <desktop-compartment>
Allow group <desktop-administrators> to read all-resources in compartment <desktop-compartment>
Allow group <desktop-administrators> to use virtual-network-family in compartment <desktops-network-compartment>
Allow group <desktop-administrators> to use instance-images in compartment <images-compartment>

Pour l'utilisateur de bureau

Tous les pools de bureaux d'un compartiment :

Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>

Pools de bureaux spécifiques au sein d'un compartiment :

Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>
                where all {target.desktoppool.name = '<pool_name>', target.desktoppool.id = '<pool_ocid>'}

Détails de stratégie pour les bureaux sécurisés

Dans une instruction de stratégie, vous utilisez des verbes, des types de ressource et des variables pour accorder l'accès aux services et aux ressources. Vous pouvez également utiliser des droits d'accès ou des opérations d'API pour réduire la portée des accès accordés par un verbe particulier.

Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.

Type agrégé de ressource

desktop-pool-family

Types individuels de ressource

desktop-pool

desktop

Variables prises en charge


Les opérations pour ce type de ressource...	Peuvent utiliser ces variables...	Type de variable	Commentaires
`desktop-pool`	`target.desktopPool.id`	Entité (OCID)
`desktop`	`target.desktop.id`	Entité (OCID)

Détails des combinaisons de verbe et de type de ressource

Les tableaux suivants indiquent les droits d'accès et les opérations d'API que couvre chaque verbe. Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre, dans l'ordre suivant : inspect > read > use > manage. Le signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule directement au-dessus, alors que la mention "aucun élément supplémentaire" n'indique aucun accès incrémentiel.

desktop-pool


Verbes	Droits d'accès	API entièrement couvertes	API partiellement couvertes
inspect	`DESKTOP_POOL_INSPECT`	`ListDesktopPools`	Aucun
lu	INSPECT + `DESKTOP_POOL_READ`	`GetDesktopPool` `ListDesktopPoolVolumes` `ListDesktopPoolDesktops` `ListDesktopPoolErrors`	Aucun
utiliser	READ +	`UpdateDesktopPool` `StartDesktopPool` `StopDesktopPool`	Aucun
manage	USE + `DESKTOP_POOL_CREATE` `DESKTOP_POOL_DELETE` `DESKTOP_POOL_MOVE`	`CreateDesktopPool` `DeleteDesktopPool` `ChangeDesktopPoolCompartment`	Aucun

bureau


Verbes	Droits d'accès	API entièrement couvertes	API partiellement couvertes
inspect	`DESKTOP_INSPECT`	`ListDesktops`	Aucun
lu	INSPECT + `DESKTOP_READ`	`GetDesktop` `ListDesktopErrors`	Aucun
utiliser	READ + `DESKTOP_UPDATE`	`UpdateDesktop` `StartDesktop` `StopDesktop`	Aucun
manage	USE + `DESKTOP_DELETE`	`DeleteDesktop`	Aucun

Droits d'accès requis pour chaque opération d'API


Opération d'API	Droits d'accès requis pour utiliser l'opération
`ListDesktopPools`	`DESKTOP_POOL_INSPECT`
`CreateDesktopPool`	`DESKTOP_POOL_CREATE`
`GetDesktopPool`	`DESKTOP_POOL_READ`
`DeleteDesktopPool`	`DESKTOP_POOL_DELETE`
`UpdateDesktopPool`	`DESKTOP_POOL_UPDATE`
`ChangeDesktopPoolCompartment`	`DESKTOP_POOL_MOVE`
`StartDesktopPool`	`DESKTOP_POOL_UPDATE`
`StopDesktopPool`	`DESKTOP_POOL_UPDATE`
`ListDesktopPoolVolumes`	`DESKTOP_POOL_READ`
`ListDesktopPoolDesktops`	`DESKTOP_POOL_READ`
`ListDesktopPoolErrors`	`DESKTOP_POOL_READ`
`ListDesktops`	`DESKTOP_INSPECT`
`GetDesktop`	`DESKTOP_READ`
`DeleteDesktop`	`DESKTOP_DELETE`
`UpdateDesktop`	`DESKTOP_UPDATE`
`StartDesktop`	`DESKTOP_UPDATE`
`StopDesktop`	`DESKTOP_UPDATE`
`ListDesktopErrors`	`DESKTOP_READ`

Documentation Oracle Cloud Infrastructure